webshell客户端流量特征

这篇具有很好参考价值的文章主要介绍了webshell客户端流量特征。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

webshell客户端 用于webshell后门和攻击者之间的通信程序,我们可以通过webshell客户端的流量来判断服务器上是否存在Webshell后门。

概述:

中国菜刀流量特征比较明显,2011,2014版本中,流量中有的php代码,asp代码是明文形式,jsp代码有固定格式,容易被检测出来。2016版本隐蔽性增强,对php,asp代码增加了混淆,还对ASP代码进行了unicode编码

CknifeCknife流量的特征就是在body部分的参数值均为base64编码,将该部分进行base64解码后,其流量特征同中国菜刀一致

蚁剑可以对流量进行加密、混淆。但是有些关键代码没有被加密,如:PHP中的ini_set;ASP中的OnError,response等

冰蝎是一款动态二进制加密网站管理客户端。主要用于配合服务端shell的动态二进制加密通信,适用于WAF拦截回显等场景,客户端的流量无法检测。

哥斯拉:是基于流量、HTTP全加密的webshell工具。哥斯拉全部类型的shell 能绕过市面所有静态查杀;哥斯拉流量加密 能绕过市面全部流量waf。

注:以下图片较少,可以在webshell上设置代理,结合brupsuite抓包的方式进行流量的抓取,进行流量特征的比对

1. 冰蝎

是一款动态二进制加密网站管理客户端。主要用于配合服务端shell的动态二进制加密通信,适用于WAF拦截回显等场景,客户端的流量无法检测。

冰蝎3.0 取消动态密钥获取,目前很多waf等设备都做了冰蝎2.0的流量特征分析。所以3.0取消了动态密钥获取

冰蝎3.0新增了无动态密钥交互。只有在无动态密钥交互失败后,才会进入常规的密钥交互阶段。密钥生成可以看出,使用密码的md5结果的前16位

冰蝎3.0强特征

  1. content-type
  2. Accept&Cache-Control
  3. 内置16个ua头
  4. content-length请求长度

2. 中国菜刀

总结:流量特征比较明显,2011,2014版本中,流量中有的php代码,asp代码是明文形式,jsp代码有固定格式,容易被检测出来。2016版本隐蔽性增强,对php,asp代码增加了混淆,还对ASP代码进行了unicode编码

2011,2014版本

php流量特征

webshell客户端流量特征

url解码:

webshell客户端流量特征

php流量特征分析:

  1. eval执行php代码
  2. base64_decode($POST[z0]) ; 设置payload的编码方式
  3. &z0=… 是攻击载荷

上面这些关键代码没有被加密,容易被识别

jsp流量特征

流量的格式 i=A&z0=…

  1. i=A 指定操作
  2. &z0=GB2312 指定编码

ASP流量特征

  1. excute
  2. OnError ResumeNext
  3. Response.Write和Response.End是必有的,是来完善整个操作的

上述关键字没有被加密,通过流量中的这些关键代码,识别是ASP流量

2016版本

在隐蔽性上进行了增强,流量中加入了混淆

php流量特征

@eval @ev"."al

“Ba”.“SE6”.“4_dEc”.“OdE” 这部分是将base64解码打断使用 . 来连接

JSP流量特征

i=A&z0=GB2312&Z1=&Z2=

  1. i=A 指定操作
  2. &z0=GB2312 指定编码
  3. z1,z2后面是payload

ASP流量特征

body中部分字符被Unicode编码替换混淆

3. Cknife

只要支持动态脚本的网站,都可以用中国菜刀进行管理

Cknife流量的特征就是在body部分的参数值均为base64编码,将该部分进行base64解码后,其流量特征同中国菜刀一致,所以不再另行展开分析

4. 蚁剑

可以对流量进行加密、混淆。但是有些关键代码没有被加密,如:PHP中的ini_set;ASP中的OnError,response等

蚁剑PHP类WebShell链接流量

对php中的某些代码没有加密,例如ini_set,set_time_limit。比较容易被识别

蚁剑ASP类WebShell

OnError ResumeNext,response等没有被加密,是明文的形式,比较容易识别

execute在蚁剑中被打断混淆了,变成了拼接形式Ex"&cHr(101)&"cute

蚁剑绕过特征流量

蚁剑混淆加密后还有一个比较明显的特征,即为参数名大多以“_0x…=”这种形式

5. 哥斯拉

是基于流量、HTTP全加密的webshell工具

哥斯拉全部类型的shell 能绕过市面所有静态查杀

哥斯拉流量加密 能绕过市面全部流量waf文章来源地址https://www.toymoban.com/news/detail-406994.html

到了这里,关于webshell客户端流量特征的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • .NET高级面试指南专题二十六【适配器模式介绍,用于将一个类的接口转换成客户端所期待的另一个接口】

    适配器模式是一种结构型设计模式,用于将一个类的接口转换成客户端所期待的另一个接口,使得原本由于接口不兼容而不能在一起工作的类能够协同工作。这种模式通常用于软件系统的升级和重构中,可以使得原有的代码能够与新的接口相兼容,同时不改变原有代码的情况

    2024年04月22日
    浏览(44)
  • 常见的webshell的流量特征和检测思路

    一、webshell概述      Webshell客户端是一种连接Webshell后门,用于攻击者与服务器之间通信的程序。 二、Webshell流量监测思路 1、特征分析:分析流量特征中的关键特征,判断是否存在webshell流量特征; 2、请求模式:分析webshell流量的请求模式,可以通过分析URL,参数和头部信

    2024年02月09日
    浏览(33)
  • Webshell工具的流量特征分析(菜刀,蚁剑,冰蝎,哥斯拉)

    使用各种的shell工具获取到目标权限,即可进行数据操作,今天来简要分析一下目前常使用的各类shell管理工具的流量特诊,帮助蓝队同学在风险识别上快速初值 payload特征: PHP: ?php @eval($_POST[\\\'caidao\\\']);? ASP: %eval request(“caidao”)% ASP.NET: %@ Page Language=“Jscript”%%eval(Request.Item[“

    2023年04月24日
    浏览(42)
  • webshell管理工具的流量特征分析(菜刀、蚁剑、冰蝎、哥斯拉)

    目录 写在前面 菜刀 蚁剑  冰蝎  冰蝎2.0 冰蝎3.0  冰蝎4.0  哥斯拉  菜刀、蚁剑、冰蝎、哥斯拉是常见的webshell管理工具。在攻防演练中,了解其常见webshell管理工具的流量特征对防守方来说十分重要。常见的webshell也在不断发展以绕过安全设备waf的检测,其流量特征也在不断

    2024年02月13日
    浏览(38)
  • 局域网ntp服务器设置(windows时间同步服务器NetTime)(ubuntu systemd-timesyncd ntp客户端)123端口、ntp校时、ntp同步(123端口UDP入站流量)

    客户有个局域网,局域网里面有的设备,时间都不一致,导致交互的时候可能出现问题; 现在刚好有台主机,有两个以太网接口,其中一个可以连外网,能获取到网络时间,我们可以把这台主机做成ntp服务器,供局域网内其他主机做时间同步; 以下是相关操作方法步骤; 打

    2024年01月23日
    浏览(48)
  • webshell管理工具-冰蝎(Behinder)的安装和基础使用(msf联动,流量特征)

    冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端,由于通信流量被加密,传统的WAF、IDS 设备 难以 检测,给威胁狩猎带来较大挑战。冰蝎其最大特点就是对交互流量进行对称加密,且加密密钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测。 gi

    2024年02月02日
    浏览(50)
  • 局域网ntp服务器设置(windows时间同步服务器NetTime)(ubuntu systemd-timesyncd ntp客户端)123端口、ntp校时、ntp同步(设置UDP入站流量绕过防火墙)

    客户有个局域网,局域网里面有的设备,时间都不一致,导致交互的时候可能出现问题; 现在刚好有台主机,有两个以太网接口,其中一个可以连外网,能获取到网络时间,我们可以把这台主机做成ntp服务器,供局域网内其他主机做时间同步; 以下是相关操作方法步骤; 打

    2024年01月24日
    浏览(45)
  • 线上 udp 客户端请求服务端客户端句柄泄漏问题

    本题分别从如下三个方面来分享: 问题描述 自定义连接池的编写 common_pool 的使用 线上有一个业务,某个通服务通知 udp 客户端通过向 udp 服务端(某个硬件设备)发送 udp 包来进行用户上线操作 当同时有大量的请求打到 udp 服务端的时候,udp 服务端的回包可能会在网络环境

    2024年02月09日
    浏览(64)
  • es相关的官方客户端与spring客户端对比与介绍

    es提供的 TransportClient 传统的客户端,基于TCP传输协议与Elasticsearch通信。 已经被弃用,不推荐使用。 适用于Elasticsearch 5.x及以前的版本 因为Elasticsearch 6.x及以上版本已不再支持TCP Transport协议,TransportClient无法连接Elasticsearch集群。 RestHighLevelClient 是一个高级的REST客户端,主要用于与

    2024年02月02日
    浏览(66)
  • k8s ingress获取客户端客户端真实IP

    在Kubernetes中,获取客户端真实IP地址是一个常见需求。这是因为在负载均衡架构中,原始请求的源IP地址会被替换成负载均衡器的IP地址。 获取客户端真实IP的需求背景包括以下几点: 安全性:基于客户端IP进行访问控制和认证授权可以提高系统安全性。 日志记录与审计:记

    2024年02月13日
    浏览(56)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包