webshell客户端流量特征
webshell客户端流量特征
目录
1. 冰蝎
2. 中国菜刀
3. Cknife
4. 蚁剑
5. 哥斯拉
webshell客户端 用于webshell后门和攻击者之间的通信程序,我们可以通过webshell客户端的流量来判断服务器上是否存在Webshell后门。
概述:
中国菜刀:流量特征比较明显,2011,2014版本中,流量中有的php代码,asp代码是明文形式,jsp代码有固定格式,容易被检测出来。2016版本隐蔽性增强,对php,asp代码增加了混淆,还对ASP代码进行了unicode编码
Cknife:Cknife流量的特征就是在body部分的参数值均为base64编码,将该部分进行base64解码后,其流量特征同中国菜刀一致
蚁剑:可以对流量进行加密、混淆。但是有些关键代码没有被加密,如:PHP中的ini_set;ASP中的OnError,response等
冰蝎:是一款动态二进制加密网站管理客户端。主要用于配合服务端shell的动态二进制加密通信,适用于WAF拦截回显等场景,客户端的流量无法检测。
哥斯拉:是基于流量、HTTP全加密的webshell工具。哥斯拉全部类型的shell 能绕过市面所有静态查杀;哥斯拉流量加密 能绕过市面全部流量waf。
注:以下图片较少,可以在webshell上设置代理,结合brupsuite抓包的方式进行流量的抓取,进行流量特征的比对
1. 冰蝎
是一款动态二进制加密网站管理客户端。主要用于配合服务端shell的动态二进制加密通信,适用于WAF拦截回显等场景,客户端的流量无法检测。
冰蝎3.0 取消动态密钥获取,目前很多waf等设备都做了冰蝎2.0的流量特征分析。所以3.0取消了动态密钥获取
冰蝎3.0新增了无动态密钥交互。只有在无动态密钥交互失败后,才会进入常规的密钥交互阶段。密钥生成可以看出,使用密码的md5结果的前16位
冰蝎3.0强特征
1、content-type
2、Accept&Cache-Control
3、内置16个ua头
4、content-length请求长度
2. 中国菜刀
总结:流量特征比较明显,2011,2014版本中,流量中有的php代码,asp代码是明文形式,jsp代码有固定格式,容易被检测出来。2016版本隐蔽性增强,对php,asp代码增加了混淆,还对ASP代码进行了unicode编码
2011,2014版本
php流量特征
url解码:
php流量特征分析:
1、eval执行php代码
2、base64_decode($POST[z0]) ; 设置payload的编码方式
3、&z0=… 是攻击载荷
上面这些关键代码没有被加密,容易被识别
jsp流量特征
流量的格式 i=A&z0=…
1、i=A 指定操作
2、&z0=GB2312 指定编码
ASP流量特征
1、excute
2、OnError ResumeNext
3、Response.Write和Response.End是必有的,是来完善整个操作的
上述关键字没有被加密,通过流量中的这些关键代码,识别是ASP流量
2016版本
在隐蔽性上进行了增强,流量中加入了混淆
php流量特征
@eval @ev"."al
“Ba”.“SE6”.“4_dEc”.“OdE” 这部分是将base64解码打断使用 . 来连接
JSP流量特征
i=A&z0=GB2312&Z1=&Z2=
1、i=A 指定操作
2、&z0=GB2312 指定编码
3、z1,z2后面是payload
ASP流量特征
body中部分字符被Unicode编码替换混淆
3. Cknife
只要支持动态脚本的网站,都可以用中国菜刀进行管理
Cknife流量的特征就是在body部分的参数值均为base64编码,将该部分进行base64解码后,其流量特征同中国菜刀一致,所以不再另行展开分析
4. 蚁剑
可以对流量进行加密、混淆。但是有些关键代码没有被加密,如:PHP中的ini_set;ASP中的OnError,response等
蚁剑PHP类WebShell链接流量
对php中的某些代码没有加密,例如ini_set,set_time_limit。比较容易被识别
蚁剑ASP类WebShell
OnError ResumeNext,response等没有被加密,是明文的形式,比较容易识别
execute在蚁剑中被打断混淆了,变成了拼接形式Ex"&cHr(101)&"cute
蚁剑绕过特征流量
蚁剑混淆加密后还有一个比较明显的特征,即为参数名大多以“_0x…=”这种形式
5. 哥斯拉
是基于流量、HTTP全加密的webshell工具
哥斯拉全部类型的shell 能绕过市面所有静态查杀
哥斯拉流量加密 能绕过市面全部流量waf
webshell客户端流量特征相关推荐
- 常见WebShell客户端的流量特征及检测思路
常见WebShell客户端的流量特征及检测思路 01概述 开始之前先明确什么是webshell客户端?先问个问题,什么是客户端,什么是服务端? 很简单,提供服务的就是服务端,要求被服务的就是客户端.那 ...
- 菜刀、冰蝎、蚁剑、哥斯拉的流量特征
干货|菜刀.冰蝎.蚁剑.哥斯拉的流量特征 文章目录 干货|菜刀.冰蝎.蚁剑.哥斯拉的流量特征 菜刀流量特征 蚁剑(PHP用base64加密): 冰蝎(AES对称加密): 哥斯拉(base64加密): ...
- flowcontainer: 基于python3的pcap网络流量特征信息提取库
库介绍 flowcontainer是由信息工程研究所智能信息对抗组开源的基于python3的网络流量基本信息提取库,以方便完成网络流量的分析任务.给定pcap文件,该库会提取pcap所有的流的相关信息 ...
- Nmap流量特征修改(NTA、IDS、IPS、流量审计)
目录 0x01 前言 参考链接 0x02 环境 0x03 nmap探测的常用几种方式 -sS (SYN扫描) -sT (TCP扫描) -sU(UDP扫描) -sN:-sF:-sX (TCP Null, ...
- win11下载配置CIC Flowmeter环境并提取流量特征
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言 一.下载CIC Flowmeter 二.安装java.maven.gradle和IDEA 1.java 1.8 2.m ...
- FRP编译并去除流量特征
FRP编译并安装 环境准备 配置Go编译环境 编译FRP 环境准备 配置Go编译环境 1.下载go依赖包 $ wget https://go.dev/dl/go1.19.5.linux-amd64.t ...
- 负载均衡器如何在服务器之间分配客户端流量?
https://kemptechnologies.com/load-balancer/load-balancing-algorithms-techniques/ 有许多技术和算法可用于智能地平衡服务器 ...
- 菜刀,蚁剑,冰蝎,哥斯拉的流量特征
蚁剑: ini_set ini_set_time ini_set_limit @ini_set("display_errors","0") 部分代码明文传输,较 ...
- php流量中转,中转Webshell绕过流量检测防护
->_ 0x00 前言 前一阵子心情不太好,本来已经不打算写东西了,但想到自己在学习的时候摸爬滚打,吃尽了苦头,现在虽小有成就,但仍有很多同行道友在这条道路上不断摸索,思索再三,还是打算继续写下 ...
最新文章
- 一款SQL自动检查神器,再也不用担心SQL出错了,自动补全、回滚等功能大全
- python 整数 拆分 分段
- EasyTouch初步使用
- [AX]AX2012 纪录缓存
- 方法练习3_打印指定次数的HelloWorld
- android studio gradle 打出jar,同时将依赖的第三方jar打包在一起
- Oracle入门(七A)之表空间配额(quota)
- 浩鲸科技与帆软达成战略合作,重磅推出数据中台联合解决方案
- 《R语言与数据挖掘最佳实践和经典案例》—— 3.5 将图表保存到文件中
- 常用连续型分布介绍及R语言实现
- 重温html5的新增的标签和废除的标签
- SSH进阶(2)——用Struts拦截器实现登陆限制
- Python对话框使用
- 概念数据模型(E-R模型)
- Linux常用命令宝典(简单易懂)
- 项目:文件搜索助手(FileSeeker)
- 群辉 Docker-x64-17.05.0-0400.spk,用来群晖洗白,安装ddsm使用
- 线圈绕制中漆包线的简单介绍
- 什么内网穿透?如何使用内网穿透?
- Vue项目antdv中scopedSlots的customRender和customRender函数冲突