webshell连接工具冰蝎检测特征提取

最新推荐文章于 2024-08-15 10:13:05 发布
最新推荐文章于 2024-08-15 10:13:05 发布
阅读量9k 收藏 16
点赞数 2
分类专栏: 流量分析特征提取 文章标签: 流量分析 特征提取 webshell 冰蝎
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dianzhongsou2379/article/details/100599116
版权
本文分析了冰蝎webshell连接工具的不同版本,通过流量分析提取了通用检测特征,包括请求方法、请求URL、响应状态码、响应体长度和响应体内容。这些特征可用于检测冰蝎工具的使用,尤其是V1.0、V1.1和V2.0.1版本。
摘要由CSDN通过智能技术生成

1⃣️、概述

        冰蝎作为新款的webshell连接工具,使用效果非常好。本文主要从冰蝎使用过程产生的流量里提取检测特征。部分提取思路从基于流量侧检测冰蝎webshell交互通讯获得了启发。后经过测试发现了关于冰蝎工具的通用检测特征(针对目前已公开的版本)。下面详细介绍本文内容。

2⃣️、各版本对比

        目前冰蝎共分为六个版本分别是:V1.0、V1.1、V1.2、V1.2.1、V2.0、V2.0.1。其中从V1.1开始(包含V1.1)新增随机UserAgent支持,每次会话会从17种常见UserAgent中随机选取。其中各版本详细区别看参考冰蝎各版本更新日志

3⃣️、流量分析

        以下部分主要描述基于流量侧检测冰蝎webshell交互通讯?️没有介绍到的或者笔者经过测试后与其的不同点。以及提取关于冰蝎工具的通用特征
        测试环境:

win7 x64运行服务端分别包含phpStudy、java version "10.0.2、apache-tomcat-9.0.10、IIS。
win7 x32运行客户端java version “1.8.0_171”、各版本冰蝎工具。

        针对PHP类型,都需要开启扩展openssl冰蝎工具才能正常连接上。

V1.0

        针对V1.0版本的冰蝎工具,笔者经过模拟测试php-webshell如下所示:
V1.0
        如下图所示是首包的关键信息:

首包请求方法 GET
User-Agent: Java/1.8.0_171
最低0.47元/天 解锁文章
TKMoma
关注
专栏目录
PHP WebShell 免杀
悦分享
08-01 6031
一般的,利用能够执行系统命令、加载代码的函数,或者组合一些普通函数,完成一些高级间谍功能的网站后门的脚本,叫做Webshell。而php做为一门动态语言,其灵活性很高,因此一直以来Webshell的绕过与检测之间不断的产生着化学反应。Webshell绕过的本质其实是针对不同的检测给予不同的绕过方式,因此首先要了解Webshell是如何检测的。...
webshell工具-冰蝎流量特征和加密方式
qq_40898302的博客
05-25 1266
冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端,由于通信流量被加密,传统的WAF、IDS 设备难以检测,给威胁狩猎带来较大挑战。冰蝎其最大特点就是对交互流量进行对称加密,且加密密钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测。而老牌的如中国菜刀因为其流量特征太过明显,从而使用的场景越来越少。
渗透测试-菜刀冰蝎蚁剑哥斯拉等webshell工具特征分析
qq_53058639的博客
03-17 1559
在测试过程中,我们经常会运到各种webshell管理工具,这里我介绍几种常见的webshell工具给大家。webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。使用方法简单,只需上传一个代码文件,通过网址访问,便可进行很多日常操作,极大地方便了使用者对网站和服务器的管理。?
冰蝎客户端连接提示“[ERROR]连接失败:java.lang.Exception:不再支持源选项 7。请使用8 或更高版本。”解决办法
最新发布
jj467564的博客
08-15 213
冰蝎工具在使用过程中提示 [ERROR]连接失败:java.lang.Exception:不再支持源选项 7。请使用8 或更高版本。之后搜了一下在kali中使用多种版本java的教程之后就可以使用了。之后查找github上发现只有java17版本的能够使用。根据提示试过多个版本的java都不能成功。
冰歇webshell初探
qq_69775412的博客
04-22 5552
木马样本: <?php class C{ public function __invoke($p) { eval($p.""); } }; session_start(); isset($_GET['pass'])?print $_SESSION['k']=substr(md5(uniqid(rand())),16):($b=explode('|',openssl_decrypt(file_get_contents("php://input"), "AES128", $_SESSIO
冰蝎、蚁剑、哥斯拉的流量特征
qq_53218512的博客
06-11 4506
webshell管理工具,蚁剑、冰蝎哥斯拉的流量特征
常见webshell工具流量特征分析(哥斯拉、冰蝎、蚁剑、菜刀)
weixin_45971758的博客
06-23 3620
message 是一段超极长的字符串,分析冰蝎请求中的 PHP 代码,发现他就是 content 经过 base64 -> aes 加密后生成的,作用和请求中的 content 一致都是绕过 $Content-Length。冰蝎webshell建立连接的同时,javaw也与目的主机建立tcp连接,每次连接使用本地端口在49700左右,每连接一次,每建立一次新的连接,端口就依次增加。content:“浏览器版本”。流量解密过程: 解AES密钥为(连接密码的MD5的前16位) --> 解base64两次。
简谈webshell流量特征笔记
m0_58116751的博客
04-25 488
如果能看到webshell流量的display_errors未经编码就可以证明webshell连接工具为蚁剑,流量大部分内容是蚁剑webshell基本功能的执行函数,要分析攻击者执行的部分就要找到die()函数,看它后面的内容,这之中的内容定义了几个变量,变量数值里面有包含混淆字符,默认为两个,也可能是多个,去除混淆字符后再进行base64解码,就能看到攻击命令,服务器的返回内容没有经过编码可以直接分析。一、webshell流量特征与分析。2.中国蚁剑webshell流量。1.冰蝎webshell流量。
23个常见Webshell网站管理工具
weixin_54787877的博客
03-20 5323
注 文章来源:“潇湘信安”公众号 这篇文章笔者整理了目前所见到过的大部分Webshell网站管理工具,这里只对这些工具做了简单介绍,并没有写具使用方式,大家如果有兴趣可以自己去看一下使用说明,同时也欢迎大家补充一些类似工具。 目前国内安全人员常用的有:中国菜刀、中国蚁剑、冰蝎、哥斯拉、Metasploit、SharPyShell等,也有一些内部团队开发的类似工具,但是并没有对外公开。 (1) 中国菜刀(Chopper) 中国菜刀是一款专业的网站管理软件,用途广泛,使用方便,小巧实用。只要支持动态脚
工具及入侵检测篇】网络安全面试
大河之犬的博客
04-08 4669
③如果通过“Welcome Banner”无法确定应用程序版本,那么nmap会再尝试发送其他的探测包(即从nmap-services-probes中挑选合适的probe),将probe得到回复包与数据库中的签名进行对比。注意需要处理一下cs服务器,需要自定义一个profile文件,这是因为,云函数在与teamserver通信的时候会进行一些编码操作,对应的我们cs服务器需要对其相应的解码操作,因此需要创建一个profile文件(处理一下数据),cs服务器才能有命令执行成功的回显。
[网络安全自学篇] 八十一.WHUCTF之WEB类解题思路WP(文件上传漏洞、冰蝎蚁剑、反序列化phar)
杨秀璋的专栏
05-30 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了WHUCTF部分题目,包括代码审计、文件包含、过滤绕过、SQL注入。这篇文章将讲解Easy_unserialize解题思路,详细分享文件上传漏洞、冰蝎蚁剑用法、反序列化phar等。第一次参加CTF,还是学到了很多东西,后面几天忙于其他事情,就没再参加。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢网安学院,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
WebShell的使用及其特征
m0_48454948的博客
01-02 134
WebShell的使用及其特征
Webshell工具的流量特征分析(菜刀,蚁剑,冰蝎,哥斯拉)
热门推荐
告白的博客
05-31 2万+
0x00 前言 使用各种的shell工具获取到目标权限,即可进行数据操作,今天来简要分析一下目前常使用的各类shell管理工具的流量特诊,帮助蓝队同学在风险识别上快速初值 0x01 中国菜刀流量分析 0x02 ......
护网面试总结
zhihuijiazeng的博客
06-08 5018
从大佬的经验摘过来的
冰蝎Behinder_v4.0
一醉一休的博客
10-13 1万+
冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端,由于通信流量被加密,传统的WAF、IDS 设备难以检测,给威胁狩猎带来较大挑战。冰蝎其最大特点就是对交互流量进行对称加密,且加密密钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测
常见的webshell连接工具的流量特征总结
qq_52486507的博客
03-25 2133
1.Accep和Content-Type为弱特征且Content-type:一般为Application/x-www-form-urlencoded,这里可作为辅助特征。1.请求包中会有eval,assert, base64的特征字符(这里如果用eval方法就是eval ,如果是assert方法就是assert)1.流量最明显的特征就是会有明文是@ini_set(“display_errors”,“0”)这个函数,也会有eval这个函数。2.在请求包的Cookie中有一个非常致命的特征是会在最后出现分号。
流量特征分析——蚁剑、菜刀、冰蝎
Sgirll的博客
07-22 6253
通过对这三种常见的网络攻击工具流量特征的分析,我们可以更好地了解它们在网络流量中的表现。网络管理员和安全专家可以根据这些特征来识别和监测潜在的攻击活动,并及时采取相应的防护措施。同时,持续的学习和了解新兴攻击工具的流量特征也是保持网络安全的重要一环。本文将重点研究菜刀、蚁剑和冰蝎这三种常见的网络攻击工具,分析它们在流量中留下的痕迹和特征,以便网络管理员和安全专家能够更好地识别和对抗这些工具所带来的潜在威胁。蚁剑(AntSword)是一款功能强大的跨平台渗透测试工具,被广泛用于攻击和渗透测试活动。
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 1003
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
webshell管理工具冰蝎应该怎么安装
05-14
冰蝎是一款常用的WebShell管理工具,它可以帮助管理员进行WebShell检测、管理和清除等操作。以下是安装冰蝎的步骤: 1. 下载冰蝎的安装包,可以在官网(https://github.com/rebeyond/Behinder/releases)下载最新版的安装包。 2. 解压安装包,将所有文件放在Web服务器的任意位置,比如放在Web根目录下的“behinder”文件夹。 3. 修改“behinder”文件夹下的“index.jsp”文件,将其中的密码改为自己指定的密码。 4. 在Web浏览器中输入Web服务器地址和“behinder”文件夹的路径,比如“http://example.com/behinder/index.jsp”。 5. 在登录页面输入自己设置的密码,登录成功后就可以使用冰蝎进行WebShell管理了。 需要注意的是,在使用冰蝎进行WebShell管理时,一定要注意安全性,避免被黑客利用。比如,可以通过设置访问密码、限制IP地址等方式来增强安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值