webshell管理工具、C2远控服务器流量分析

最新推荐文章于 2025-06-05 16:43:45 发布
最新推荐文章于 2025-06-05 16:43:45 发布
阅读量992 收藏 16
点赞数 30
文章标签: 服务器 运维 web安全 网络安全 哥sika
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_81945070/article/details/148406497
版权

文章目录

一、Webshell管理工具流量分析

1. 蚁剑(AntSword)

核心特征

  • 请求特征
    • 请求体中固定以@ini_set("display_errors","0");@set_time_limit(0)开头
    • 参数名常为_0x开头的十六进制字符串(如_0x3d8f
    • 默认编码下Payload明文可见,含evalassert关键字
  • 响应特征
    • 返回结果为Base64编码格式,结构为随机数+结果+随机数
    • 执行命令后返回200状态码及明文结果(如cat /etc/passwd

检测建议

  • 监控高频POST请求中是否含eval及固定前缀
  • 分析响应包是否匹配随机数-Base64-随机数结构

2. 冰蝎(Behinder)

核心特征:

  • 强加密
    • 全程AES加密(默认128位),密钥通过首次请求的响应动态生成(16字节随机值+MD5)。
    • 所有请求体/响应体为二进制流,无明文特征。
  • 协议伪装
    • 请求头包含Content-Type: application/octet-stream
    • 会话维持依赖长Cookie(如PHPSESSID异常值)。
  • 心跳机制
    • 定时发送固定长度数据包(如16字节)维持连接。

检测建议

  • 识别application/octet-stream类型的长连接请求。
  • 分析TLS流量中固定时间间隔的心跳包(需解密HTTPS)。

3. 哥斯拉(Godzilla)

核心特征

  • 协议特征
    • Cookie结尾带分号(如JSESSIONID=xxx;
    • Accept头为text/html, image/gif, image/jpeg, *;q=0.2
  • 响应结构
    • 返回包含32位MD5分段:前16位 + Base64数据 + 后16位
    • 如:7FEF617FACC31F7B+[加密数据]+D4E6F45C8E6D4D8C

加密模式

  • 支持AES_BASE64XOR_RAW等,PHP版Payload含passxc字符

检测建议

  • 监控异常Cookie分号及MD5分段响应
  • 分析初始化阶段大流量包(首包>1KB)

二、常见C2远控服务器流量分析

1. Metasploit

流量模型

阶段特征
Stager阶段HTTP GET下载Payload,URL路径随机,响应含MZ头(如4D 5A
心跳包默认60秒间隔,UA固定为Mozilla/5.0 (Windows NT 6.1; Trident/7.0; rv:11.0)
指令传输TCP流含rundll32.exe进程注入行为,Sysmon日志记录CreateRemoteThread

加密优化

  • 使用reverse_httpsrc4加密流量(如set payload windows/meterpreter/reverse_https

检测建议

  • 抓取HTTP下载流量,检查MZ头及DOS异常标志
  • 分析周期性心跳包与进程注入行为

2. CobaltStrike

核心指纹

  • HTTP Beacon
    • 路径符checksum8规则:路径ASCII和模256等于92/93(如/Yle2→92)
    • 心跳包Cookie含Base64加密的元数据(如Cookie: cAXQVyVbLBjHcJ=
    • 指令下发路径为/submit.php?id=xxx
  • HTTPS特征
    • 默认证书JA3指纹固定(如db36bad574044a5104a59b0c676991ef
    • 自签名证书易被识别(可通过Malleable C2配置伪证书)

DNS隐蔽信道

  • 使用A记录查询传递指令(如www6.[域名]0.0.0.243

检测建议

  • 识别checksum8路径和高频DNS异常解析
  • 解密Beacon元数据(工具:cs-parse-http-traffic.py

三、防御对抗策略总结

工具类型关键检测点防御方案
Webshell工具固定头/关键字、加密结构、高频POST禁用eval/system函数;监控文件修改
C2远控心跳包规律、协议指纹、证书异常限制出站端口;部署JA3指纹检测

深度防御建议

  1. 流量层面
  • 对HTTPS流量做DPI解密,检测加密Payload
  • 使用Suricata定制规则(如检测checksum8路径)
  1. 主机层面
  • 监控敏感目录文件变更(如/tmp/dev/shm
  • 分析进程网络连接(netstat -anp \| grep ESTABLISHED
  1. AI辅助
  • 训练ML模型识别加密流量行为模式(如哥斯拉MD5分段)
桑晒.
关注
应急响应windows+linux
qq_32445755的博客
09-06 230
web入侵:网页挂马、主页篡改、Webshell系统入侵:病毒、勒索软件、后门网络攻击:ddos、DNS劫持、ARP欺骗。
从零至壹上贰弃叁得肆之综合渗透贯穿始终
战神/calmness的博客
01-03 715
描述 题目的意思是从0开始进行外网的渗透测试到达壹;之后进行内网漫游属于贰;应急响应是叁,应急响应中摒弃病毒、木马文件等,之后进行追踪溯源的操作,获取黑客信息属于肆;其次就是后期的运营方面的建设; 进行从开始的环境搭建步步紧跟,资料的查询,不断地思考,提升内在解决问题的能力;从而构造安全建设的内外体系的形成; 思路 kali 首先攻击win7【CMS】-横向移动发现win10和win2008-攻击域win2012-拿下域权限-进行应急响应去处置-之后溯源-找到黑客信息进行封杀-后期进行安全运营建
【HW系列】—C2服务器(webshell链接工具, metasploit、cobaltstrike)的漏洞特征流量特征
2402_84408069的博客
05-29 1333
本文分析了常见渗透工具蚁剑、冰蝎、斯拉以及Metasploit、CobaltStrike的流量特征。蚁剑流量包含PHP代码片段和特殊参数名,冰蝎采用动态密钥协商和固定Content-Type标识,斯拉则带有异常Cookie特征。Metasploit分阶段下载Payload并通过异常端口交互,CobaltStrike具有checksum8路径规则和DNS异常查询特征。检测建议包括监异常流量模式、分析进程日志,防御策略推荐框架加固和网络防护。本文仅作技术研究,禁止非法使用。
实战shell免杀&C2&工具魔改(免杀日记 - 上篇)
guanjian_ci的博客
06-05 7328
1、上面实验内容并不多,但是工具的使用、环境的安装、代码的排错够新手玩上几天了。2、绕过杀毒软件的本质就是防止被杀毒库匹配,代码、工具指纹等等!3、一个好的免杀,一定具备了多方面的性能:防杀软、绕过流量平台、防沙箱、防逆向调试后依然能够正常运行上线!4、此文章分上 、 中 、下,未完待续... ...
常见Webshell&重大漏洞的流量特征(附解密流量工具)
A1_3_9_7的博客
04-27 931
攻防演练中,经常会看到一些加密的流量,又分不清楚是不是误报,本文总结了一些常见的流量特征,附流量解密工具。
网络安全】常见Webshell&重大漏洞的流量特征
程序员若风的博客
09-18 1660
攻防演练中,经常会看到一些加密的流量,又分不清楚是不是误报,本文总结了一些常见的流量特征。
渗透测试工具大全
2401_84466336的博客
05-24 2139
所有工具仅能在取得足够合法授权的企业安全建设中使用,在使用所有工具过程中,您应确保自己所有行为符合当地的法律法规。如您在使用所有工具的过程中存在任何非法行为,您将自行承担所有后果,所有工具所有开发者和所有贡献者不承担任何法律及连带责任。您的使用行为或者您以其他任何明示或者默示方式表示接受本协议的,即视为您已阅读并同意本协议的约束。本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。3不会收取任何广告费用,展示的所有工具链接与本人无任何利害关系。
学习干货HVV必学工具及Webshell流量合集分析(建议收藏+附面试题)
2401_84578953的博客
09-23 1157
[外链**斯拉/**
红队基操系列:流量代理、免杀钓鱼
白帽黑客八哥的博客
06-03 1021
本次自搭靶场,重点试验了流量转发、分离免杀、内网钓鱼等渗透技术,成功实现了一次整体上较为接近实际场景的渗透测试;当然也留下了很多值得琢磨的地方,比如netcat过不了杀软、如何实现此类常用hack工具的模改免杀,比如nmap走代理扫描时,-sS/-sA/-sF均失效,只有全连接生效,原因是什么,比如如何利用pdf/word实现更有效的钓鱼攻击...
设备面试题+蓝队知识题+流量
LCW991207的博客
04-02 2762
fastjson提供了autotype功能,在请求过程中,我们可以在请求包中通过修改@type的值,来反序列化为指定的类型,而fastjson在反序列化过程中会设置和获取类中的属性,如果类中存在恶意方法,就会导致代码执行等这类问题。服务端提供了能够从其他服务器应用获取数据的功能,我们服务端请求的目标都是与该请求服务器处于同一内网的资源服务,但是如果没有对这个请求的目标地址、文件等做充足的过滤和限制,攻击者可通过篡改这个请求的目标地址来进行伪造请求,进行未授权访问。OA啊,等等,做的真实一点点。
适用于渗透测试不同阶段的工具收集整理
_V_
04-10 1796
转载自:https://www.freebuf.com/sectool/175767.html 原文出处:https://github.com/infosecn1nja/Red-Teaming-Toolkit/blob/master/README.md 该资源清单列表涵盖了一系列,适用于渗透测试不同阶段的开源/商业工具。如果你想为此列表添加贡献,欢迎你向我发送pull request。 侦察 主...
Penetration_Testing_POC-About 渗透测试有关的POC、EXP、脚本、提权、小工具等
weixin_46280935的博客
09-10 6093
Penetration_Testing_POC 搜集有关渗透测试中用到的POC、脚本、工具、文章等姿势分享,作为笔记吧,欢迎补充。 Penetration_Testing_POC 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone Web APP 提权辅助相关 PC tools-小工具集合 文章/书籍/教程相关 说明 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone 天翼创维awifi路由器存在多处未授权访问漏
安全术语扫盲
热门推荐
_南寻_的博客
02-09 1万+
行业术语扫盲 肉鸡 所谓“肉鸡”是一种很形象的比喻,比喻那些可以随意被我们制的电脑,对方可以是WINDOWS系统,也可以是UNIX/LINUX系统,可以是普通的个人电脑,也可以是大型的服务器,我们可以像操作自己的电脑那样来操作它们,而不被对方发觉。 木马 木马就是表面上伪装成了正常的程序,但是当这些程序运行时,就会获取系统的整个制权限。有很多黑客就是热衷于使用木马程序来制别人的电脑,比如灰鸽子,黑洞,PcShare等等 制,是在网络上由一台电脑(主端Remote/客户端)
AI问答-vue3+ts+vite:http://www.abc.com:3022/m-abc-pc/#/snow 这样的项目 在服务器怎么部署
最新发布
snow的博客
06-05 523
为什么记录有子路径项目的部署,因为,通过子路径可以区分项目,那么也就可以实现微前端架构,并且具有独特优势,每个项目都是绝对隔离的。 要将 Vue3 项目(如路径为 http://localhost:3022/m-saas-pc/#/snow)部署到服务器,需确保静态资源正确托管并配置路由回退,
Device-initiated I/O
mounter625的专栏
06-05 935
摘要 在2025年Linux存储、文件系统、内存管理与BPF峰会上,Stephen Bates主持了关于设备发起I/O的讨论,重点关注点对点DMA(P2PDMA)技术的演进。P2PDMA自2018年Linux 4.20内核版本引入,允许PCIe设备间直接传输数据而无需经过系统内存。当前该技术已支持Arm64架构,并解决了早期与IOMMU兼容的问题。 会议探讨了设备发起I/O作为P2PDMA的下一步发展方向,目标是减少CPU在高速I/O操作中的负载。随着NVMe SSD的IOPS突破千万级,传统CPU处理方式
服务器租用:高防CDN和加速CDN的区别
wanhengidc的博客
06-03 292
加速CDN的主要功能则是实现内容的快速分发和高效加速,通过构建庞大且广泛分布的服务器节点网络,将网站或者是应用的静态内容缓存到离用户最近的节点服务器当中,以此缩短数据传输的距离和时间,让用户能够快速访问到所需的数据信息,极大的提高了用户的体验感。CDN全称为内容分发网络,其主要的作用原理能够加快网站的数据传输的速度,随着技术的快速发展,CDN也分为高防CDN和加速CDN两种不同的类型,本文将为大家介绍一下高防CDN和加速CDN两者之间的区别有哪些?
python集成inotify-rsync实现跨服务器文件同步
alex1801
06-01 536
摘要:本文介绍了一个基于Python watchdog库与rsync命令的文件同步监工具。该系统通过watchdog监源目录的文件变更(创建/修改/删除/移动),将变更收集到待处理队列,并设置1秒延迟合并多次操作。采用rsync实现增量同步,支持--delete保持目录一致性和--exclude排除特定文件。环境准备包括安装rsync/watchdog及配置SSH免密登录。核心代码展示了事件处理、命令构建和同步执行逻辑,提供初始同步选项,实现了高效可靠的自动化文件同步方案。(149字)
服务器中僵尸网络攻击是指什么?
wanhengidc的博客
06-04 192
攻击者能够通过恶意的病毒软件感染服务器或者是硬件设备,将其植入恶意代码,让其成为僵尸网络的一部分,恶意攻击者可以制这些被感染的设备,传统的僵尸网络是由一台僵尸服务器或多个僵尸客户端多组成的,攻击者可以利用这些服务器发起大规模的网络攻击,给企业带来巨大的经济损失。僵尸网络主要是指采用一种或者是多种传播手段,让大量的主机服务器感染上僵尸程序病毒,从而形成一个一对多制的网络,僵尸网络具有着很高的灵活性与泛用性,通常是恶意攻击常用的手段之一。
阿里云服务器安装nginx并配置前端资源路径(前后端部署到一台服务器并成功访问)
2301_79201170的博客
06-05 604
​​​运行以下命令,。运行wget命令。您可以通过Nginx开源社区直接获取对应版本的安装包URL,然后通过wget URL的方式将Nginx安装包下载至ECS实例。例如,Nginx 1.21.6的下载命令如下:运行以下命令,,然后。make​./nginx​没有报错信息则代表nginx启动成功!启动防火墙服务放行80端口重加载防火墙使修改生效查看状态重启停止kill -9 端口号。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值