冰蝎/哥斯拉-流量特征分析

最新推荐文章于 2024-05-25 12:44:01 发布
最新推荐文章于 2024-05-25 12:44:01 发布
阅读量686 收藏 4
点赞数 12
文章标签: web安全 网络安全 安全 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33906495/article/details/136447225
版权

冰蝎/哥斯拉-流量特征分析

冰蝎流量特征分析

这里我们直接抓取数据包流量进行分析
在这里插入图片描述

  1. Accept: application/json, text/javascript, /; q=0.01
  2. 冰蝎设置了10种User-Agent,每次连接shell时会随机选择一个进行使用。
  3. Connection: Keep-Alive #冰蝎通讯默认使用长连接,避免了频繁的握手造成的资源开销。
  4. 响应包头数据 TxcWR1NNExZAD0ZaAWMIPAZjH1BFBFtHThcJSlUXWEd
    尝试对响应包头数据 TxcWR1NNExZAD0ZaAWMIPAZjH1BFBFtHThcJSlUXWEd 进行解密,可以看到是命令执行成功的加密数据,所以基本上每个数据包当中等会存在。
    在这里插入图片描述

哥斯拉流量特征分析

这里我们直接抓取数据包流量进行分析
在这里插入图片描述

所有请求中Cookie中后面都存在;
所有请求中Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,/;q=0.8
请求包当中头数据pass=
所有响应中Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0

KKLH
关注
  • 12
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
冰蝎4.0流量分析及魔改
2301_77157449的博客
05-11 1098
冰蝎v4.0开放了传输协议的自定义功能,使得流量魔改更为简单方便,本文以jsp脚本类型为例,提供一些冰蝎4流量魔改的方式冰蝎4内置了如下几种传输协议,传输协议可以理解为流量的加密方式 以default_xor传输协议为例,这种传输协议是对原始数据进行了异或加密 效果如下: 我们来去掉加密解密函数的相关代码 如果不用任何加解密函数,request body其实传输的是java 字节码 响应体其实也是明文的固定格式的json类型 {"msg":"执行结果base64编码","status":"c3Vj
CTF哥斯拉冰蝎解码工具
02-23
承影_哥斯拉冰蝎解码工具1.1版本,助力CTF比赛
冰蝎4.0特征分析流量检测思路
A_991128a的博客
08-07 807
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
冰蝎流量分析
weixin_48776804的博客
05-27 2568
冰蝎流量分析
webshell工具-冰蝎流量特征和加密方式
最新发布
qq_40898302的博客
05-25 718
冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端,由于通信流量被加密,传统的WAF、IDS 设备难以检测,给威胁狩猎带来较大挑战。冰蝎其最大特点就是对交互流量进行对称加密,且加密密钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测。而老牌的如中国菜刀因为其流量特征太过明显,从而使用的场景越来越少。
冰蝎v2.0.1流量分析
A_991128a的博客
08-08 613
冰蝎经过一系列的迭代,流量特征各有不同,我们以版本顺序探究冰蝎流量的进化史1、冰蝎自带webshell,我们以php的webshell为例(已加注释):[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-YcUNPc4x-1691284675827)(https://image.3001.net/images/20220901/1662002545_631025711eac09769c395.png!small)]
流量分析--------webshell工具冰蝎原理
qq_36448110的博客
05-12 3200
冰蝎,菜刀,哥斯拉webshell管理工具,比较出名,也被经常使用。之前只知道冰蝎经过加密,具体原理不是很清楚。 我想如果我是蓝方的成员,如果能懂这里面·的传输原理,是不是就能在流量分析,在底层的时候就给与阻挡,杜绝危机。 所以今天就来仔细研究以下: 1.首先宿主机10.77是攻击者,虚拟机是受害者10.222,事先上传号木马文件 2.打开冰蝎和抓包软件(科来进行抓包) 3.双击连接,进行抓包 原理分析: 1.按理来说上传shell之后,第一次应该有个客户端和服务器之间交换aes密钥的环节,但是没
冰蝎V4.0流量分析到攻防检测
蚁景网安学院
01-16 4627
最近在改写 yso,觉得自己基础太差了,想先阅读一下 sqlmap、冰蝎以及一些其他工具的开发思路。文章可能写的不够严谨,有不对的地方还请师傅们多多指出。
强大的webshell管理工具-哥斯拉
12-27
只有适合自己的工具,没有好坏之分,拿走不谢。
kingkong:解密哥斯拉webshell管理工具流量
04-16
解密哥斯拉Godzilla-V2.96 webshell管理工具流量 目前只支持jsp类型的webshell流量解密 Usage 获取攻击者上传到服务器的webshell样本 获取wireshark之类的流量包,一般甲方有科来之类的全流量镜像设备,联系运维人员...
攻击工具分析:哥斯拉(Godzilla)1
08-03
哥斯拉是由Java语言编写,继承了诸如菜刀、蚁剑、冰蝎等前辈的特性,并在其基础上进行了增强,提供了更多的功能和优势。 首先,哥斯拉的一大亮点是其全面的shell支持。它能够绕过市面上大部分静态查杀系统,这意味...
哥斯拉4.0.1.rar
03-05
哥斯拉,好用的用后门软件
菜刀,蚁剑,冰蝎哥斯拉流量特征
2301_76786857的博客
12-24 2090
菜刀,蚁剑,冰蝎哥斯拉四大webshell工具的流量特征。
冰蝎、蚁剑、哥斯拉流量特征
qq_53218512的博客
06-11 3994
webshell管理工具,蚁剑、冰蝎哥斯拉流量特征
记一次流量分析&代码分析-冰蝎
pingan233的博客
02-22 3355
冰蝎流程图如下:冰蝎是先请求服务端,服务端判断请求之后生成一个128位的随机数,并将这个128位的随机数写入到session里面,并将这个128位的随机数返回给客户端,但是客户端并不会使用这个key作为之后的通讯的key,而是会继续重复上面过程,不断获取key,直到满足特定条件之后,才会确定是最终的key。客户端会保存这个key和响应报文里面的set-cookie的值。这个key就是之后客户端和服务端进行通讯的密匙。检测请求方式:Request.method= GET。
护网面试总结
zhihuijiazeng的博客
06-08 4102
从大佬的经验摘过来的
冰蝎、菜刀、蚁剑、哥斯拉流量特征
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
07-18 2570
菜刀,蚁剑,冰蝎哥斯拉
冰蝎,蚁剑,哥斯拉的初步流量特征分析
w2vmany的博客
03-14 2310
默认的情况下,User-Agent会有类似于Java/1.8.0_121(具体取决于JDK环境版本)。但是哥斯拉可以自定义HTTP头,所以这个特征是容易去除的。
分析冰蝎流量特征以及请求包
weixin_46299490的博客
09-17 1635
冰蝎流量特征
冰蝎、菜刀、蚁剑、哥斯拉流量特征
05-20
冰蝎、菜刀、蚁剑、哥斯拉都是常见的远程控制工具(RAT),它们的流量特征略有不同: 1. 冰蝎冰蝎是一种基于Java编写的远程控制工具,它的流量特征主要表现在数据包中的特殊标记和传输的数据类型。冰蝎的数据包中包含了特定的标记,如"flag=0x52415631",用于标识该数据包是冰蝎的控制命令。此外,冰蝎还使用了一种自定义的二进制协议,在通信中传输各种类型的数据。 2. 菜刀:菜刀是一种常见的ASP语言编写的远程控制工具,其流量特征主要表现在HTTP协议上。菜刀使用HTTP协议通信,控制命令和数据都通过POST请求传输。因此,可以通过HTTP请求头中的User-Agent、Referer等信息进行识别。 3. 蚁剑:蚁剑是一种基于Java编写的远程控制工具,其流量特征主要表现在数据包的加密方式和数据类型。蚁剑使用了AES加密算法对数据进行加密,同时还使用了自定义的二进制协议,在通信中传输各种类型的数据。 4. 哥斯拉哥斯拉是一种基于C#编写的远程控制工具,其流量特征主要表现在数据包的特殊标记和数据类型。哥斯拉的数据包中包含了特定的标记,如"XORHEAD"和"XORBODY",用于标识该数据包是哥斯拉的控制命令。此外,哥斯拉还使用了一种自定义的二进制协议,在通信中传输各种类型的数据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值