前言
在朋友圈看到BeichenDream大佬的视频“冰蝎连接恶意Shell导致客户端RCE或任意读取”。
粗浅分析
冰蝎是一款能够动态加密流量的网站管理客户端,它采用JAVA语言开发,支持多种平台运行。一直以来对冰蝎感兴趣,于是请教了BeichenDream大佬。
在github上再次下载了冰蝎反编译后的源码(当然也可以通过jadx等软件来反编译Behinder.jar),发现冰蝎使用了JavaFX的WebEngine API,也就是使用了import javafx.scene.web.WebView;。
使用WebEngine可以让应用程序中显示网页内容,且WebEngine默认情况下是启用JavaScript脚本,众所周知JavaScript是一种强大的脚本语言,可以用来创建动态和交互式的网页。
然而,JavaScript也可能被用来执行恶意代码,例如窃取用户数据或使网站遭受攻击。因此,如果不需要在WebEngine中运行JavaScript代码,禁用JavaScript是一个更安全的选择。
防范示例
好久没碰Java了。以下是禁用JavaScript的简单例子:
javafx.scene.web.WebView webView = new WebView();
webView.getEngine().setJavaScriptEnabled(false);
BeichenDream大佬已提了security issue。静待冰蝎作者更新新版本。
原文始发于微信公众号(ChaMd5安全团队):冰蝎连接恶意Shell的粗浅分析与防范
