渗透测试-菜刀冰蝎蚁剑哥斯拉等webshell工具及特征分析

这篇具有很好参考价值的文章主要介绍了渗透测试-菜刀冰蝎蚁剑哥斯拉等webshell工具及特征分析。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

菜刀冰蝎蚁剑哥斯拉等webshell工具及特征分析

前言

在测试过程中,我们经常会运到各种webshell管理工具,这里我介绍几种常见的webshell工具给大家。

Webshell简介

webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。使用方法简单,只需上传一个代码文件,通过网址访问,便可进行很多日常操作,极大地方便了使用者对网站和服务器的管理。
最普通的一句话木马:

  • <?php @eval($_POST['shell']);?>
  • <?php system($_REQUEST['cmd']);>

哥斯拉渗透工具,渗透测试,安全性测试,web安全,安全

中国菜刀

中国菜刀(Chopper)是一款经典的网站管理工具,具有文件管理、数据库管理、虚拟终端等功能。

它的流量特征十分明显,现如今的安全设备基本上都可以识别到菜刀的流量。现在的菜刀基本都是在安全教学中使用。

github项目地址:https://github.com/raddyfiy/caidao-official-version

由于菜刀官方网站已关闭,现存的可能存在后门最好在虚拟机运行,上面项目已经进行了md5对比没有问题。
哥斯拉渗透工具,渗透测试,安全性测试,web安全,安全

菜刀webshell的静态特征

菜刀使用的webshell为一句话木马,特征十分明显

常见一句话(Eval):

PHP, ASP, ASP.NET 的网站都可以:
PHP: <?php @eval($_POST['caidao']);?>
ASP: <%eval request(“caidao”)%>
ASP.NET: <%@ Page Language=“Jscript”%><%eval(Request.Item[“caidao”],“unsafe”);%>

菜刀webshell的动态特征

请求包中:

ua头为百度爬虫

请求体中存在eavl,base64等特征字符

请求体中传递的payload为base64编码,并且存在固定的QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtpZihQSFBfVkVSU0lPTjwnNS4zLjAnKXtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO307ZWNobygiWEBZIik7J

请求体中执行结果响应为明文,格式为X@Y 结果 X@Y之中
哥斯拉渗透工具,渗透测试,安全性测试,web安全,安全
哥斯拉渗透工具,渗透测试,安全性测试,web安全,安全

蚁剑

AntSword(蚁剑)是一个开放源代码,跨平台的网站管理工具,旨在满足渗透测试人员以及具有权限和/或授权的安全研究人员以及网站管理员的需求。

github项目地址:https://github.com/AntSwordProject/antSword

哥斯拉渗透工具,渗透测试,安全性测试,web安全,安全

蚁剑webshell静态特征

https://github.com/AntSwordProject/AwesomeScript蚁剑官方为我们提供了制作好的后门,官方的脚本均做了不同程度“变异”,蚁剑的核心代码是由菜刀修改而来的,所有普通的一句话木马也可以使用。

Php中使用assert,eval执行, asp 使用eval ,在jsp使用的是Java类加载(ClassLoader),同时会带有base64编码解码等字符特征
哥斯拉渗透工具,渗透测试,安全性测试,web安全,安全

蚁剑webshell动态特征

默认编码连接时

这里我们直接使用菜刀的一句话webshell

每个请求体都存在@ini_set(“display_errors”, “0”);@set_time_limit(0)开头。并且存在base64等字符

响应包的结果返回格式为 随机数 结果 随机数
哥斯拉渗透工具,渗透测试,安全性测试,web安全,安全

使用base64编码器和解码器时

哥斯拉渗透工具,渗透测试,安全性测试,web安全,安全
蚁剑会随机生成一个参数传入base64编码后的代码,密码参数的值是通过POST获取随机参数的值然后进行base64解码后使用eval执行

响应包的结果返回格式为 随机数 编码后的结果 随机数
哥斯拉渗透工具,渗透测试,安全性测试,web安全,安全
哥斯拉渗透工具,渗透测试,安全性测试,web安全,安全

冰蝎

冰蝎是一款动态二进制加密网站管理客户端。

github地址:https://github.com/rebeyond/Behinder
哥斯拉渗透工具,渗透测试,安全性测试,web安全,安全
冰蝎文件夹中,server 文件中存放了各种类型的木马文件
哥斯拉渗透工具,渗透测试,安全性测试,web安全,安全

冰蝎webshell木马静态特征

这里主要分析3.0版本的

采用采用预共享密钥,密钥格式为md5(“admin”)[0:16], 所以在各种语言的webshell中都会存在16位数的连接密码,默认变量为k。

在PHP中会判断是否开启openssl采用不同的加密算法,在代码中同样会存在eval或assert等字符特征
哥斯拉渗透工具,渗透测试,安全性测试,web安全,安全
在aps中会在for循环进行一段异或处理
哥斯拉渗透工具,渗透测试,安全性测试,web安全,安全
在jsp中则利用java的反射,所以会存在ClassLoader,getClass().getClassLoader()等字符特征
哥斯拉渗透工具,渗透测试,安全性测试,web安全,安全

冰蝎2.0 webshell木马动态特征

在了解冰蝎3.0之前,先看看2.0是怎么交互等

2.0中采用协商密钥机制。第一阶段请求中返回包状态码为200,返回内容必定是16位的密钥

Accept: text/html, image/gif, image/jpeg, *; q=.2, /; q=.2
哥斯拉渗透工具,渗透测试,安全性测试,web安全,安全
建立连接后 所有请求 Cookie的格式都为: Cookie: PHPSESSID=; path=/;
哥斯拉渗透工具,渗透测试,安全性测试,web安全,安全

冰蝎3.0 webshell木马动态特征

在3.0中改了,去除了动态密钥协商机制,采用预共享密钥,全程无明文交互,密钥格式为md5(“admin”)[0:16],但还是会存在一些特征

在使用命令执行功能时,请求包中content-length 为5740或5720(可能会根据Java版本而改变)

每一个请求头中存在Pragma: no-cache,Cache-Control: no-cache

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,/;q=0.8,application/signed-exchange;v=b3;q=0.9
哥斯拉渗透工具,渗透测试,安全性测试,web安全,安全

哥斯拉

哥斯拉继菜刀、蚁剑、冰蝎之后具有更多优点的Webshell管理工具

github地址:https://github.com/BeichenDream/Godzilla
哥斯拉渗透工具,渗透测试,安全性测试,web安全,安全
哥斯拉的webshell需要动态生成,可以根据需求选择各种不同的加密方式
哥斯拉渗透工具,渗透测试,安全性测试,web安全,安全

哥斯拉webshell木马静态特征

选择默认脚本编码生成的情况下,jsp会出现xc,pass字符和Java反射(ClassLoader,getClass().getClassLoader()),base64加解码等特征
哥斯拉渗透工具,渗透测试,安全性测试,web安全,安全
php,asp则为普通的一句话木马哥斯拉渗透工具,渗透测试,安全性测试,web安全,安全
哥斯拉webshell动态特征
所有请求中Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,/;q=0.8

所有响应中Cache-Control: no-store, no-cache, must-revalidate,

以上两个只能作为弱特征参考

同时在所有请求中Cookie中后面都存在;特征
哥斯拉渗透工具,渗透测试,安全性测试,web安全,安全文章来源地址https://www.toymoban.com/news/detail-595803.html

到了这里,关于渗透测试-菜刀冰蝎蚁剑哥斯拉等webshell工具及特征分析的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 渗透测试之哥斯拉实战

    哥斯拉是一款shell权限管理工具,下载地址: Godzilla 下载 点击 管理 - 生成 生成shell: 将shell🐎传到目标服务器,开始连接: 选择目标 - 添加,配置连接信息,之后测试连接成功! 选中shell右键选择进入即可进入shell管理界面

    2024年02月09日
    浏览(33)
  • 哥斯拉加密WebShell过杀软

    哥斯拉是继菜刀、蚁剑、冰蝎之后具有更多优点的Webshell管理工具,由java语言开发,如名称一样,他的“凶猛”之处主要体现在: 1、哥斯拉全部类型的shell均过市面所有静态查杀。 2、静态免杀这个问题,要客观;工具放出来之后可能会免杀一段时间,后来就不行了,但是,

    2024年02月11日
    浏览(40)
  • 【webshell工具——蚁剑】蚁剑安装使用教程

    本篇内容主要为webshell工具蚁剑的安装以及使用,本人也通过查询较多的文章,进行了总结,由于是第一次接触,有些地方可能存在问题,欢迎评论区留言。 [步骤1] 蚁剑工具的下载 废话不多说直接放链接 加载(启动)器: 链接: https://github.com/AntSwordProject/AntSword-Loader 加速器选

    2024年02月07日
    浏览(90)
  • web安全第四天:webshell原理与菜刀使用

    1.1 WebShell的含义 WebShell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得

    2024年02月06日
    浏览(35)
  • [JAVA安全webshell]冰蝎jsp木马分析

    只是分享一下对冰蝎webshell分析的一个学习过程,冰蝎webshell使用了加载字节码的方式执行恶意代码。 首先打开webshell 这么一行实在不好看,先把他分行吧。 分完行之后,就很清晰明了了。 导入了三个依赖,一个是标准库,两个估计用于加密。 然后定义了一个类U,继承自

    2024年02月09日
    浏览(43)
  • Web安全-Godzilla(哥斯拉)Webshell管理工具使用

    点击页面右侧\\\"releases\\\",进入工具的版本下载页面。 在个人终端安装JDK1.8环境的情况下,下载jar包后打开即可 Payload类型 运行环境要求 JavaDynamicPayload java1.0及以上 CShapDynamicPayload .net2.0及以上 PhpDynamicPayload 4.3.0及以上 AspDynamicPayload 全版本 哥斯拉由Java语言开发,内置了3种Paylo

    2024年02月13日
    浏览(38)
  • Web安全-Behinder(冰蝎)Webshell管理工具使用

    点击页面右侧\\\"releases\\\",进入工具的版本下载页面。 在个人终端安装JDK1.8环境的情况下,下载zip压缩包后打开Behinder.jar即可 类别 运行环境要求 客户端 jre8+ 服务端 .net 2.0+;php 5.3-7.4;java 6+ 冰蝎(behinder)是一款动态二进制加密网站管理客户端。也叫做webshell管理工具,第一代w

    2024年02月13日
    浏览(47)
  • webshell管理工具-哥斯拉( Godzilla)的安装和基础使用

    哥斯拉相对于其他的webshell管理工具有过之而无不及: 哥斯拉全部类型的shell均过市面所有静态查杀 哥斯拉流量加密过市面全部流量waf 哥斯拉的自带的插件是冰蝎、蚁剑不能比拟的 可见其强大之处,具体介绍可以在github上面去了解:https://github.com/BeichenDream/Godzilla 安装及其简

    2024年02月09日
    浏览(41)
  • webshell管理工具-antSword(蚁剑)的安装和管理

    中国蚁剑是一款流行的网络安全工具,它由中国安全研究人员研发,主要用于测试和评估网络的安全性。 蚁剑具有强大的功能,可以用于远程控制和管理服务器,包括文件管理、进程管理、端口扫描、SQL注入、WebShell等功能。它还可以在未授权的情况下访问和操纵目标系统,

    2024年02月16日
    浏览(49)
  • Web安全-AntSword(中国蚁剑)Webshell管理工具使用

    蚂剑工具的下载分为两个部分,一个是项目核心源码antSword,另一个是加载器AntSword-Loader。我们依次进行下载,并且进行说明 先点击进入antSword,点击页面右侧\\\"releases\\\",进入工具的源码下载页面进行源码下载。 而后点击进入AntSword-Loader,点击页面右侧\\\"releases\\\",进入加载器下

    2024年02月12日
    浏览(42)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包