1. Toy模板网首页
  2. > Toy博客

Webshell工具的流量特征分析(菜刀,蚁剑,冰蝎,哥斯拉)

9月前 作者:告白热 分类:Toy博客 阅读(42) 违法举报

这篇具有很好参考价值的文章主要介绍了Webshell工具的流量特征分析(菜刀,蚁剑,冰蝎,哥斯拉)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

0x00 前言

使用各种的shell工具获取到目标权限,即可进行数据操作,今天来简要分析一下目前常使用的各类shell管理工具的流量特诊,帮助蓝队同学在风险识别上快速初值

0x01 中国菜刀流量分析

payload特征:
PHP: <?php @eval($_POST['caidao']);?>

ASP: <%eval request(“caidao”)%>

ASP.NET: <%@ Page
Language=“Jscript”%><%eval(Request.Item[“caidao”],“unsafe”);%>

数据包流量特征:
1,请求包中:ua头为百度,火狐
2,请求体中存在eavl,base64等特征字符
3,请求体中传递的payload为base64编码,并且存在固定的QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtpZihQSFBfVkVSU0lPTjwnNS4zLjAnKXtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO307ZWNobygiWEBZIik7J
Webshell工具的流量特征分析(菜刀,蚁剑,冰蝎,哥斯拉)

0x02 蚂蚁宝剑流量分析

payload特征:
Php中使用assert,eval执行,
asp 使用eval
在jsp使用的是Java类加载(ClassLoader),同时会带有base64编码解码等字符特征
Webshell工具的流量特征分析(菜刀,蚁剑,冰蝎,哥斯拉)

数据包流量特征:
使用普通的一句话都存在以下特征:
每个请求体都存在@ini_set(“display_errors”, “0”);@set_time_limit(0)开头。并且后面存在base64等字符
响应包的结果返回格式为:
随机数
响应内容
随机数
Webshell工具的流量特征分析(菜刀,蚁剑,冰蝎,哥斯拉)

使用base64加密的payload,数据包存在以下base加密的eval命令执行,数据包的payload内容存在几个分段内容,分别都使用base加密,解密后可以看到相关的路径,命令等
响应包的结果返回格式为:
随机数
编码后的结果
随机数
Webshell工具的流量特征分析(菜刀,蚁剑,冰蝎,哥斯拉)

0x03 冰蝎流量分析

paylaod分析:
php在代码中同样会存在eval或assert等字符特征
Webshell工具的流量特征分析(菜刀,蚁剑,冰蝎,哥斯拉)

在aps中会在for循环进行一段异或处理
Webshell工具的流量特征分析(菜刀,蚁剑,冰蝎,哥斯拉)

在jsp中则利用java的反射,所以会存在ClassLoader,getClass().getClassLoader()等字符特征
Webshell工具的流量特征分析(菜刀,蚁剑,冰蝎,哥斯拉)
冰蝎2.0流量特征:
第一阶段请求中返回包状态码为200,返回内容必定是16位的密钥
请求包存在:Accept: text/html, image/gif, image/jpeg, ; q=.2, /; q=.2
Webshell工具的流量特征分析(菜刀,蚁剑,冰蝎,哥斯拉)
建立连接后的cookie存在特征字符
所有请求 Cookie的格式都为: Cookie: PHPSESSID=; path=/;
Webshell工具的流量特征分析(菜刀,蚁剑,冰蝎,哥斯拉)
冰蝎3.0流量特征:
请求包中content-length 为5740或5720(可能会根据Java版本而改变)
每一个请求头中存在
Pragma: no-cache,Cache-Control: no-cache
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Webshell工具的流量特征分析(菜刀,蚁剑,冰蝎,哥斯拉)

0x04 哥斯拉流量特征

payload特征:
jsp会出现xc,pass字符和Java反射(ClassLoader,getClass().getClassLoader()),base64加解码等特征
php,asp则为普通的一句话木马

哥斯拉流量分析:
作为参考:
所有请求中Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,/;q=0.8
所有响应中Cache-Control: no-store, no-cache, must-revalidate,
同时在所有请求中Cookie中后面都存在;特征
Webshell工具的流量特征分析(菜刀,蚁剑,冰蝎,哥斯拉)
参考:https://www.freebuf.com/articles/web/324622.html文章来源地址https://www.toymoban.com/news/detail-423764.html

到了这里,关于Webshell工具的流量特征分析(菜刀,蚁剑,冰蝎,哥斯拉)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

分享到:
领支付宝红包 赞助服务器费用

相关文章

  • webshell管理工具-冰蝎(Behinder)的安装和基础使用(msf联动,流量特征)

    webshell管理工具-冰蝎(Behinder)的安装和基础使用(msf联动,流量特征)

    冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端,由于通信流量被加密,传统的WAF、IDS 设备 难以 检测,给威胁狩猎带来较大挑战。冰蝎其最大特点就是对交互流量进行对称加密,且加密密钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测。 gi

    2024年02月02日
    浏览(50)
  • [玄机]流量特征分析-蚁剑流量分析

    [玄机]流量特征分析-蚁剑流量分析

    流量特征分析-蚁剑流量分析        题目做法及思路解析(个人分享) AntSword(蚁剑)是一款开源的网络安全工具,常用于网络渗透测试和攻击。它可以远程连接并控制被攻击计算机,执行命令、上传下载文件等操作。 蚁剑与网站进行数据交互的过程中,发送的数据是经

    2024年01月25日
    浏览(47)
  • 冰蝎4.0特征分析及流量检测思路

    冰蝎4.0特征分析及流量检测思路

    冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端。老牌Webshell管理神器——中国菜刀的攻击流量特征明显,容易被各类安全设备检测,实际场景中越来越少使用,加密 Webshell 正变得日趋流行。 由于通信流量被加密,传统的 WAF、IDS 设备难以检测,给威胁狩猎带

    2024年02月06日
    浏览(43)
  • 【webshell工具——蚁剑】蚁剑安装使用教程

    【webshell工具——蚁剑】蚁剑安装使用教程

    本篇内容主要为webshell工具蚁剑的安装以及使用,本人也通过查询较多的文章,进行了总结,由于是第一次接触,有些地方可能存在问题,欢迎评论区留言。 [步骤1] 蚁剑工具的下载 废话不多说直接放链接 加载(启动)器: 链接: https://github.com/AntSwordProject/AntSword-Loader 加速器选

    2024年02月07日
    浏览(88)
  • [JAVA安全webshell]冰蝎jsp木马分析

    [JAVA安全webshell]冰蝎jsp木马分析

    只是分享一下对冰蝎webshell分析的一个学习过程,冰蝎webshell使用了加载字节码的方式执行恶意代码。 首先打开webshell 这么一行实在不好看,先把他分行吧。 分完行之后,就很清晰明了了。 导入了三个依赖,一个是标准库,两个估计用于加密。 然后定义了一个类U,继承自

    2024年02月09日
    浏览(41)
  • Web安全-Godzilla(哥斯拉)Webshell管理工具使用

    Web安全-Godzilla(哥斯拉)Webshell管理工具使用

    点击页面右侧\\\"releases\\\",进入工具的版本下载页面。 在个人终端安装JDK1.8环境的情况下,下载jar包后打开即可 Payload类型 运行环境要求 JavaDynamicPayload java1.0及以上 CShapDynamicPayload .net2.0及以上 PhpDynamicPayload 4.3.0及以上 AspDynamicPayload 全版本 哥斯拉由Java语言开发,内置了3种Paylo

    2024年02月13日
    浏览(37)
  • Web安全-Behinder(冰蝎)Webshell管理工具使用

    Web安全-Behinder(冰蝎)Webshell管理工具使用

    点击页面右侧\\\"releases\\\",进入工具的版本下载页面。 在个人终端安装JDK1.8环境的情况下,下载zip压缩包后打开Behinder.jar即可 类别 运行环境要求 客户端 jre8+ 服务端 .net 2.0+;php 5.3-7.4;java 6+ 冰蝎(behinder)是一款动态二进制加密网站管理客户端。也叫做webshell管理工具,第一代w

    2024年02月13日
    浏览(46)
  • webshell管理工具-哥斯拉( Godzilla)的安装和基础使用

    webshell管理工具-哥斯拉( Godzilla)的安装和基础使用

    哥斯拉相对于其他的webshell管理工具有过之而无不及: 哥斯拉全部类型的shell均过市面所有静态查杀 哥斯拉流量加密过市面全部流量waf 哥斯拉的自带的插件是冰蝎、蚁剑不能比拟的 可见其强大之处,具体介绍可以在github上面去了解:https://github.com/BeichenDream/Godzilla 安装及其简

    2024年02月09日
    浏览(40)
  • 攻防兼备:中国蚁剑使用指南及特征流量

    攻防兼备:中国蚁剑使用指南及特征流量

    中国蚁剑是菜刀的升级版本,线现下主流的Webshell连接工具之一,有着较广泛的使用,本篇文章会教给大家蚁剑的使用方法以及不同加密方式的流量特征,兼顾攻防两端。 蚁剑下载安装参考:中国蚁剑(antSword)下载、安装、使用教程_蚁剑下载_攀爬的小白的博客-CSDN博客 目录

    2024年02月07日
    浏览(34)
  • 经典webshell流量特征

    经典webshell流量特征

    特征为带有以下的特殊字段 在编码器和解码器都是default的状态下,是最容易看出来的一种情况 可以看到在下图中,请求包和返回包都是明文。也就是说一眼就能看出来是蚁剑的流量 实际上在antword中只要编码器为default,那么请求包均为明文。 antword的编码器共有以下几种模

    2024年02月08日
    浏览(40)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包