常见的webshell工具的流量特征

已于 2024-01-19 20:41:41 修改
阅读量2.5k 收藏 77
点赞数 25
文章标签: webshell工具 菜刀 蚁剑 冰蝎 哥斯拉
于 2024-01-19 20:38:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_66458291/article/details/135706334
版权

菜刀

因为菜刀有很多的版本迭代,为此,菜刀的流特征大致有如下几种

PHP流量特征

特征一:百度爬虫头

1.菜刀工具发起的请求头里面,默认的UA为百度的爬虫Baiduspider

Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)

特征二:采用base64加密方式

数据报中有明显的base64解密的过程,因为数据报发送的时候是以base64加密的方式进行发送的

特征三:数据报中有有eval关键字

后门连接使用的是eval的方式进行后门连接

特征四:特定的数据包前缀

每个请求中的前缀都是一样的,一定要主要这个前缀:

QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtpZihQSFBfVkVSU0lPTjwnNS4zLjAnKXtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO307ZWNobygiWEBZIik7J

解码后是下面:

@ini_set("display_errors","0");@set_time_limit(0);if(PHP_VERSION<'5.3.0'){@set_magic_quotes_runtime(0);};echo("X@Y");

这种判断方式最为可靠,一般有这个前缀的数据报就可以判断这个数据报是菜刀连接后门的数据报

特征五:返回的数据报中有X@Y的字样

JSP流量特征

该流量是WebShell链接流量的第一段链接流量,其中特征主要在i=A&z0=GB2312,菜刀链接JSP木马时,第一个参数定义操作,其中参数值为A-Q,如i=A,第二个参数指定编码,其参数值为编码,如z0=GB2312,有时候z0后面还会接着又z1=参数用来加入攻击载荷.

注:其中参数名i、z0、z1这种参数名是会变的,但是其参数值以及这种形式是不会变得,最主要就是第一个参数值在A-Q,这种是不变的.

ASP流量特征

参考网上的文章

 body解码

其中特征点有如下三部分:

第一:“Execute”,Execute函数用于执行传递的攻击payload,这是必不可少的,这个等同于php类中eval函数;

第二:OnError ResumeNext,这部分是大部分ASP客户端中必有的流量,能保证不管前面出任何错,继续执行以下代码.

第三:Response.Write和Response.End是必有的,是来完善整个操作的.

这种流量主要识别这几部分特征,在正常流量中基本没有.

注:OnError Resume Next这个特征在大部分流量中存在,极少数情况没有.

中国菜刀2016版本各语言WebShell链接流量特征

蚁剑

PHP流量特征

特征一:有ini_set()相关关键字

cmd=@ini_set("display_errors", "0");@set_time_limit(0);echo "5434f";try{$D=dirname($_SERVER["SCRIPT_FILENAME"]);if($D=="")$D=dirname($_SERVER["PATH_TRANSLATED"]);$R="{$D} ";if(substr($D,0,1)!="/"){foreach(range("C","Z")as $L)if(is_dir("{$L}:"))$R.="{$L}:";}else{$R.="/";}$R.=" ";$u=(function_exists("posix_getegid"))?@posix_getpwuid(@posix_geteuid()):"";$s=($u)?$u["name"]:@get_current_user();$R.=php_uname();$R.=" {$s}";echo $R;;}catch(Exception $e){echo "ERROR://".$e->getMessage();};echo "0a5f4";die();

其中流量最中明显的特征为@ini_set("display_errors","0");这段代码基本是所有WebShell客户端链接PHP类WebShell都有的一种代码,但是有的客户端会将这段编码或者加密,而蚁剑是明文,所以较好发现

特征二:UA头特征

UA头中有AntSword关键字

特征三:参数名大多以“_0x......=”这种形式

蚁剑混淆加密后还有一个比较明显的特征,即为参数名大多以“0x......=”这种形式(下划线可替换),所以以0x开头的参数名也很可能就是恶意流量,这个特点是网上总结的,我抓包没有发现

ASP流量特征

POST /uploadfiles/shell.php HTTP/1.1Host: 192.168.180.226Accept-Encoding: gzip, deflateContent-Type: application/x-www-form-urlencodedContent-Length: 1248Connection: closecmd=eval%28%22Ex%22%26cHr%28101%29%26%22cute%28%22%22Server.ScriptTimeout%3D3600%3AOn%20Error%20Resume%20Next%3AFunction%20bd%28byVal%20s%29%3AFor%20i%3D1%20To%20Len%28s%29%20Step%202%3Ac%3DMid%28s%2Ci%2C2%29%3AIf%20IsNumeric%28Mid%28s%2Ci%2C1%29%29%20Then%3AExecute%28%22%22%22%22bd%3Dbd%26chr%28%26H%22%22%22%22%26c%26%22%22%22%22%29%22%22%22%22%29%3AElse%3AExecute%28%22%22%22%22bd%3Dbd%26chr%28%26H%22%22%22%22%26c%26Mid%28s%2Ci%2B2%2C2%29%26%22%22%22%22%29%22%22%22%22%29%3Ai%3Di%2B2%3AEnd%20If%22%22%26chr%2810%29%26%22%22Next%3AEnd%20Function%3AResponse.Write%28%22%22%22%22a6bbf%22%22%22%22%29%3AEx%22%26cHr%28101%29%26%22cute%28%22%22%22%22On%20Error%20Resume%20Next%3A%22%22%22%22%26bd%28%22%22%22%2244696D20533A53455420433D4372656174654F626A6563742822536372697074696E672E46696C6553797374656D4F626A65637422293A496620457272205468656E3A533D224552524F523A2F2F2022264572722E4465736372697074696F6E3A4572722E436C6561723A456C73653A533D5365727665722E4D61707061746828222E2229266368722839293A466F722045616368204420696E20432E4472697665733A533D5326442E44726976654C657474657226636872283538293A4E6578743A456E642049663A526573706F6E73652E5772697465285329%22%22%22%22%29%29%3AResponse.Write%28%22%22%22%226a525%22%22%22%22%29%3AResponse.End%22%22%29%22%29

其中body流量进行URL解码后为:

cmd=eval("Ex"&cHr(101)&"cute(""Server.ScriptTimeout=3600:On Error Resume Next:Function bd(byVal s):For i=1 To Len(s) Step 2:c=Mid(s,i,2):If IsNumeric(Mid(s,i,1)) Then:Execute(""""bd=bd&chr(&H""""&c&"""")""""):Else:Execute(""""bd=bd&chr(&H""""&c&Mid(s,i+2,2)&"""")""""):i=i+2:End If""&chr(10)&""Next:End Function:Response.Write(""""a6bbf""""):Ex"&cHr(101)&"cute(""""On Error Resume Next:""""&bd(""""44696D20533A53455420433D4372656174654F626A6563742822536372697074696E672E46696C6553797374656D4F626A65637422293A496620457272205468656E3A533D224552524F523A2F2F2022264572722E4465736372697074696F6E3A4572722E436C6561723A456C73653A533D5365727665722E4D61707061746828222E2229266368722839293A466F722045616368204420696E20432E4472697665733A533D5326442E44726976654C657474657226636872283538293A4E6578743A456E642049663A526573706F6E73652E5772697465285329"""")):Response.Write(""""6a525""""):Response.End"")")

我们可以看出蚁剑针对ASP类的WebShell流量与菜刀的流量很像,其中特征也是相同,如OnError ResumeNext、Response.End、Response.Write,其中execute在蚁剑中被打断混淆了,变成了拼接形式Ex"&cHr(101)&"cute,同时该流量中也使用了eval参数,可以被认为明显特征。

哥斯拉

特征一:UA头特征

User-Agent字段(弱特征),如果采用默认的情况,会暴露使用的jdk信息。不过哥斯拉支持自定义HTTP头部,这个默认特征是可以很容易去除的。

特征二:accept字段特征

Accept字段(弱特征),默认是Accept:text/html, image/gif, image/jpeg, *; q=.2, /; q=.2。同上,这个也可修改,只能作为辅助检测的特征。

特征三:cookie字段特征

Cookie中有一个非常关键的特征,最后会有个分号。

特征四:响应体特征

响应体的数据有一定特征,哥斯拉会把一个32位的md5字符串按照一半拆分,分别放在base64编码的数据的前后两部分。整个响应包的结构体征为:md5前十六位+base64+md5后十六位。

冰蝎

特征一 :UA特征

User-Agent: Mozilla/5.0 冰蝎的ua头信息是Mozilla/5.0是一种较老的UA头信息,为此可以作为我们判断是冰蝎的一种特征信息

特征二:appect字段特征

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,/;q=0.8,application/signed-exchange;v=b3;q=0.9

特征三:accpect-language字段特征

Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7

写在最后

如有错误,请及时指出,感谢

网安?阿哲
关注
  • 25
    点赞
  • 77
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
三种常见webshell工具流量特征分析
mashiro_hibiki的博客
04-10 1044
webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。使用方法简单,只需上传一个代码文件,通过网址访问,便可进行很多日常操作,极大地方便了使用者对网站和服务器的管理。正因如此,也有小部分人将代码修改后当作后门程序使用,以达到控制网站服务器的目的,也可以将其称做为一种网页后门。
webshell使用与流量分析(含数据包)
hackzkaq的博客
04-29 3925
零基础学黑客,搜索公众号:白帽子左一 作者:掌控安全学员-逍遥子 一、菜刀 1.使用方法 菜刀的使用简单,将一句话木马上传到目标,然后直接使用菜刀连接即可,菜刀主要可以对目标进行虚拟终端,文件操作,数据库操作等。 2.流量分析 1.当菜刀和服务器连接后:最开的的两次流量通信,便产生了大量的数据信息。且使用了base64的方式进行编码 2.对数据解码,发现第一的数据是获取设备的信息,第二段数据是写入了一段新的木马,对第二段的base64编码进行转码整理后得到; @ini_set("displa
常见webshell工具特征分析
最新发布
白帽黑客八哥的博客
05-29 1451
在工作中经常会遇到各种websehll,黑客通常要通过各种方式获取 webshell,从而获得企业网站的控制权,识别出webshell文件或通信流量可以有效地阻止黑客进一步的攻击行为,下面以常见的四款webshell进行分析,对工具连接流量有个基本认识。Webshell简介webshell就是以aspphp、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。
四大webshell流量特征冰蝎菜刀哥斯拉
2301_76690905的博客
03-20 710
一样的密钥交换方式,哥斯拉建立连接时会发起三次请求,第一次请求数据超级长,建立。和当前会话绑定,不同的客户端的密钥也是不同的。少了动态密钥的获取的请求,不再使用随机生成。一次请求为判断是否可以建立连接,少了俩次。编码,其流量中也存在和一样的代码。,连接时会请求两次,其请求体只是经过。获取冰蝎动态密钥的行为,第二次发送。第二次请求,会把主机目录列出来。等代码执行,获取网站的信息。,接下来去获取主机的信息。第一次请求,关闭报错和。,第二三次请求确认连接。特征就是传输参数名为。第二次请求是为了获取。
webshell工具-冰蝎流量特征和加密方式
qq_40898302的博客
05-25 776
冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端,由于通信流量被加密,传统的WAF、IDS 设备难以检测,给威胁狩猎带来较大挑战。冰蝎其最大特点就是对交互流量进行对称加密,且加密密钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测。而老牌的如中国菜刀因为其流量特征太过明显,从而使用的场景越来越少。
常见webshell管理工具流量特征
m0_74271951的博客
07-29 198
Webshell管理工具流量特征 #流量
WEBSHELL管理工具流量特征——基础篇
ALLEN'Blog
01-17 1705
今天给大家带来了WEBSHELL管理工具流量特征基础篇,简单介绍了菜刀这两个比较简单的流量特征,之后也会给大家带来别的WEBSHELL管理工具流量分析,如果夏欢本文希望可以一键三连支持一下。
webshell客户端流量特征
buffedon的博客
07-14 4753
webshell客户端流量特征概述:1. 冰蝎2. 中国菜刀2011,2014版本2016版本3. Cknife4. 5. 哥斯拉 webshell客户端 用于webshell后门和攻击者之间的通信程序,我们可以通过webshell客户端的流量来判断服务器上是否存在Webshell后门。 概述: 中国菜刀流量特征比较明显,2011,2014版本中,流量中有的php代码,asp代码是明文形式,jsp代码有固定格式,容易被检测出来。2016版本隐蔽性增强,对php,asp代码增加了混淆,还对ASP代码进行
常见WebShell客户端的流量特征
m0_49025459的博客
04-18 1944
以下的全是我在各个大佬哪里看文章做的总结-相当于我的笔记。
Webshell管理工具流量特征
m0_70655343的博客
07-15 223
3.0分析流量发现相比2.0少了动态密钥的获取的请求,不再使用随机生成key,改为取连接密码的md5加密值的前16位作为密钥。采用了和冰蝎3.0一样的密钥交换方式,哥斯拉建立连接时会发起三次请求,第一次请求数据超级长,建立session,第二三次请求确认连接。第一次请求服务端产生密钥写入session,session和当前会话绑定,不同的客户端的密钥也是不同的。默认的shell,连接时会请求两次,其请求体只是经过url编码,其流量中也存在和一样的代码。...
webshell工具流量特征
qq_52973916的博客
08-11 315
这段代码基本是所有WebShell客户端链接PHP类WebShell都有的一种代码,但是有的客户端会将这段编码或者加密,而是明文,所以较好发现,同时也有eval这种明显的特征冰蝎webshell建立连接的同时,javaw也与目的主机建立tcp连接,每次连接使用本地端口在49700左右,每连接一次,每建立一次新的连接,端口就依次增加。由于中包含了很多加密、绕过插件,所以导致很多流量被加密后无法识别,但是混淆加密后还有一个比较明显的特征,即为参数名大多以。冰蝎中,任何请求,最终都会调用。
kingkong:解密哥斯拉webshell管理工具流量
04-16
解密哥斯拉Godzilla-V2.96 webshell管理工具流量 目前只支持jsp类型的webshell流量解密 Usage 获取攻击者上传到服务器的webshell样本 获取wireshark之类的流量包,一般甲方有科来之类的全流量镜像设备,联系运维人员...
天蝎1_天蝎webshell_webshell管理_
10-01
webshell管理工具天蝎,是由冰蝎变种,可以绕过各种检测设备。
渗透测试攻防webshell大合集.zip
07-26
超千个实战webshell: 138shell antSword antSword-shells AntSwordProject asp aspx b4tm4n-toolz Backdoor Dev Shells webshellpub等等,太多了,不一一列举了,需要的下载使用。
Webshell后门查杀
12-20
5. **使用查杀工具**:有许多开源工具可以帮助检测Webshell,如ClamAV、AWVS、Nessus等。它们可以自动扫描文件系统,查找已知的Webshell模板。 6. **防火墙策略**:配置防火墙规则,阻止来自可疑IP的请求,或者限制...
JspMaster-Deprecated:一款基于webshell命令执行功能实现的GUI webshell管理工具,支持流量加密
05-13
与其他 Webshell 管理工具不同,由于一开始的想法是寻找其他命令执行的方式,所以 JspMaster 的底层逻辑是通过命令执行,而不是通过代码执行来实现的。这增强了工具的可扩展性,但同时也引入了一些困难,比如文件的...
Webshell工具流量特征分析(菜刀冰蝎哥斯拉
热门推荐
告白的博客
05-31 2万+
0x00 前言 使用各种的shell工具获取到目标权限,即可进行数据操作,今天来简要分析一下目前常使用的各类shell管理工具流量特诊,帮助蓝队同学在风险识别上快速初值 0x01 中国菜刀流量分析 0x02 ......
常见webshell连接工具流量特征总结
qq_52486507的博客
03-25 1997
1.Accep和Content-Type为弱特征且Content-type:一般为Application/x-www-form-urlencoded,这里可作为辅助特征。1.请求包中会有eval,assert, base64的特征字符(这里如果用eval方法就是eval ,如果是assert方法就是assert)1.流量最明显的特征就是会有明文是@ini_set(“display_errors”,“0”)这个函数,也会有eval这个函数。2.在请求包的Cookie中有一个非常致命的特征是会在最后出现分号。
常见四种Webshell流量特征及解密实战
日拱一卒,默默努力
08-11 897
常见四种Webshell流量特征及解密实战
webshell工具流量特征
05-21
Webshell 工具流量特征可以分为以下几个方面: 1. 通信协议:Webshell 工具使用的通信协议通常是 HTTP 或 HTTPS 协议。因此,可以通过对 HTTP/HTTPS 协议的流量进行分析,来检测 Webshell 工具的使用情况。 2. HTTP 请求方法:Webshell 工具使用的 HTTP 请求方法通常是 POST 方法,因为这种方法可以在 HTTP 请求体中传递数据。因此,可以通过检测 POST 方法的使用情况,来判断是否存在 Webshell 工具的使用。 3. 请求头信息:Webshell 工具发送的 HTTP 请求通常包含一些特殊的请求头信息,例如 Referer、User-Agent 等。这些请求头信息可能会包含一些特定的字符串或者是编码方式,可以通过检测这些特征来判断是否存在 Webshell 工具的使用。 4. 请求体内容:Webshell 工具发送的 HTTP 请求通常包含一些具有特殊意义的请求体内容,例如包含命令执行、文件上传、代码执行等操作的数据。可以通过检测这些特定的请求体内容来判断是否存在 Webshell 工具的使用。 5. 响应内容:Webshell 工具接收到服务器响应后,通常会包含一些特定的响应内容,例如命令输出、文件下载等。可以通过检测这些特定的响应内容来判断是否存在 Webshell 工具的使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值