四大webshell流量特征(蚁剑冰蝎菜刀哥斯拉)

已于 2024-05-10 01:07:18 修改
阅读量1k 收藏 11
点赞数 9
文章标签: 网络 web安全 流量分析
于 2024-03-20 23:42:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_76690905/article/details/136891965
版权
本文探讨了在网络流量检测中如何识别基于Base64加密的恶意行为,如蚁剑、冰蝎恶意软件的不同版本特征,以及哥斯拉的cookie操纵。重点介绍了加密技术(如AES)、会话管理和恶意连接标志,对于IT安全专业人员提供了关于检测此类攻击的重要线索。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

菜刀

采用base64加密,检测思路就是分析流量包,发现大量的base64加密 密文就需要注意。请求体中会存在QG开头Qo结尾的固定代码( QGluaV9zZXQo ),存在base64关键字,有默认参数z0,存在eval,assert关键字(可能是拼接"ass"."ert",....

蚁剑

解密后存在特征@ini_set("display_errors","0"),混淆加密后的参数多数是0x=一串base64加密这种形式

冰蝎(面试的时候问了我冰蝎234版本的区别)

冰蝎2.0

强特征是 accept 里面有个 q=.2,因为内置了很多的UA头,所以当某一个相同IP重复请求,但是UA头不一样的时候就需要注意冰蝎(3次请求),

最低0.47元/天 解锁文章
Usagi!
关注
冰蝎哥斯拉流量特征
qq_53218512的博客
06-11 5221
webshell管理工具,冰蝎哥斯拉流量特征
菜刀冰蝎哥斯拉流量特征
eternitymd的博客
04-29 2万+
菜刀流量特征(最开始是明文传输,后来采用base64加密):PHP类WebShell链接流量 如下图: 第一:“eval”,eval函数用于执行传递的攻击payload,这是必不可少的; 第二:(base64_decode($_POST[z0]))(base64_decode($_POST[z0]))将攻击payload进行Base64解码,因为菜刀默认是使用Base64编码,以避免被检测; 第三:&z0=QGluaV9zZXQ...,该部分是传递攻击payload,此参数z0对应$_
流量特征分析——菜刀冰蝎哥斯拉
Sgirll的博客
07-22 1万+
通过对这三种常见的网络攻击工具流量特征的分析,我们可以更好地了解它们在网络流量中的表现。同时,持续的学习和了解新兴攻击工具的流量特征也是保持网络安全的重要一环。哥斯拉的数据包中包含了特定的标记,如"XORHEAD"和"XORBODY",用于标识该数据包是哥斯拉的控制命令。此外,哥斯拉还使用了一种自定义的二进制协议,在通信中传输各种类型的数据。本文将重点研究菜刀冰蝎这三种常见的网络攻击工具,分析它们在流量中留下的痕迹和特征,以便网络管理员和安全专家能够更好地识别和对抗这些工具所带来的潜在威胁。
常见webshell工具的流量特征
最新发布
weixin_75158417的博客
03-03 975
使用AES加密+base64编码,AES使用动态密钥对通信进行加密,进行请求时内置了十几个U-A头,每次请求时会随机选择其中一个。因此当发现一个IP的请求头中的u-a头在不断的发生变化,就有可能是冰蝎。因此当发现一个ip的请求头中的u-a在频繁变换,就可能是冰蝎。3.0连接jsp的webshell的请求数据包中的content-type字段常见为application/octet-stream。使用AES加密+base64编码,取消了2.0的动态获取密钥,使用固定的连接密钥,随机数 结果 随机数。
常见的webshell流量特征和检测思路
weixin_45585955的博客
04-11 7956
所以分析如上:该流量是WebShell链接流量的第一段链接流量,其中特征主要在i=A&z0=GB2312,菜刀链接JSP木马时,第一个参数定义操作,其中参数值为A-Q,如i=A,第二个参数指定编码,其参数值为编码,如z0=GB2312,有时候z0后面还会接着又z1=、z2=参数用来加入攻击载荷。最后传给cmd的这些流量字符中有自己的特征,1、都是系统命令;2、必须以分号结尾;至此,冰蝎成为了一个完美的开箱即用的工具,本体内存马免杀,流量免杀,功能齐全,兼容性好,在连续几年的攻防演练中,成为最热门的工具。
常见webshell工具流量特征分析(哥斯拉冰蝎菜刀)
weixin_45971758的博客
06-23 4672
message 是一段超极长的字符串,分析冰蝎请求中的 PHP 代码,发现他就是 content 经过 base64 -> aes 加密后生成的,作用和请求中的 content 一致都是绕过 $Content-Length。冰蝎webshell建立连接的同时,javaw也与目的主机建立tcp连接,每次连接使用本地端口在49700左右,每连接一次,每建立一次新的连接,端口就依次增加。content:“浏览器版本”。流量解密过程: 解AES密钥为(连接密码的MD5的前16位) --> 解base64两次。
WebShell流量特征检测_冰蝎
徐徐徐的博客
09-06 1410
冰蝎为了实现可以在webshell内添加任意内容 (比如gif89a子类的文件头或者其它标示字符) 冰蝎在初始化密钥时会对webshell进行两次访问,然后比较两次页面返回的差异,把两次请求都相同的字符记录一个位置,后续加密会用到这两个位置(beginIndex,endIndex)冰蝎通讯默认使用长连接,避免了频繁的握手造成的资源开销。冰蝎默认 Accept 字段的值很特殊,这个特征存在于冰蝎的任何一个通讯阶段。②密钥使用的是连接密码的MD5值的前16位,并存储于Session中。
常见Webshell&重大漏洞的流量特征(附解密流量工具)
Python_0011的博客
11-10 7951
攻防演练中,经常会看到一些加密的流量,又分不清楚是不是误报,本文总结了一些常见的流量特征,附流量解密工具。
三种常见webshell工具的流量特征分析
mashiro_hibiki的博客
04-10 1651
webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。使用方法简单,只需上传一个代码文件,通过网址访问,便可进行很多日常操作,极大地方便了使用者对网站和服务器的管理。正因如此,也有小部分人将代码修改后当作后门程序使用,以达到控制网站服务器的目的,也可以将其称做为一种网页后门。
Webshell工具的流量特征分析(菜刀冰蝎哥斯拉
热门推荐
告白的博客
05-31 3万+
0x00 前言 使用各种的shell工具获取到目标权限,即可进行数据操作,今天来简要分析一下目前常使用的各类shell管理工具的流量特诊,帮助蓝队同学在风险识别上快速初值 0x01 中国菜刀流量分析 0x02 ......
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 2528
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
常见webshell工具及特征分析
白帽黑客八哥的博客
05-29 2211
在工作中经常会遇到各种websehll,黑客通常要通过各种方式获取 webshell,从而获得企业网站的控制权,识别出webshell文件或通信流量可以有效地阻止黑客进一步的攻击行为,下面以常见的四款webshell进行分析,对工具连接流量有个基本认识。Webshell简介webshell就是以aspphp、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。
webshell客户端流量特征
buffedon的博客
07-14 5071
webshell客户端流量特征概述:1. 冰蝎2. 中国菜刀2011,2014版本2016版本3. Cknife4. 5. 哥斯拉 webshell客户端 用于webshell后门和攻击者之间的通信程序,我们可以通过webshell客户端的流量来判断服务器上是否存在Webshell后门。 概述: 中国菜刀流量特征比较明显,2011,2014版本中,流量中有的php代码,asp代码是明文形式,jsp代码有固定格式,容易被检测出来。2016版本隐蔽性增强,对php,asp代码增加了混淆,还对ASP代码进行
冰蝎菜刀哥斯拉流量特征
故事讲予风听
07-18 3386
菜刀冰蝎哥斯拉
webshell流量特征
ka_ka11的博客
03-28 1183
webshell
哥斯拉冰蝎、中国在护网中流量特征分析,收藏起来当资料吧,24年护网用得上
小司机的奥拓
06-04 1521
包含了应急响应工具、入侵排查、日志分析、权限维持、Windows应急实战、Linux应急实战、Web应急实战。护网中最担心的是木马已经到了服务器,我们的监控软件却没告警,之所以没有告警主要原因就是我们使用的木马进行了各种加密和变种,导致了监控软件根本无法解密识别,今天我们就对市面上最常见的三款shell管理工具哥斯拉冰蝎、中国的流量进行分析,以确保我们在护网时遇到看不懂。
护网HW面试常问——webshell&内存马流量特征以及查杀
DamnVanish的博客
07-13 2528
先判断是通过什么方法注入的内存马,可以先查看web日志是否有可疑的web访问日志,如果是filter或者listener类型就会有大量url请求路径相同参数不同的,或者页面不存在但是返回200的,查看是否有类似哥斯拉冰蝎相同的url请求,哥斯拉冰蝎的内存马注入流量特征与普通webshell流量特征基本吻合。冰蝎webshell建立连接的同时,java也与目的主机建立tcp连接,每次连接使用本地端口在49700左右,每连接一次,每建立一次新的连接,端口就依次增加。可以对符合该范围内的端口告警。
冰蝎哥斯拉流量特征分析
yggcwhat
08-19 824
冰蝎4.0就变了、是自定义传输协议的、因为传输的内容含有key:vule 这样的json字符串、所以如果是默认key的情况下(默认时,所有冰蝎4.0 webshell都有“e45e329feb5d925b” 一串密钥。冰蝎3.0变了、变成固定秘钥了、变成默认的秘钥rebeyond了、但是也可以改的、并且秘钥是拿MD5(rebeyond)的MD5值的前16位作为AES的秘钥进行加密再base64传输、特征的话就是每次请求都是不同的Accept、如果发现同一ip多次不同Accept就可能有问题了、
冰蝎哥斯拉流量特征
01-07
### 冰蝎哥斯拉 WebShell 工具的网络通信流量特征 #### (AntSword) 采用静态加密方式处理其WebShell通信,这使得其流量具有一定的可识别性。然而,随着版本更新,引入了更复杂的加密机制来规避安全软件的检测[^2]。 对于而言,主要通过HTTP(S)协议进行通信,并且会利用多种技术手段隐藏恶意行为: - **请求头**:通常包含特定User-Agent字符串以及自定义Cookie字段。 - **POST参数**:使用Base64编码或其他形式的数据混淆方法传递命令或脚本代码。 - **响应内容**:返回的结果同样经过编码处理,增加了直接解析难度。 ```python import base64 def encode_payload(data): """模拟对有效负载进行简单编码""" encoded_data = base64.b64encode(data.encode()).decode() return f"{encoded_data}" ``` #### 冰蝎 (BingChen) 冰蝎3代相比前一代进行了改进,取消了动态密钥获取功能,转而采取其他措施增强隐蔽性和抗分析能力[^3]。具体表现在以下几个方面: - **传输层协议**:依旧依赖于HTTPS/TLS通道确保数据安全性的同时减少被拦截风险。 - **应用层伪装**:模仿正常网页浏览活动模式发送请求并接收回复;例如设置合理的`Accept-Language`, `Referer`等头部信息。 - **内部逻辑优化**:简化了一些不必要的交互流程,降低了异常行为暴露的可能性。 ```bash curl -X POST \ https://example.com/shell.php \ -H 'Content-Type: application/x-www-form-urlencoded' \ -d 'cmd=id' ``` #### 哥斯拉 (Godzilla) 哥斯拉以其高度定制化的特性著称,在实际运用过程中展现出极强的适应能力和灵活性[^4]。以下是该工具的一些典型特点: - **特殊标志符**:所有发出的数据包均以关键字"godzilla"作为起始标记,便于后续操作确认身份合法性。 - **ICMP隧道构建**:不同于传统基于TCP/UDP的应用程序,哥斯拉能够创建基于ICMP Echo Request & Reply的消息交换路径完成远程控制指令下发。 - **固定长度载荷**:每次传输的有效载荷大小保持一致(如92字节),有助于进一步掩盖真实意图。 ```csharp using System.Net.NetworkInformation; public static void SendPing(string targetIp, string payload) { Ping pingSender = new Ping(); byte[] buffer = Encoding.ASCII.GetBytes($"godzilla{payload}"); // Ensure the length of data is fixed to 92 bytes. Array.Resize(ref buffer, 92); var reply = pingSender.Send(targetIp, 120, buffer); } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值