文章总结： 冰蝎v4.1客户端存在高危HTML注入漏洞，服务端返回的basicInfo字段未经过滤直接渲染至WebView，导致连接恶意WebShell时可无交互触发HTTP/SMB请求，泄露操作者真实IP、主机信息和NetNTLMv2哈希。漏洞利用难度低且危害严重，建议立即停止使用受影响版本并采用HTML过滤或纯文本渲染方案修复。 综合评分： 78 文章分类： 漏洞分析,恶意软件,红队,渗透测试,WEB安全

同时启动：

• HTTP 信标服务（捕获 IP / UA）
• SMB 监听服务（impacket，捕获 NTLM）

2. 触发流程

1. 冰蝎客户端连接恶意 WebShell
2. 自动完成 Echo 握手、偏移校准
3. 客户端请求 BasicInfo
4. 服务端返回含恶意 HTML 的加密响应
5. 客户端解密 → Base64解码 → 直接loadContent
6. WebView 自动加载外部资源：

• HTTP 请求 → 泄露真实 IP、UA、语言

• file:// → 触发 Windows 自动 SMB 认证 → 泄露 NetNTLMv2

全程无需任何点击、无任何提示

3. 实测可捕获数据

# HTTP BeaconIP: 192.168.31.56User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/606.1 (KHTML, like Gecko) JavaFX/8.0 Safari/606.1Language: zh-cn,en-us;q=0.8,en;q=0.7
# NetNTLMv2 Hash（hashcat -m 5600 可直接破解）Administrator::PC-20241022AZEN:aaaaaaaaaaaaaaaa:f3bfabebe9ac...:<blob>

漏洞根本原因

1. setJavaScriptEnabled(false) 只禁 JS，不禁 HTML/CSS 解析、不禁外部资源加载
2. WebKit 会自动请求 、、file:// 等资源
3. basicInfoStr 从服务端完全可控，解密后直接渲染，无任何过滤
4. file:// 会被转为 UNC 路径，触发系统级 SMB 认证

完整数据流

• 服务端加密响应 → AES解密 → JSON解析 → Base64解码basicInfo →直接loadContent (原始HTML) → WebKit加载外部资源 → HTTP出站（泄露IP/UA） + SMB认证（泄露NetNTLMv2）

涉及代码位置

官方建议修复方案

方案一：HTML 白名单过滤（最小改动）

在 loadContent 前对 basicInfoStr 做标签与属性清洗：

String&nbsp;sanitized = basicInfoStr&nbsp; &nbsp; .replaceAll("<(?!br|/br|font|/font|b|/b|i|/i)[^>]*>",&nbsp;"")&nbsp; &nbsp; .replaceAll("(?i)(src|href|data|background|style)\\s*=",&nbsp;"");webengine.loadContent(sanitized);

方案二：改用纯文本渲染（推荐）

彻底弃用WebView，用TextArea/Label纯文本展示：

TextArea&nbsp;infoArea&nbsp;=&nbsp;new&nbsp;TextArea();infoArea.setEditable(false);infoArea.setText(basicInfoStr.replaceAll("<[^>]*>",&nbsp;""));

方案三：深度加固（保留 WebView）

1. 拦截http://、https://、file://、ftp://等外部协议

2. 配置严格CSP：default-src ‘none’; style-src ‘unsafe-inline’

关键说明

• 攻击前提：恶意服务端知道通信密码（蜜罐 / 反制场景天然满足）
• 利用难度：极低，PoC 完整可用
• 危害：可直接定位操作者真实身份、获取密码哈希、横向入侵内网
• 披露原则：负责任披露，无 0day 公开扩散

应急建议（用户侧）

• 立即停止使用 v4.1 连接不明 WebShell
• 等待官方更新或自行打补丁
• 连接前校验服务端可信，避免连接蜜罐
• 本机启用强密码、开启 LSA 保护，降低 NTLM 泄露危害

关注我们

 还在等什么？赶紧点击下方名片开始学习吧 

下面是一则内部学习圈广告😜

别着急退，看完的师傅们有福了/doge

欢迎师傅们加入内部网络安全学习圈子。圈子提供三大板块的内容：

1

网络安全0→1学习路径

1. 完整的「30+周安全学习任务路线图」公开，每周任务明确，清晰的学习重点和目标，从入门到进阶，由浅入深，循序渐进；
2. 学习内容涵盖：

• 常见的Web漏洞原理与利用

• 业务逻辑漏洞挖掘

• SRC实战技巧

• WAF绕过、代码审计、免杀钓鱼

• 内网渗透

  （Linux&Windows）提权与权限维持

• 隧道代理、域渗透、云安全、AI安全

1. 每周发布学习任务+参考资料+建议，学员可自主学习+实战练习；

2

SRC漏洞专项挖掘

1. SRC漏洞知识库持续更新；
2. SRC挖掘技巧、分析方法、视频教程打包；
3. 分享优质挖矿案例，降低上手门槛，教你赚赏金。

3

常态化内容更新

日常分享优质学习资源与攻防渗透技巧，包括但不限于：

1. 红队/蓝队安全攻防、免杀、钓鱼技巧、攻防渗透tips；
2. 学习路线推荐，教程、方法、技巧tips打包分享，实战视频、工具、手册一应俱全；
3. 根据网络安全初中级学习者水平，精选最有用的内容，不让你在信息洪流中迷路。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Z2O安全攻防 s2cr3t s2cr3t《冰蝎 v4.1 被曝 0‑click 高危漏洞，一连接就被反制，可窃取凭据…！》