【流量分析-CS-HTTP协议-源码特征】

已于 2024-05-21 09:09:14 修改
阅读量1k 收藏 22
点赞数 26
分类专栏: web网络安全 文章标签: web安全 安全
于 2024-05-21 08:43:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_76261573/article/details/139078975
版权

【web网络安全】网络安全基础阶段五(实战篇)

流量分析-CS-HTTP协议-源码特征

文章目录

前言

本次通过继上一个不同于mfs的一个cobalt strike界面入侵检查工具,完成HTTP协议的x32和x64的后门入侵,并进行安全方面的wireshark流量分析和利用checksum8算法的强特征分析。

一、查看本地IP地址

输入命令:ifconfig

在这里插入图片描述这里可以得到kali的ip:192.168.75.48

二、通过cs将kali作为监控服务器

1.切换cs所在路径

输入命令:cd cobaltstrike4.3

在这里插入图片描述

2.运行监控服务器

2.1查看当前目录所有文件

输入命令:ls

在这里插入图片描述这里可以看到里面有个teamserver,应该就是我们所需要的监控服务器了。

2.2启动监控服务器

输入命令:./teamserver 192.168.75.48 TSIN

在这里插入图片描述./teamserver 192.168.75.48 TSIN这行命令进行分解为:
./teamserver lhost 自己设的密码
这里我的ip地址就为:192.168.75.48
密码设为:TSIN
这里要注意我们的服务器的端口号为:50050,后面会用到

三、打开cs界面软件

1.进行第三方cs软件和cs服务器的连接

在这里插入图片描述这里的端口号一点要对于好我们在kali开放的端口号,一般默认为50050.
账号随便输入就好,ip地址和密码要用之前我们自己设的。
注意这里要书写输入,不能直接粘贴,不要问,自己多试试就知道啦,说多了都是《泪》。

2.错误情况

2.1超时连接

在这里插入图片描述额,超时,可能是太久了,没有马上连接,就给取消这个端口了把,看下端口占用情况把…

2.2查看端口占用情况

输入命令: netstat -ano | grep 50050

在这里插入图片描述这里可以看到已经off关闭了这个端口,重新启动把。

3.解决方案

1.chmod 777 ./teamserver #给权限
2.netstat -nulpt//查看端口占用情况
3.lsof -i:50050//找到对应的50050端口
4.kill -9 id//杀掉对应的进程id

                                             成功进入!

在这里插入图片描述

三、开始监听

1.设置多个监听端口

在这里插入图片描述我这里设置了原有的来个监听:一个6666端口,一个7777端口。

2.设置x32和x64木马载荷

在这里插入图片描述
这里我放到了桌面,分别命名;x32.exe和x64.exe分别对应HTTP的32位和64位反向HTTP
和上次的mfs差不多。

在这里插入图片描述

四、开始wireshark流量分析

1.32位HTTP流量分析

在这里插入图片描述可以看到第一个有点特殊,不满足平常的流量包,开始追踪TCP流。
小白:小坤,明明说HTTP协议,为什么要追踪TCP流呢?你是不是谁错了啊。
小坤:这是因为在HTTP对应的就是传输层TCP协议,就是这么规定的,而且TCP还不会丢包哦。

在这里插入图片描述

这里可以看到里面竟然时乱码,一点信息都看不到,不过光单凭这个/3njQ绝对有问题滴。

2.64位HTTP流量分析

在这里插入图片描述
和前面的x32位差不多,这里不多赘述了,提取特征字符:“/kOAb ”

五、cs特征采集。

1.将HTTP 32位 “/3njQ”放入cs特征校验编码。

CS 源代码特征之一-----checksum8(92L 93L)

源码示例:
public class Main {
public static long checksum8(String text) {
if(text.length()<4) {
return 0L;
}
text = text.replace(“/”, “”);
long sum=0L;
for(int x = 0; x < text.length(); x++) {
sum += text.charAt(x);
}
return sum % 256L;
}
public static void main(String[] args) throws Exception {
System.out.println(checksum8(“/3njQ”));
}
}
这里可以看到只要满足输出结果:92L和93L就是一个cs的恶意代码,
这里"/3njQ“中的”/“可以省略,根据代码可以看到过滤掉了”/“,
这里提供一个在线编程工具:https://www.jyshare.com/compile/10
将上述源码复制粘贴到这个网址中运行观察结果。
在这里插入图片描述
可以看到满足预期要求,输出为92,那么预测一手,64为有效载荷就是剩下的93了呗。

2.将HTTP 64位 “/kOAb”放入cs特征校验编码。

在这里插入图片描述输出果然为93.
通过之前的分析,我们知道了这个恶意代码时来自cs的一种恶意代码,下面直接根据我们的心跳解析包,去解析暗文报文,看看里面究竟是个啥。

六、解析请求报文

1.将x64流量包导出

在这里插入图片描述这里注意一定要更改.vir文件格式

2.开始解释暗文报文

这里要先将我们的流量包放入到我们的心跳解析包中。然后开始cmd命令。

输入命令:python 1768.py kOAb.vir

在这里插入图片描述这是之前翻的车,查了一下其中的原因,是因为py3和py2对Cstringio流不兼容的问题。

3.解决方案

在运行的时候有可能会报错提示缺少pefileand/orpeutils模块,直接使用pipinstallpefile和
pip install peutil 安装这两个模块即可。

在这里插入图片描述
成功解释了我们的报文日志,可以看到这是 反向的http连接,跟上一次我讲的msf的http恶意木马一个东西嘛。

实验工具:
cs监听工具:https://www.123pan.com/s/oAIbjv-qzWod.html提取码:7Guv
心跳解密工具:https://www.123pan.com/s/oAIbjv-6zWod.html提取码:2G2g

总结

以上就是今天要讲的内容,本成HTTP协议的x32和x64的后门入侵,并进行安全方面的wireshark流量分析和利用checksum8算法的强特征分析。
小编制作不易,你的点赞和关注就是给小编的最大支持,不说了,继续赶稿了,有人要催更啦!

我要疯掉了
关注
  • 26
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Cobalt Strike(CS流量分析
小千安全
04-21 6615
为了识别 Cobalt Strike 生成的 HTTPS 流量,可以收集不同 TLS 实现的 JA3S 值,构建 JA3S 签名库,并结合其他特征和行为进行综合分析和判断。同时,反编译CS的源代码也可以得知,92L对应于x86位的木马,而93L对应于x64位的后门。在 HTTPS 协议的 Client Hello 和 Server Hello 阶段,都包含了 JA3S 值传输过程过程中会有 ja3,这个值在系统上是固定的,win10是一种的 但win11是另一种 他们取决于操作系统。
朔源反制:cs流量分析
wuqingsix的博客
02-19 1169
特征:url headers format 这些需要自己更改配置文件在控制端temview的时候配置文件profile参数。强特征:TCP数据包中含有ja3,ja3s中的值为强特征 C hello S hello。wireshrk 筛选出符合本机通信与木马通信端的TLSv1的协议。进行wireshrk抓包筛选http 可获得一些cs独有的特征。测试http上线检测:eth0为监听的网卡 yaml为规则。强特征:请求含有checksum8规则的路径。基础特征:魔改的基本都会改。
应急响应-CS流量分析&心跳指令&特征提取
siu~
04-13 802
战后-流量分析-CS
从一道例题分析CS流量解密
AomCC的博客
09-26 514
2021绿城杯misc流量分析CS流量解密
CS的流量行为特征
门柚的博客
07-26 5449
CS的流量行为特征
商业编程-源码-CS模式考试程序制作详解.zip
06-21
商业编程-源码-CS模式考试程序制作详解.zip
DCN-CS6200-28X-Pro-7.5.3.2
11-02
DCN-CS6200-PRO设备镜像
php-cs-fixer.phar
05-30
php-cs-fixer v2.16.3,来源 https://github.com/friendsofphp/php-cs-fixer
最新Photoshop-CS认证试题.docx
12-14
最新Photoshop-CS认证试题.docx
CS6200-28X-pro-3.1.5-操作手册
10-24
操作步骤
[2021绿城杯] [Misc] 流量分析 + cobaltstrike 流量解密
ShenZ的博客
03-17 4870
2021年“绿城杯”网络安全大赛-Misc-流量分析 1.webshell分析 2.解密 cobaltstrike 流量 (1)分析`.cobaltstrike.beacon_keys`得到私钥 (2)通过私钥解密元数据、获取 `AES KEY` (3)解密cs流量 框架是Laravel,利用CVE-2021-3129命令执行写马。 分析发现webshell是/.config.php tcp.stream eq 2509
流量特征分析--------------- cs、菜刀、蚁剑、冰蝎
qq_63278311的博客
11-16 1180
2) 指令执行完后,client端通过POST请求发送执行的结果数据,body部分通过加密和base64编码。") 此数据由冰蝎加载器发出的,已经定义好的。1) 下发指令时,通过心跳包接收指令,这时,server端返回的包更长,甚至包含要加载的dll模块数据。3) 不同指令,执行的时间间隔不一样,可以通过POST请求和GET请求的间隔进行判断。1) 在请求的返回包中,通信数据均隐藏在jqeury*.js中。1) 间隔一定时间,均有通信,且流级上的上下行数据长度固定;如果用默认的蚁剑测试,连接时会请求两次。
常见Webshell&重大漏洞的流量特征(附解密流量工具)
Python_0011的博客
11-10 3775
攻防演练中,经常会看到一些加密的流量,又分不清楚是不是误报,本文总结了一些常见的流量特征,附流量解密工具。
wireshark数据包分析与取证web流量分析
m0_74025111的博客
11-10 646
1.使用Wireshark查看并分析虚拟机windows10桌面下的web.pcap数据包,然后根据所得信息进行确定服务器上发起这些请求的源 IP 地址作为flag提交。提交格式flag{xxxxxxxxx}3.攻击者在我们的服务器上发现开放端口后,似乎试图枚举我们 Web 服务器上的目录和文件。4.在攻击者枚举 Web 服务器上的目录之后,攻击者发出了大量请求,试图识别管理界面。提交格式flag{xxxxxxxxx}其实题目的意思就是去查看登录的指纹 flag{manager}
CobaltStrike视频教程
04-20
本套视频教程主要讲的CobaltStrike工具使用,通过学习这套视频教程可以深入了解CobaltStrike,全是用真实服务器与cdn进行实战练习,对后期渗透测试、溯源、反制有一个很大的提升。
CTF 流量分析Wireshark Certificate例题
晚安這個未知的世界
01-27 6565
前言 昨晚6点多的时候,朋友突然给我发了一道流量分析题,当时在吃饭,结果一直到8点多才开始分析这个流量包,这种题在网上太少碰到 题目附件链接:https://pan.baidu.com/s/1Vz8XBen_nrkfqRxSDbN2sg 密码:7xq8 先打开附件,一看上去就只有TLSv1.2和TCP两种协议,以往流量包解的最多都是HTTP协议,所以我们要进行解密才能看到里面的包加密信息,然后由于前段时间的羊城杯CTF比赛也是有一题流量分析,里面有很多TCP协议,我就看一下是不是TCP隐写,结果不是。
CS客户端渗透测试(二)信息收集与流量分析
weixin_46137328的博客
12-20 3141
信息收集当我们拿到一个客户端软件的时候,信息收集是渗透测试的第一步,也是至关重要的一步。在这个阶段,我们需要尽可能的收集与目标应用程序相关的信息。查看程序基本信息:工具:CFF Exp...
网络安全管理组织架构复习
最新发布
LongL_GuYu的博客
06-12 314
网络安全管理组织架构复习
jfet-cs放大电路
11-10
JFET-CS放大电路是一种基于JFET(结型场效应晶体管)的放大电路。这种放大电路常用于信号放大和放大器设计。 JFET-CS放大电路由一个源极接地的结型场效应晶体管(JFET)组成,输入信号通过栅极加在晶体管上,输出信号从漏极处提取。此电路的特点是输入阻抗高,输出阻抗低,并且具有较大的电压增益。 当输入信号施加到栅极上时,由于JFET具有控制栅极-漏极电流的特性,它会对输入信号进行放大。由于JFET的输入阻抗较高,所以它可以有效地接收来自信号源的输入信号,并将其放大。此外,输出信号从漏极提取,因此输出阻抗较低,可以驱动负载。 JFET-CS放大电路的电压增益取决于晶体管的特性和工作点的选择。通过调整偏置电压和电流,可以实现所需的增益。此外,这种放大电路还可以通过添加耦合电容和直流偏置电路来滤除直流偏置。 总之,JFET-CS放大电路是一种灵活、可靠且易于设计的放大电路。它可以在不同的应用中使用,如音频放大器、通信系统和测量设备等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

我要疯掉了

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值