冰蝎/哥斯拉-流量特征分析

最新推荐文章于 2024-03-14 21:50:31 发布
最新推荐文章于 2024-03-14 21:50:31 发布
阅读量611 收藏 4
点赞数 12
文章标签: web安全 网络安全 安全 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33906495/article/details/136447225
版权

冰蝎/哥斯拉-流量特征分析

冰蝎流量特征分析

这里我们直接抓取数据包流量进行分析
在这里插入图片描述

  1. Accept: application/json, text/javascript, /; q=0.01
  2. 冰蝎设置了10种User-Agent,每次连接shell时会随机选择一个进行使用。
  3. Connection: Keep-Alive #冰蝎通讯默认使用长连接,避免了频繁的握手造成的资源开销。
  4. 响应包头数据 TxcWR1NNExZAD0ZaAWMIPAZjH1BFBFtHThcJSlUXWEd
    尝试对响应包头数据 TxcWR1NNExZAD0ZaAWMIPAZjH1BFBFtHThcJSlUXWEd 进行解密,可以看到是命令执行成功的加密数据,所以基本上每个数据包当中等会存在。
    在这里插入图片描述

哥斯拉流量特征分析

这里我们直接抓取数据包流量进行分析
在这里插入图片描述

所有请求中Cookie中后面都存在;
所有请求中Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,/;q=0.8
请求包当中头数据pass=
所有响应中Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0

KKLH
关注
  • 12
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
冰蝎4.0特征分析流量检测思路
A_991128a的博客
08-07 719
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
冰蝎2流量分析,解密以及其防守姿势
热门推荐
瑞雪掩晨曦的博客
11-12 2万+
冰蝎2 文章目录冰蝎2流量分析(php)1.先来截图一下一下webshell2.通过上面解读的webshell,按照流程绘制了一个大致流程图3.接下来来测试冰蝎2的流量特征流量解密1.首先将第二次的秘钥填入密码内,将post请求内容放入解密2.解密成功3.将解密好的文件中有base64的加密 内容再次解密4.解密后结果5.上方的success为成功的意思,接下来的数据同上解密6.phpshell 的接下来请求为phpinfo的获取6.这里执行了phpinfo的获取进阶解析流量分析(jsp) 流量分析(php
冰蝎,蚁剑,哥斯拉的初步流量特征分析
最新发布
w2vmany的博客
03-14 2011
默认的情况下,User-Agent会有类似于Java/1.8.0_121(具体取决于JDK环境版本)。但是哥斯拉可以自定义HTTP头,所以这个特征是容易去除的。
冰蝎流量分析
weixin_48776804的博客
05-27 2563
冰蝎流量分析
冰蝎v2.0.1流量分析
A_991128a的博客
08-08 571
冰蝎经过一系列的迭代,流量特征各有不同,我们以版本顺序探究冰蝎流量的进化史1、冰蝎自带webshell,我们以php的webshell为例(已加注释):[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-YcUNPc4x-1691284675827)(https://image.3001.net/images/20220901/1662002545_631025711eac09769c395.png!small)]
流量分析--------webshell工具冰蝎原理
qq_36448110的博客
05-12 3177
冰蝎,菜刀,哥斯拉webshell管理工具,比较出名,也被经常使用。之前只知道冰蝎经过加密,具体原理不是很清楚。 我想如果我是蓝方的成员,如果能懂这里面·的传输原理,是不是就能在流量分析,在底层的时候就给与阻挡,杜绝危机。 所以今天就来仔细研究以下: 1.首先宿主机10.77是攻击者,虚拟机是受害者10.222,事先上传号木马文件 2.打开冰蝎和抓包软件(科来进行抓包) 3.双击连接,进行抓包 原理分析: 1.按理来说上传shell之后,第一次应该有个客户端和服务器之间交换aes密钥的环节,但是没
冰蝎V4.0流量分析到攻防检测
蚁景网安学院
01-16 4572
最近在改写 yso,觉得自己基础太差了,想先阅读一下 sqlmap、冰蝎以及一些其他工具的开发思路。文章可能写的不够严谨,有不对的地方还请师傅们多多指出。
CTF哥斯拉冰蝎解码工具
02-23
承影_哥斯拉冰蝎解码工具1.1版本,助力CTF比赛
强大的webshell管理工具-哥斯拉
12-27
只有适合自己的工具,没有好坏之分,拿走不谢。
kingkong:解密哥斯拉webshell管理工具流量
04-16
解密哥斯拉Godzilla-V2.96 webshell管理工具流量 目前只支持jsp类型的webshell流量解密 Usage 获取攻击者上传到服务器的webshell样本 获取wireshark之类的流量包,一般甲方有科来之类的全流量镜像设备,联系运维人员...
攻击工具分析:哥斯拉(Godzilla)1
08-03
介绍的也差不多了,我们来分析看看他到底强在哪。加密模块分析分析脚本类型:PHP_XOR_base64具版本:3.031. 先进反编译,加密代码的位置位于:”sh
哥斯拉4.0.1.rar
03-05
哥斯拉,好用的用后门软件
冰蝎4.0流量分析及魔改
2301_77157449的博客
05-11 1076
冰蝎v4.0开放了传输协议的自定义功能,使得流量魔改更为简单方便,本文以jsp脚本类型为例,提供一些冰蝎4流量魔改的方式冰蝎4内置了如下几种传输协议,传输协议可以理解为流量的加密方式 以default_xor传输协议为例,这种传输协议是对原始数据进行了异或加密 效果如下: 我们来去掉加密解密函数的相关代码 如果不用任何加解密函数,request body其实传输的是java 字节码 响应体其实也是明文的固定格式的json类型 {"msg":"执行结果base64编码","status":"c3Vj
菜刀,蚁剑,冰蝎哥斯拉流量特征
2301_76786857的博客
12-24 1818
菜刀,蚁剑,冰蝎哥斯拉四大webshell工具的流量特征。
护网面试总结
zhihuijiazeng的博客
06-08 3582
从大佬的经验摘过来的
冰蝎、蚁剑、哥斯拉流量特征
qq_53218512的博客
06-11 3775
webshell管理工具,蚁剑、冰蝎哥斯拉流量特征
记一次流量分析&代码分析-冰蝎
pingan233的博客
02-22 3196
冰蝎流程图如下:冰蝎是先请求服务端,服务端判断请求之后生成一个128位的随机数,并将这个128位的随机数写入到session里面,并将这个128位的随机数返回给客户端,但是客户端并不会使用这个key作为之后的通讯的key,而是会继续重复上面过程,不断获取key,直到满足特定条件之后,才会确定是最终的key。客户端会保存这个key和响应报文里面的set-cookie的值。这个key就是之后客户端和服务端进行通讯的密匙。检测请求方式:Request.method= GET。
冰蝎、菜刀、蚁剑、哥斯拉流量特征
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
07-18 2395
菜刀,蚁剑,冰蝎哥斯拉
冰蝎、菜刀、蚁剑、哥斯拉流量特征
05-20
冰蝎、菜刀、蚁剑、哥斯拉都是常见的远程控制工具(RAT),它们的流量特征略有不同: 1. 冰蝎冰蝎是一种基于Java编写的远程控制工具,它的流量特征主要表现在数据包中的特殊标记和传输的数据类型。冰蝎的数据包中包含了特定的标记,如"flag=0x52415631",用于标识该数据包是冰蝎的控制命令。此外,冰蝎还使用了一种自定义的二进制协议,在通信中传输各种类型的数据。 2. 菜刀:菜刀是一种常见的ASP语言编写的远程控制工具,其流量特征主要表现在HTTP协议上。菜刀使用HTTP协议通信,控制命令和数据都通过POST请求传输。因此,可以通过HTTP请求头中的User-Agent、Referer等信息进行识别。 3. 蚁剑:蚁剑是一种基于Java编写的远程控制工具,其流量特征主要表现在数据包的加密方式和数据类型。蚁剑使用了AES加密算法对数据进行加密,同时还使用了自定义的二进制协议,在通信中传输各种类型的数据。 4. 哥斯拉哥斯拉是一种基于C#编写的远程控制工具,其流量特征主要表现在数据包的特殊标记和数据类型。哥斯拉的数据包中包含了特定的标记,如"XORHEAD"和"XORBODY",用于标识该数据包是哥斯拉的控制命令。此外,哥斯拉还使用了一种自定义的二进制协议,在通信中传输各种类型的数据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值