菜刀&冰蝎&哥斯拉&流量通讯&特征绕过&检测反制&感知

已于 2024-06-04 13:38:31 修改
阅读量477 收藏 5
点赞数 5
文章标签: 安全
于 2024-06-03 17:46:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LfanBQX/article/details/139419115
版权

1.加密流程

工具名称requestsresponse
AntSwordbase64等方式明文
冰蝎2.0开启Openssl扩展-动态密钥aes加密aes加密+base64
未开启Openssl扩展-异或异或+base64
冰蝎3.0开启Openssl扩展-静态密钥aes加密aes加密+base64
未开启Openssl扩展-异或异或+base64
哥斯拉php的为base64+异或+base64异或+base64+脏字符
jsp的为Base64+AESaes+base64+脏字符

2.案例绕过

waf检测到传入值存在恶意参数

抓包获取数据包

使用数据包发送,网站被拦截

传入的值为经过php运行结果为base_64decode

将chr的值更改为‘base_64decode’,将POST更改为REQUEST,发送成功绕过

3.菜刀的版本和流量特征

3.1版本

2014 S_POST=S_REQUEST 2016 可以

3.2数据包流量特征

(1) 请求包,中:ua头为百度爬虫
(2)请求体中存在eval,base64等特征字符
(3)请求体中传递的payload为base64编码,并且存在面定的
QGluaV9zZXQolmRpc3BsYXIfZXJyb3JzliwiMClpO0BzZXRfdGItZV9saW1pdCgwKTtpZih
QSFBfVkVSUOIPTjwnNS4zLjAnKXtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1IKDApO307
ZWNobygiWEBZlik7J

4.冰蝎的版本和流量特征

请求正文全部为AES加密(AES加密的特则含有///,大小写混杂,base64加密含有=)AES加密需要知道密匙、偏移量、加密模式等

若请求包和返回包的下列内容一致判断为冰蝎流量

5.哥斯拉的版本和流量特征

1、特征:
1.User-Agent Mozilla/5.0 (Windows NT 10.0;Win64;x64:rv:84.0)Gecko/20100101
Firefox/84.0
2.Accept text/html,application/xhtml+xml,application/xml:q=0.9,image/webp,/:q=0.8
3.Accept-Language:zh-CN,zh;q=0.8,zh-TW:q=0.7,zh-HK:q=0.5,en-US;q=0.3,en;q=0.2
4、Cookie:PHPSESSID=ut2a51prs0470jvfe2q502o44 cookiet最后面存在-个","

LfanBQX
关注
【愚公系列】2023年06月 网络安全高级班 025.HW护网行动攻防演练介绍和工具
时光隧道
05-12 9680
HW护网行动攻防演练是一种针对网络安全的实践活动,用于测试和提高组织的网络安全防御和攻击能力。通过模拟真实的网络攻击和防御行动,演练参与者在紧张压力下的反应和解决问题的能力,发现网络安全漏洞和提高安全意识,加强网络安全防御能力。攻防演练的成员组成一般包括攻击者、防御者和观察者三个角色。攻击者的任务是模拟真实的黑客攻击,找出系统的漏洞并利用进行攻击,以检验系统的安全性。防御者则负责发现和修补漏洞,并保护系统不受攻击。观察者则负责记录和分析整个攻防过程,并提供建议和改进意见。
WAF攻防-菜刀&冰蝎&哥斯拉&流量通讯&特征绕过&检测反制&感知
今天是几号的博客
04-12 1738
使用Proxifier进行流量转发至Burp抓包分析(使用Wireshake也可以)# ==冰蝎3-流量&绕过&特征&检测== **面试必问的,别问我怎么知道的** 冰蝎利用了服务器端的脚本语言加密功能,通讯的过程中, 消息体内容采用 AES 加密,基于特征检测安全产品无法查出 ## 特征 密钥使用连接密码的md5结果的前16位 如果对方使用的默认密码rebeyond,那么密钥就是e45e329feb5d925b,那么这也算是一个特征
第78天:WAF攻防-菜刀&冰蝎&哥斯拉&流量通讯&特征绕过&检测反制&感知
weixin_71529930的博客
05-06 727
首先冰蝎哥斯拉连接的时候,这些安全狗,宝塔的waf不能拦截,他们都是根据正则表达式去进行匹配的,而冰蝎他们的自动带有aes,base64,xor加密等方式。这里如果是宝塔waf的话,chr修改为base64_encode,并且修改POST为REQUEST即可正常绕过,但是这里是安全狗,我不会绕过。个人观察,也就ua,pragma,accept,accept-language,这几项有效。在自己实验的过程中竟然发现,哥斯拉绕不过安全狗,视频中是可以无视宝塔的waf的。检测有无waf的命令,wafw00f。
78、WAF攻防——菜刀&冰蝎&哥斯拉&流量通讯&特征绕过&检测反制&感知
qq_55202378的博客
04-07 395
菜刀——profier——burp:实现将菜刀流量转发到burp上。:大致加密密文跟base64差不多,只是base64会出现。
第七十八天 WAF攻防-荚刀&冰蝎&哥斯拉&流量通讯&特征绕过&检测反制&感知
qq_46343633的博客
03-08 1355
1、菜刀-流量&通讯&检测8绕过2、冰竭-流量&通计8检测&绕过3、哥斯拉-流量&通讯&检测&绕过代码块&传参数据&工具指纹等表面&行为)1、代码表面层免杀-ASP&PHP&JSP&ASPX等2、工具行为层免杀菜刀&蚁剑&冰蝎&哥斯拉等。
WAF攻防第七十八天
B_l_a_nk的博客
07-07 491
1、菜刀-流量&通讯&检测&绕过 2、冰蝎-流量&通讯&检测&绕过 3、哥斯拉-流量&通讯&检测&绕过 代码块&传参数据&工具指纹等(表面&行为) 1、代码表面层免杀-ASP&PHP&JSP&ASPX等 2、工具行为层免杀-菜刀&蚁剑&冰蝎&哥斯拉
设备面试题+蓝队知识题+流量
LCW991207的博客
04-02 1982
fastjson提供了autotype功能,在请求过程中,我们可以在请求包中通过修改@type的值,来反序列化为指定的类型,而fastjson在反序列化过程中会设置和获取类中的属性,如果类中存在恶意方法,就会导致代码执行等这类问题。服务端提供了能够从其他服务器应用获取数据的功能,我们服务端请求的目标都是与该请求服务器处于同一内网的资源服务,但是如果没有对这个请求的目标地址、文件等做充足的过滤和限制,攻击者可通过篡改这个请求的目标地址来进行伪造请求,进行未授权访问。OA啊,等等,做的真实一点点。
问题总结(持续更新,欢迎补充)
qq_46081990的博客
07-11 1393
护网的定义是以国家组织组织事业单位、国企单位、名企单位等开展攻防两方的网络安全演习。进攻方一个月内采取不限方式对防守方展开进攻,不管任何手段只要攻破防守方的网络并且留下标记即成功,直接冲到防守方的办公大楼,然后物理攻破也算成功。护网是国家应对网络安全问题所做的重要布局之一。护网随着中国对网络安全的重视,涉及单位不断扩大,越来越多都加入到“护网”中,网络安全对抗演练越来越贴近实际情况,各机构对待网络安全需求也从被动构建,升级为业务保障刚需。
网安面试题收集实录
G208_522的博客
10-26 3813
hvv蓝队面试题的一次更新,加入了最近面试中遇到的一些问题,以及觉得可能问到的一些问题
CTF哥斯拉冰蝎解码工具
02-23
承影_哥斯拉冰蝎解码工具1.1版本,助力CTF比赛
如何建立企业内部的ATT&CK.pdf
09-13
例如,通过分析哥斯拉冰蝎攻击事件,可以识别出如ReGeorg和Shiro反序列化工具等攻击技术,制定相应的防御措施。 总之,ATT&CK为企业提供了一个强大的工具,帮助它们理解和应对网络威胁,通过建立和运营ATT&CK框架...
菜刀冰蝎、蚁剑、哥斯拉流量特征
热门推荐
eternitymd的博客
04-29 2万+
菜刀流量特征(最开始是明文传输,后来采用base64加密):PHP类WebShell链接流量 如下图: 第一:“eval”,eval函数用于执行传递的攻击payload,这是必不可少的; 第二:(base64_decode($_POST[z0])),(base64_decode($_POST[z0]))将攻击payload进行Base64解码,因为菜刀默认是使用Base64编码,以避免被检测; 第三:&z0=QGluaV9zZXQ...,该部分是传递攻击payload,此参数z0对应$_
网站安全需求分析与安全保护工程
weixin_49171105的博客
09-09 887
网站:是基于B/S技术架构的综合信息服务平台,主要提供网页信息及业务后台对外接口服务。
SSHamble:一款针对SSH技术安全的研究与分析工具
FreeBuf_的博客
09-11 1038
SSHamble是一款功能强大的SSH技术安全分析与研究工具,该工具基于Go语言开发,可以帮助广大研究人员更好地分析SSH相关的安全技术与缺陷问题。
伙房食堂电气安全新挑战:油烟潮湿环境下,如何筑起电气火灾“防火墙”?
acrel002的博客
09-12 398
安科瑞的智能安全配电装置打破了传统用电防护领域中仅仅只能做到“事后处理”的技术瓶颈,提前将配电转换安全电,从源头抑制电弧火花的产生,大大降低火灾风险,同时系统实时监测电气线路中电压、电流、功率、温度、剩余(漏)电流、对地绝缘阻值等关键数据,智能识别电路异常风险,及时将报警信息传送至云管理系统,提醒用户单位及时进行故障排查。近几年,随着我国经济的飞速发展,食堂餐饮也经历了一场变革,越来越多的电器走进了伙房食堂中,实现了电气化,为人们提供了高效便利的饮食服务,但同时也增加了火灾负荷。
消防指挥中心控制台:守护安全的关键枢纽
JiaDeLi_console的博客
09-11 382
它不仅是信息的接收者,更是行动的发起者,协调各方资源,确保消防救援工作高效、有序地进行。消防指挥中心控制台是消防救援工作的关键环节,它以先进的设计、强大的功能和不断升级的科技,为守护人民生命财产安全发挥着不可替代的作用。在未来,随着科技的进一步发展,相信消防指挥中心控制台将变得更加智能、高效,为构建更加安全的社会环境贡献更大的力量。同时,控制台还配备了舒适的座椅,为指挥人员提供良好的工作条件。在消防应急救援的战场上,嘉德立消防指挥中心控制台犹如一座坚实的堡垒,发挥着至关重要的作用。二、先进的设计与功能。
3.比 HTTP 更安全的 HTTPS(工作原理理解、非对称加密理解、证书理解)
weixin_52173250的博客
09-07 1634
HTTPS(Hypertext Transfer Protocol Secure)是一种安全的超文本传输协议,主要用于在客户端和服务器之间安全地传输数据
企业如何构建有效的数据泄露防护安全体系
最新发布
A526847的博客
09-14 429
在当今数字化时代,企业数据已成为核心资产,其安全性直接关系到企业的竞争力、客户信任度以及法律合规性。数据泄露事件频发,不仅会导致经济损失,还可能损害企业声誉和客户关系。因此,构建有效的数据泄露防护安全体系已成为企业不可或缺的重要任务。
冰蝎菜刀、蚁剑、哥斯拉流量特征
05-20
冰蝎菜刀、蚁剑、哥斯拉都是常见的远程控制工具(RAT),它们的流量特征略有不同: 1. 冰蝎冰蝎是一种基于Java编写的远程控制工具,它的流量特征主要表现在数据包中的特殊标记和传输的数据类型。冰蝎的数据包中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值