流量特征分析——蚁剑、菜刀、冰蝎、哥斯拉

置顶 已于 2025-04-21 15:08:10 修改
阅读量1.1w 收藏 71
点赞数 16
分类专栏: Web渗透 分析研判 文章标签: 网络安全
于 2023-07-22 19:16:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Sgirll/article/details/131860510
版权

在网络安全领域,了解常见的攻击工具流量特征对于及时发现和应对威胁至关重要。本文将重点研究菜刀、蚁剑和冰蝎这三种常见的网络攻击工具,分析它们在流量中留下的痕迹和特征,以便网络管理员和安全专家能够更好地识别和对抗这些工具所带来的潜在威胁。

第一部分:蚁剑

蚁剑(AntSword)是一款功能强大的跨平台渗透测试工具,被广泛用于攻击和渗透测试活动。以下是蚁剑的一些流量特征:

  1. 流量特征主要表现在数据包的加密方式和数据类型。蚁剑使用了AES加密算法对数据进行加密,同时还使用了自定义的二进制协议,在通信中传输各种类型的数据
  2. 默认的USER-agent请求头 是 antsword xxx,但是 可以通过修改:/modules/request.js 文件中 请求UA绕过。
  3. 其中流量最中明显的特征为@ini_set("display_errors","0")、@set time limit (0) 这段代码基本是所有webshe11客户端链接PHP类Webshe11都有的一种代码 。
  4. 蚁剑混淆加密后还有一个比较明显的特征,即为参数名大多以“0x加密后”“这种形式(下划可换》,所以以-0x开头的参数也很可能就是恶意流量。

ctrl+shift+u

url解码

第二部分:菜刀

菜刀(Chopper)是中国黑客圈内使用非常广泛的一款Webshell管理工具。中国菜刀用途十分广泛,支持多种语言,小巧实用。它的流量特征主要包括以下几个方面:

  1. 主要表现在HTTP协议上,使用HTTP协议通信,控制命令和数据都通过POST请求传输。因此,可以通过HTTP请求头中的User-Agent、Referer等信息进行识别,eval函数必不可少,有可能会被assert代替。
  2. 使用了base64的方式加密了发送给“菜刀马”的指令,其中的两个关键payload z1和z2,这个名字是可变的 。
  3. 有$_POST/$_GET/$_REQUEST

第三部分:冰蝎

冰蝎 (Behinder)是一款基于Java开发的动态加密通信流量的新型Webshell客户端,由于通信流量被加密,传统的WAF、IDS 设备难以检测,给威胁狩猎带来较大挑战。冰蝎其最大特点就是对交互流量进行对称加密,且加密密钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测。以下是冰蝎的一些流量特征:

  1. 流量特征主要表现在数据包中的特殊标记和传输的数据类型。冰蝎的数据包中包含了特定的标记,如"flag=0x52415631",用于标识该数据包是冰蝎的控制命令。此外,冰蝎还使用了一种自定义的二进制协议,在通信中传输各种类型的数据
  2. 看包没有发现什么特征,但是可以发现它是POST请求的appication/xhtm1+xmlapplication/xmlapplication/signe1、Accept头有d-exchange属于弱特征 (UA头的浏览器版本很老)2、特征分析Content-Type: application/octet-stream 这是-个强特征查阅资料可知octet-stream的意思是,只能提交二进制,而日只能提交一个三进制,如果提交文件的话,只能提交一个文件,后台接收参数只能有一个,而且只能是流(或者字节数组) ; 很少使用14。
  3. 默认内置16个user-agent头。
  4. content-length请求长度,对于文件上传、命令执行来说加密参数不定长;但是对获取基本信息的payload都定长。

 冰蝎2.0

        默认Accept字段的值很特殊,而且每个阶段都一样冰蝎内置了十余种15userAgent ,每次连接 shel1 会随机选择一个进行使用。但都是比较老的,r容易被检测到,但是可以在burp中修改ua头Content-Length:16,16就是冰蝎2连接的特征

冰蝎3.0

  1. 冰蝎3取消动态密钥获取,目前很多waf等设备都做了冰蝎2的流量特征分析,所以3取消了动态密钥获取;php抓包看包没有发现什么特征,但是可以发现它是POST请求的Accept。
  2. application/xhtm1+xmlapplication/xmlapplication/signed- exchange属于弱特征。 
  3. ua头该特征属于弱特征。通过burp可以修改,冰蝎3.0内置的默认16个userAgent都比较老。现实生活中很少有人使用,所以这个也可以作为waf规则特征。
  4. jsp抓包特征分析Content-Type: application/octet-stream 这是一个强特征查阅资料可知 octet-stream的意思是,只能提交二进制,而且只能提交一个二进制,如果提交文件的话,只能提交 一个文件后台接收参数只能有一个,而且只能是流(或者字节数组)。
  5. content-length长度为5720或5740(随Java版本改变)

冰蝎4.0

  1. 10个内置ua头随机选用
  2. 端口为49700左右,每次连接会递增
  3. PHPwebshell存在固定代码 
    $post=Decrypt(file_get_contents("php://input"));
eval($post);
    content字段中,将eval($post)作为流量特征纳入
  4. 请求头和响应头字节固定
    请求头和响应头里会带有 Connection
    Connection: Keep-Alive
  5. webshell存在默认字符串,为默认连接密码的MD5的前16位
  6. Content-Type不再是二进制,改成urlencoded,但是是弱特征

第四部分:哥斯拉

哥斯拉(Godzilla)由Java语言开发,内置了3种Payload以及6种加密器,6种支持脚本后缀,20个内置插件。

  1. 流量特征主要表现在数据包的特殊标记和数据类型。哥斯拉的数据包中包含了特定的标记,如"XORHEAD"和"XORBODY",用于标识该数据包是哥斯拉的控制命令。此外,哥斯拉还使用了一种自定义的二进制协议,在通信中传输各种类型的数据。
  2. Cookie字段中存在一个关键的特征,即最后一个Cookie值的末尾有一个不必要的分号,在标准的HTTP请求中,最后一个Cookie的值后面不应该出现分号。
  3. 响应包结构特征:MD5前16位+base64+MD5后16位
  4. 注入内存马时有大量的URL请求,路径相同但参数不同,或者页面不存在但是返回200

结论:
通过对这三种常见的网络攻击工具流量特征的分析,我们可以更好地了解它们在网络流量中的表现。网络管理员和安全专家可以根据这些特征来识别和监测潜在的攻击活动,并及时采取相应的防护措施。同时,持续的学习和了解新兴攻击工具的流量特征也是保持网络安全的重要一环。

WAF攻防——菜刀 冰蝎 哥斯拉webshell工具及特征分析
m0_61506558的博客
01-13 1008
Webshell是黑客经常使用的一种恶意脚本,其目的是获得服务器的执行操作权限,常见的webshell编写语言为asp、jsp和php。比如执行系统命令、窃取用户数据、删除web页面、修改主页等,其危害不言而喻。
网络安全】AntSword新手快速入门(附实战案例)
等风来
04-27 9449
(AntSword)是一款开源的跨平台WebShell管理工具,它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。的特点主要有如下几点:1.支持多平台。包括macOS、Linux 32位、Linux 64位、Linux armv7l、Linux arm64、Windows 32位、Windows 64位。2.完善的文档。中国文档地址。3.多项功能。文件管理功能、虚拟终端功能、数据库管理功能。4.内置代理功能。
常见webshell流量特征---菜刀//冰蝎/哥斯拉
最新发布
weixin_74942037的博客
03-08 1188
识别常见Webshell流量的特征,可帮助我们识别攻击者采取何种webshell工具,以及上传了什么类型的webshell,以下是一些常见的webshell流量特征菜刀主流版本主要是2011版、2014版、2016版。从2011版本到2014版本是功能性上进行了增强,从2014版本到2016版本是在隐秘性上进行了增强,2016版本的菜刀流量加入了混淆。菜刀20112011的特征之后的其他版本都有,但不是大部分明文传输了,特征没2011明显明文传输,部分Base64(可解码)payload以开头。
冰蝎哥斯拉流量特征
qq_53218512的博客
06-11 5213
webshell管理工具,冰蝎哥斯拉流量特征
(antSword)的使用
2301_80085755的博客
10-26 3309
一.获取
AntSword的使用
H29908的博客
10-26 694
是一款跨平台的网站管理工具,它与菜刀类似面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。中国(antSword)下载、安装、使用教程-CSDN博客。
菜刀冰蝎哥斯拉流量特征
2301_76786857的博客
12-24 2956
菜刀冰蝎哥斯拉四大webshell工具的流量特征
冰蝎菜刀哥斯拉流量特征
故事讲予风听
07-18 3376
菜刀冰蝎哥斯拉
中国菜刀哥斯拉冰蝎流量特征区别
Nove1205的博客
06-16 1253
中国菜刀哥斯拉冰蝎流量特征区别
玄机-第六章 流量特征分析-流量分析
sucker的博客
02-27 1156
1,已知攻击者使用的webshell的工具是,那么攻击者应该预先向服务器上传了木马文件,而且一句话木马上传成功了,那么就可以定位到响应码200的流量。4,问黑客传入什么文件进入服务器,思路很简单:上传文件使用的一般是POST请求,在web服务器文件上传通常使用HTTP的POST方法。"1" : "0");2,问攻击者执行的第一个命令是什么,那么我们就需要查看服务端(已经被攻击者使用控制)执行了哪些命令,依然是过滤响应码200的。
[玄机]流量特征分析-流量分析
网安日记本的博客
07-31 9604
流量特征分析-流量分析题目做法及思路解析(个人分享)
webshell上传攻击
bunengyongzho666的博客
07-13 1069
在web应用程序中,上传文件是一种常见的功能,因为它有助于提高业务效率,比如企业的OA系统,允许用户上传图片、视频、头像和许多其他类型的文件。然而向用户提供的功能越多,web应用受到攻击的风险就越大,如果web应用存在文件上传漏洞,那么恶意用户就可以利用文件上传漏洞将可执行脚本程序(webshell)上传到服务器中,获取网站的权限,或者进一步危害服务器。
网络安全工程师面试题整理
m0_67393686的博客
07-30 7645
网络发现和安全审计工具主机发现端口扫描应用程序和版本探测操作系统探测-p指定端口扫描-sTtcp扫描-sPping扫描-Pn不进行ping扫描-o操作系统探测。
中国(AntSword)的下载安装以及简单用法
2301_79934678的博客
10-30 1752
中,POST穿参的值为1)(这是一个加载器,它可以自动检测补齐所需的源码和依赖项,直接下载源码可能会报毒被隔离,建议直接下加载器)之后打开这个AntSword.exe(建议用管理员权限打开,安装路径不要有中文)可以通过向目标服务器发送命令,执行各种操作,如查看系统信息、上传下载文件等。(AntSword)是一款开源的跨平台WebShell管理工具。等待它下载好缺失的源码和依赖项,重启AntSword.exe即可。到解压缩目录选择这个文件夹(如果没有,就自己建一个空的)以下是一个简单的使用例子。
的使用
2301_80413992的博客
11-15 1405
将文件后缀改为.php即可(在创建此文件过程中可能会被电脑杀毒软件查杀,建议先关闭电脑的杀毒软件)一台虚拟机作为服务器,一台作为攻击机(可用主机),将虚拟机的网络都设置为桥接。还可以右键选择打开终端,输入命令,不过能够用什么命令还得看你有什么权限。输入URL,连接密码以及编码设置,PHP语言推荐编辑器使用chr加密。Php的一句话木马很简单,就是创建一个文本,写入。编码器很重要,一定要慎重选择,默认就是明文传输。2.有一个插件市场,可以下载各种插件。123就是你用来控制的密码,可以随便取。
AntSword下载,简单使用教程(附有安装问题的解决方案~)
2303_80114090的博客
10-29 4220
AntSword(中国),多用于渗透测试,是一个很便利的、能跨平台使用的开源网站管理工具。这是因为源代码出错了,多半是被查杀了,所以(问题1那里)最好不要让在新空白目录下下载源代码,下载出来的很可能用不了。(2).下载好源代码并解压,点击初始化后,选择包含源代码的那个文件夹。:(1).将就用这个新目录下,自动下载的源代码(不推荐,容易出错,容易打开会空白之类的):老老实实提前先下好源代码,解压缩后选定它为初始化目录,就能正常用了。:初始化,选好文件夹后,不报错,但是。
冰蝎哥斯拉流量特征
THZLYXX的博客
11-18 472
2.流量包开头123(链接密码)=@ini_set("display_errors","0")1.流量包中包含大量的content-type:application。2.3.0冰蝎内置16个user-agent。1.POST请求中的参数默认密码为pass。3.参数打多以0X...= 这种形式开头。
流量分析——一、流量特征
钟言的博客
06-05 4690
本篇为流量分析——1、的webshell特征流量分析,详细内容包含了:Webshell特征流量分析 环境介绍 使用Wireshark进行流量分析、 1、环境说明 2、HTTP追踪流分析 3、请求体中代码块解读四、使用BurpSurite进行流量分析 1、环境配置 2、抓包分析 六、总结等内容
笔记:流量特征分析
02-22 824
笔记:流量特征分析
冰蝎哥斯拉流量特征
01-07
### 冰蝎哥斯拉 WebShell 工具的网络通信流量特征 #### (AntSword) 采用静态加密方式处理其WebShell通信,这使得其流量具有一定的可识别性。然而,随着版本更新,引入了更复杂的加密机制来规避安全软件的检测[^2]。 对于而言,主要通过HTTP(S)协议进行通信,并且会利用多种技术手段隐藏恶意行为: - **请求头**:通常包含特定User-Agent字符串以及自定义Cookie字段。 - **POST参数**:使用Base64编码或其他形式的数据混淆方法传递命令或脚本代码。 - **响应内容**:返回的结果同样经过编码处理,增加了直接解析难度。 ```python import base64 def encode_payload(data): """模拟对有效负载进行简单编码""" encoded_data = base64.b64encode(data.encode()).decode() return f"{encoded_data}" ``` #### 冰蝎 (BingChen) 冰蝎3代相比前一代进行了改进,取消了动态密钥获取功能,转而采取其他措施增强隐蔽性和抗分析能力[^3]。具体表现在以下几个方面: - **传输层协议**:依旧依赖于HTTPS/TLS通道确保数据安全性的同时减少被拦截风险。 - **应用层伪装**:模仿正常网页浏览活动模式发送请求并接收回复;例如设置合理的`Accept-Language`, `Referer`等头部信息。 - **内部逻辑优化**:简化了一些不必要的交互流程,降低了异常行为暴露的可能性。 ```bash curl -X POST \ https://example.com/shell.php \ -H 'Content-Type: application/x-www-form-urlencoded' \ -d 'cmd=id' ``` #### 哥斯拉 (Godzilla) 哥斯拉以其高度定制化的特性著称,在实际运用过程中展现出极强的适应能力和灵活性[^4]。以下是该工具的一些典型特点: - **特殊标志符**:所有发出的数据包均以关键字"godzilla"作为起始标记,便于后续操作确认身份合法性。 - **ICMP隧道构建**:不同于传统基于TCP/UDP的应用程序,哥斯拉能够创建基于ICMP Echo Request & Reply的消息交换路径完成远程控制指令下发。 - **固定长度载荷**:每次传输的有效载荷大小保持一致(如92字节),有助于进一步掩盖真实意图。 ```csharp using System.Net.NetworkInformation; public static void SendPing(string targetIp, string payload) { Ping pingSender = new Ping(); byte[] buffer = Encoding.ASCII.GetBytes($"godzilla{payload}"); // Ensure the length of data is fixed to 92 bytes. Array.Resize(ref buffer, 92); var reply = pingSender.Send(targetIp, 120, buffer); } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Administrator_ABC

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值