webshell连接工具冰蝎检测特征提取

最新推荐文章于 2024-09-27 09:09:53 发布
最新推荐文章于 2024-09-27 09:09:53 发布
阅读量9.1k 收藏 16
点赞数 2
分类专栏: 流量分析特征提取 文章标签: 流量分析 特征提取 webshell 冰蝎
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dianzhongsou2379/article/details/100599116
版权
本文分析了冰蝎webshell连接工具的不同版本,通过流量分析提取了通用检测特征,包括请求方法、请求URL、响应状态码、响应体长度和响应体内容。这些特征可用于检测冰蝎工具的使用,尤其是V1.0、V1.1和V2.0.1版本。
摘要由CSDN通过智能技术生成

1⃣️、概述

        冰蝎作为新款的webshell连接工具,使用效果非常好。本文主要从冰蝎使用过程产生的流量里提取检测特征。部分提取思路从基于流量侧检测冰蝎webshell交互通讯获得了启发。后经过测试发现了关于冰蝎工具的通用检测特征(针对目前已公开的版本)。下面详细介绍本文内容。

2⃣️、各版本对比

        目前冰蝎共分为六个版本分别是:V1.0、V1.1、V1.2、V1.2.1、V2.0、V2.0.1。其中从V1.1开始(包含V1.1)新增随机UserAgent支持,每次会话会从17种常见UserAgent中随机选取。其中各版本详细区别看参考冰蝎各版本更新日志

3⃣️、流量分析

        以下部分主要描述基于流量侧检测冰蝎webshell交互通讯?️没有介绍到的或者笔者经过测试后与其的不同点。以及提取关于冰蝎工具的通用特征
        测试环境:

win7 x64运行服务端分别包含phpStudy、java version "10.0.2、apache-tomcat-9.0.10、IIS。
win7 x32运行客户端java version “1.8.0_171”、各版本冰蝎工具。

        针对PHP类型,都需要开启扩展openssl冰蝎工具才能正常连接上。

V1.0

        针对V1.0版本的冰蝎工具,笔者经过模拟测试php-webshell如下所示:
V1.0
        如下图所示是首包的关键信息:

首包请求方法 GET
User-Agent: Java/1.8.0_171
最低0.47元/天 解锁文章
TKMoma
关注
专栏目录
webshell连接工具冰蝎2.0,后面有三点零的,找一找再发
12-28
做渗透的,不支持恶意攻击
提取webshell 特征值_Webshell检测方法(三)
weixin_29721821的博客
01-16 1095
Webshell检测方法(一)Webshell检测方法(二) 0x01 前言本篇paper来自ICCAI 2018,采用了fastText和随机森林算法相结合的FRF-WD模型,使用一些静态features和PHP opcode,对Webshell进行检测。但与之前的文章不同,本篇文章不再是基于HTTP流量检测,而是针对文件进行检测。 0x02 BackgroundOpcode是一种PH...
冰蝎4.0 webshell 流量分析
最新发布
2401_84578953的博客
09-27 1111
冰蝎是一款基于 Java 开发的动态加密通信流量的新型 Webshell 客户端。老牌 Webshell 管理神器 —— 中国菜刀的攻击流量特征明显,容易被各类安全设备检测,实际场景中越来越少使用,加密 Webshell 正变得日趋流行。由于通信流量被加密,传统的 WAF、IDS 设备难以检测,给威胁狩猎带来较大挑战。冰蝎其最大特点就是对交互流量进行对称加密,且加密密钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测
常见的webshell连接工具的流量特征总结
qq_52486507的博客
03-25 2202
1.Accep和Content-Type为弱特征且Content-type:一般为Application/x-www-form-urlencoded,这里可作为辅助特征。1.请求包中会有eval,assert, base64的特征字符(这里如果用eval方法就是eval ,如果是assert方法就是assert)1.流量最明显的特征就是会有明文是@ini_set(“display_errors”,“0”)这个函数,也会有eval这个函数。2.在请求包的Cookie中有一个非常致命的特征是会在最后出现分号。
webshell工具-冰蝎流量特征和加密方式
qq_40898302的博客
05-25 1478
冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端,由于通信流量被加密,传统的WAF、IDS 设备难以检测,给威胁狩猎带来较大挑战。冰蝎其最大特点就是对交互流量进行对称加密,且加密密钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测。而老牌的如中国菜刀因为其流量特征太过明显,从而使用的场景越来越少。
冰歇webshell初探
qq_69775412的博客
04-22 5588
木马样本: <?php class C{ public function __invoke($p) { eval($p.""); } }; session_start(); isset($_GET['pass'])?print $_SESSION['k']=substr(md5(uniqid(rand())),16):($b=explode('|',openssl_decrypt(file_get_contents("php://input"), "AES128", $_SESSIO
冰蝎、蚁剑、哥斯拉的流量特征
qq_53218512的博客
06-11 4702
webshell管理工具,蚁剑、冰蝎哥斯拉的流量特征
Webshell工具的流量特征分析(菜刀,蚁剑,冰蝎,哥斯拉)
热门推荐
告白的博客
05-31 2万+
0x00 前言 使用各种的shell工具获取到目标权限,即可进行数据操作,今天来简要分析一下目前常使用的各类shell管理工具的流量特诊,帮助蓝队同学在风险识别上快速初值 0x01 中国菜刀流量分析 0x02 ......
强大的webshell管理工具——冰蝎
12-26
冰蝎:强大的WebShell管理工具】 在网络安全领域,WebShell是一种常见的攻击手段,它允许攻击者通过在目标服务器上部署后门程序来控制或监控网站。冰蝎(Behinder)是一款专为WebShell管理设计的强大工具,它以其...
冰蝎V4.1Behinder
03-11
冰蝎V4.1 Behinder】是一款知名的Webshell工具,主要用于网络安全测试和渗透测试领域。Webshell,也称为Web后门,是一种通过Web应用程序漏洞植入的恶意代码,允许远程控制服务器。冰蝎(Behinder)是这类工具的...
基于python开发的webshell检测工具
06-28
【作品名称】:基于python开发的webshell检测工具 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【项目介绍】: 使用说明 Usage: ...
基于卷积神经网络的WebShell检测工具,可以检测JSP和PHP类型文件,以opcode和bytecode作为检测特征
07-11
【作品名称】:基于卷积神经网络的WebShell检测工具,可以检测JSP和PHP类型文件,以opcode和bytecode作为检测特征,基于Django框架 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、...
渗透测试-菜刀冰蝎蚁剑哥斯拉等webshell工具特征分析
qq_53058639的博客
03-17 1783
在测试过程中,我们经常会运到各种webshell管理工具,这里我介绍几种常见的webshell工具给大家。webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。使用方法简单,只需上传一个代码文件,通过网址访问,便可进行很多日常操作,极大地方便了使用者对网站和服务器的管理。?
常见的webshell工具的流量特征
m0_66458291的博客
01-19 3136
常见的webshell工具流量的简单分析(菜刀、蚁剑、冰蝎、哥斯拉)
分析冰蝎三流量特征以及请求包
weixin_46299490的博客
09-17 1881
冰蝎流量特征
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 1538
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
护网面试总结
zhihuijiazeng的博客
06-08 5235
从大佬的经验摘过来的
常见webshell工具特征分析
白帽黑客八哥的博客
05-29 1906
在工作中经常会遇到各种websehll,黑客通常要通过各种方式获取 webshell,从而获得企业网站的控制权,识别出webshell文件或通信流量可以有效地阻止黑客进一步的攻击行为,下面以常见的四款webshell进行分析,对工具连接流量有个基本认识。Webshell简介webshell就是以aspphp、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。
webshell管理工具的流量特征分析(菜刀、蚁剑、冰蝎、哥斯拉)
Bossfrank的博客
05-05 2692
本文介绍了菜刀、蚁剑、冰蝎、哥斯拉四种常见的webshell管理工具的流量特征。从攻防演练和安全岗位面试的角度阐述了这些远控工具检测方法。
webshell管理工具冰蝎应该怎么安装
05-14
冰蝎是一款常用的WebShell管理工具,它可以帮助管理员进行WebShell检测、管理和清除等操作。以下是安装冰蝎的步骤: 1. 下载冰蝎的安装包,可以在官网(https://github.com/rebeyond/Behinder/releases)下载最新...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值