常见的webshell工具的流量特征

网安？阿哲

已于 2024-01-19 20:41:41 修改

阅读量3.8k

点赞数 30

文章标签： webshell工具菜刀蚁剑冰蝎哥斯拉

于 2024-01-19 20:38:58 首次发布

本文链接：https://blog.csdn.net/m0_66458291/article/details/135706334

版权

菜刀

因为菜刀有很多的版本迭代，为此，菜刀的流特征大致有如下几种

PHP流量特征

特征一：百度爬虫头

1.菜刀工具发起的请求头里面，默认的UA为百度的爬虫Baiduspider

Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)

特征二：采用base64加密方式

数据报中有明显的base64解密的过程，因为数据报发送的时候是以base64加密的方式进行发送的

特征三：数据报中有有eval关键字

后门连接使用的是eval的方式进行后门连接

特征四：特定的数据包前缀

每个请求中的前缀都是一样的，一定要主要这个前缀：

QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtpZihQSFBfVkVSU0lPTjwnNS4zLjAnKXtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO307ZWNobygiWEBZIik7J

解码后是下面：

@ini_set("display_errors","0");@set_time_limit(0);if(PHP_VERSION<'5.3.0'){@set_magic_quotes_runtime(0);};echo("X@Y");

这种判断方式最为可靠，一般有这个前缀的数据报就可以判断这个数据报是菜刀连接后门的数据报

特征五：返回的数据报中有X@Y的字样

JSP流量特征

该流量是WebShell链接流量的第一段链接流量,其中特征主要在i=A&z0=GB2312,菜刀链接JSP木马时,第一个参数定义操作,其中参数值为A-Q,

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

网安？阿哲

关注关注

30
点赞
踩
107

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

WEBSHELL管理工具流量特征——基础篇

ALLEN'Blog

01-17

1860

今天给大家带来了WEBSHELL管理工具流量特征基础篇，简单介绍了菜刀和蚁剑这两个比较简单的流量特征，之后也会给大家带来别的WEBSHELL管理工具流量分析，如果夏欢本文希望可以一键三连支持一下。

攻防_WebShell_常见webshell工具流量特征

redglare的博客

04-16

977

和冰蝎类似，哥斯拉为加密的通讯流量，因此通过流量进行检测会有很大的难度，由于 WAF 等流量检测型安全设备无法对加密的流量进行解密，因此只能采用一些比较宽泛的匹配规则进行检测。=”这种形式（下划线可替换为其他）所以，以_0x开头的参数名，后面为加密数据的数据包也可识别为蚁剑的流量特征。：连接的端口有一定的特征，冰蝎与webshell建立连接的同时，javaw也与目的主机建立tcp连接，每次连接使用本地端口在49700左右(就是比较大的端口)，每连接一次，每建立一次新的连接，端口就依次增加。

参与评论您还未登录，请先登录后发表或查看评论

常见webshell工具及特征分析

白帽黑客八哥的博客

05-29

2223

在工作中经常会遇到各种websehll，黑客通常要通过各种方式获取 webshell，从而获得企业网站的控制权，识别出webshell文件或通信流量可以有效地阻止黑客进一步的攻击行为，下面以常见的四款webshell进行分析，对工具连接流量有个基本认识。Webshell简介webshell就是以aspphp、jsp或者cgi等网页文件形式存在的一种代码执行环境，主要用于网站管理、服务器管理、权限管理等操作。

常见webshell流量特征---菜刀/蚁剑/冰蝎/哥斯拉

最新发布

weixin_74942037的博客

03-08

1206

识别常见Webshell流量的特征，可帮助我们识别攻击者采取何种webshell工具，以及上传了什么类型的webshell，以下是一些常见的webshell流量特征。菜刀主流版本主要是2011版、2014版、2016版。从2011版本到2014版本是功能性上进行了增强，从2014版本到2016版本是在隐秘性上进行了增强，2016版本的菜刀流量加入了混淆。菜刀20112011的特征之后的其他版本都有，但不是大部分明文传输了，特征没2011明显明文传输，部分Base64(可解码)payload以开头。

常见webshell工具的流量特征

weixin_75158417的博客

03-03

981

使用AES加密+base64编码，AES使用动态密钥对通信进行加密，进行请求时内置了十几个U-A头，每次请求时会随机选择其中一个。因此当发现一个IP的请求头中的u-a头在不断的发生变化，就有可能是冰蝎。因此当发现一个ip的请求头中的u-a在频繁变换，就可能是冰蝎。3.0连接jsp的webshell的请求数据包中的content-type字段常见为application/octet-stream。使用AES加密+base64编码，取消了2.0的动态获取密钥，使用固定的连接密钥，随机数结果随机数。

webshell客户端流量特征

buffedon的博客

07-14

5078

webshell客户端流量特征概述：1. 冰蝎2. 中国菜刀2011，2014版本2016版本3. Cknife4. 蚁剑5. 哥斯拉 webshell客户端用于webshell后门和攻击者之间的通信程序，我们可以通过webshell客户端的流量来判断服务器上是否存在Webshell后门。概述：中国菜刀：流量特征比较明显，2011,2014版本中，流量中有的php代码，asp代码是明文形式，jsp代码有固定格式，容易被检测出来。2016版本隐蔽性增强，对php，asp代码增加了混淆，还对ASP代码进行

webshell管理工具及其流量特征分析

Goodric的博客

07-22

1635

—对常见四款webshell进行分析，对工具连接流量有个基本认识。——

三种常见webshell工具的流量特征分析

mashiro_hibiki的博客

04-10

1652

webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境，主要用于网站管理、服务器管理、权限管理等操作。使用方法简单，只需上传一个代码文件，通过网址访问，便可进行很多日常操作，极大地方便了使用者对网站和服务器的管理。正因如此，也有小部分人将代码修改后当作后门程序使用，以达到控制网站服务器的目的，也可以将其称做为一种网页后门。

webshell流量特征

weixin_56353201的博客

10-24

869

例如在网络安全监测中，如果发现某个请求的 User-Agent 为类似 Java 版本的标识，就可以引起一定的警惕，但不能仅凭此确定就是哥斯拉的流量，因为很多正常的 Java 应用也可能有类似的 User-Agent。在网络安全监测中，如果发现 content-Length 中有 uelencode 字段的请求，且具有其他蚁剑的特征，就需要高度关注，很有可能是蚁剑的流量。网络安全防护人员可以通过监测网络流量中的响应包，一旦发现明文的响应包，且具有一定的特征，就需要高度关注，很有可能是蚁剑的流量。

webshell工具流量特征

05-21

Webshell 工具流量特征可以分为以下几个方面： 1. 通信协议：Webshell 工具使用的通信协议通常是 HTTP 或 HTTPS 协议。因此，可以通过对 HTTP/HTTPS 协议的流量进行分析，来检测 Webshell 工具的使用情况。 2. ...

kingkong:解密哥斯拉webshell管理工具流量

04-16

解密哥斯拉Godzilla-V2.96 webshell管理工具流量目前只支持jsp类型的webshell流量解密 Usage 获取攻击者上传到服务器的webshell样本获取wireshark之类的流量包，一般甲方有科来之类的全流量镜像设备，联系运维人员...

Webshell工具的流量特征分析（菜刀，蚁剑，冰蝎，哥斯拉）

热门推荐

告白的博客

05-31

3万+

0x00 前言使用各种的shell工具获取到目标权限，即可进行数据操作，今天来简要分析一下目前常使用的各类shell管理工具的流量特诊，帮助蓝队同学在风险识别上快速初值 0x01 中国菜刀流量分析 0x02 ......

常见的webshell的流量特征和检测思路

weixin_45585955的博客

04-11

7962

所以分析如上：该流量是WebShell链接流量的第一段链接流量，其中特征主要在i=A&z0=GB2312，菜刀链接JSP木马时，第一个参数定义操作，其中参数值为A-Q，如i=A，第二个参数指定编码，其参数值为编码，如z0=GB2312，有时候z0后面还会接着又z1=、z2=参数用来加入攻击载荷。最后传给cmd的这些流量字符中有自己的特征，1、都是系统命令；2、必须以分号结尾；至此，冰蝎成为了一个完美的开箱即用的工具，本体内存马免杀，流量免杀，功能齐全，兼容性好，在连续几年的攻防演练中，成为最热门的工具。

常见WebShell客户端的流量特征

m0_49025459的博客

04-18

3179

以下的全是我在各个大佬哪里看文章做的总结-相当于我的笔记。

Webshell管理工具的流量特征

m0_70655343的博客

07-15

473

3.0分析流量发现相比2.0少了动态密钥的获取的请求，不再使用随机生成key，改为取连接密码的md5加密值的前16位作为密钥。采用了和冰蝎3.0一样的密钥交换方式，哥斯拉建立连接时会发起三次请求，第一次请求数据超级长，建立session，第二三次请求确认连接。第一次请求服务端产生密钥写入session，session和当前会话绑定，不同的客户端的密钥也是不同的。默认的蚁剑shell，连接时会请求两次，其请求体只是经过url编码，其流量中也存在和蚁剑一样的代码。...

常见的webshell连接工具的流量特征总结

qq_52486507的博客

03-25

2380

1.Accep和Content-Type为弱特征且Content-type:一般为Application/x-www-form-urlencoded，这里可作为辅助特征。1.请求包中会有eval，assert, base64的特征字符（这里如果用eval方法就是eval ,如果是assert方法就是assert）1.流量最明显的特征就是会有明文是@ini_set(“display_errors”,“0”)这个函数，也会有eval这个函数。2.在请求包的Cookie中有一个非常致命的特征是会在最后出现分号。

webshell工具流量特征：

qq_52973916的博客

08-11

431

这段代码基本是所有WebShell客户端链接PHP类WebShell都有的一种代码，但是有的客户端会将这段编码或者加密，而蚁剑是明文，所以较好发现，同时蚁剑也有eval这种明显的特征。冰蝎与webshell建立连接的同时，javaw也与目的主机建立tcp连接，每次连接使用本地端口在49700左右，每连接一次，每建立一次新的连接，端口就依次增加。由于蚁剑中包含了很多加密、绕过插件，所以导致很多流量被加密后无法识别，但是蚁剑混淆加密后还有一个比较明显的特征，即为参数名大多以。冰蝎中，任何请求，最终都会调用。

常见webshell管理工具的流量特征

m0_74271951的博客

07-29

254

Webshell管理工具的流量特征 #流量