冰蝎(Behinder)源码分析：Java字节码发送机制详解<\/h1>

1. JSP木马概述<\/h2>

JSP木马与常规的ASP、PHP木马不同，冰蝎(Behinder)和哥斯拉等工具采用发送Java字节码的方式，其中字节码中藏有恶意函数。<\/p>

传统JSP木马特点<\/strong>：<\/p>

直接包含Runtime、Process类和exec方法<\/li>
容易被静态杀毒软件检测和查杀<\/li> <\/ul>
主流JSP木马特点<\/strong>：<\/p>

采用加载字节码的方式<\/li>
虽然仍可能被杀毒软件检测，但免杀效果更好<\/li>
是目前最常用的免杀方式<\/li> <\/ul>
2. 冰蝎字节码发送机制<\/h2>
冰蝎连接后提供的功能包括：<\/p>

基本信息获取<\/li>
命令执行<\/li>
文件管理<\/li>
内网穿透等<\/li> <\/ul>
这些功能的字节码来源于冰蝎源码中的payload\/java<\/code>目录。<\/p>
3. 核心工具：Javassist<\/h2> 冰蝎使用Javassist库动态生成和修改Java字节码。<\/p> Javassist核心功能<\/h3> 动态生成类<\/strong>：在运行时创建新的Java类<\/li> 修改现有类<\/strong>：修改已编译类的结构（添加\/修改字段、方法）<\/li> 代码注入<\/strong>：在方法调用前后注入代码（如添加日志记录）<\/li> 动态代理<\/strong>：实现AOP（面向切面编程）<\/li> 字节码分析<\/strong>：提取类的结构信息（类名、字段、方法等）<\/li> <\/ol> Javassist核心组件<\/h3> ClassPool<\/strong>：管理CtClass对象的容器，用于查找和修改类<\/li> CtClass<\/strong>：表示一个Java类，用于操作类的结构<\/li> CtMethod和CtField<\/strong>：分别表示类中的方法和字段<\/li> <\/ul> Javassist简单用法示例<\/h3> \/\/ 创建ClassPool <\/span><\/span><\/span><\/span>ClassPool pool =<\/span> ClassPool.<\/span>getDefault<\/span>();<\/span> <\/span><\/span> <\/span><\/span>\/\/ 创建新类 <\/span><\/span><\/span><\/span>CtClass cc =<\/span> pool.<\/span>makeClass<\/span>(<\/span>"HelloWorld"<\/span>);<\/span> <\/span><\/span> <\/span><\/span>\/\/ 添加方法 <\/span><\/span><\/span><\/span>CtMethod method =<\/span> CtNewMethod.<\/span>make<\/span>(<\/span> <\/span><\/span> "public void sayHello() { System.out.println(\"Hello\"); }"<\/span>,<\/span> cc);<\/span> <\/span><\/span>cc.<\/span>addMethod<\/span>(<\/span>method);<\/span> <\/span><\/span> <\/span><\/span>\/\/ 写入类文件 <\/span><\/span><\/span><\/span>cc.<\/span>writeFile<\/span>();<\/span> <\/span><\/span><\/code><\/pre>4. 冰蝎字节码组装流程<\/h2> Params.java中的组装流程<\/h3> Params.java<\/code>是Java字节码操作工具类的核心方法，通过组合传输协议和参数注入来动态生成类：<\/p> 使用Javassist\/CtClass和ASM框架修改字节码<\/li> 支持加密协议处理和参数分块注入<\/li> 生成随机类名混淆<\/li> 实现缓存机制优化重复操作<\/li> 返回处理后的类字节码用于动态加载执行<\/li> <\/ol> 关键点<\/strong>：<\/p> 函数返回结果是通过Javassist动态修改的类（如Cmd.java+加密函数）<\/li> 返回byte类型可以直接加载修改的类<\/li> 原始Cmd.java中没有加密函数，但通过此操作获得了有加密函数的Cmd实体类<\/li> <\/ul> 5. 数据传输流程<\/h2> Utils.java代码块<\/h3> 这是捕获的断点中看到的代码：<\/p> JSP的payload就是通过Params类生成的字节(byte类型)<\/li> <\/ul> 加密解密机制<\/h3> 冰蝎使用组装过的字节类的加密、解密函数：<\/p> 采用ClassLoader方式<\/li> 使用invoke方法动态调用<\/li> 与原始冰蝎马使用相同的方式<\/li> <\/ol> CustomCryptor.java<\/h3> 实现Icrypt接口，处理加密解密功能。<\/p> 6. 冰蝎Webshell工作原理<\/h2> 原始冰蝎Webshell也使用ClassLoader方式加载字节类：<\/p> 解密函数的编写必须与传输协议一致<\/li> 字节码通过POST传参传送给JSP<\/li> 成功发送Java字节码<\/li> <\/ol> 7. 总结<\/h2> 冰蝎实现Java字节码发送的关键技术：<\/p> 使用Javassist库动态修改class<\/li> 动态添加方法或变量<\/li> 将动态创建的方法与原始payload的class组装<\/li> 发送组装后的字节码给JSP执行<\/li> <\/ol> 这种技术使得冰蝎能够绕过传统静态检测，实现更高级的Web攻击功能。<\/p>