【菜刀流量特征分析】

最新推荐文章于 2024-06-03 15:59:53 发布
最新推荐文章于 2024-06-03 15:59:53 发布
阅读量2.4k 收藏 1
点赞数
分类专栏: 学习随笔 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44122254/article/details/126290149
版权

用wireshark进行菜刀的流量分析,服务器搭建上传环境,菜刀连接后门的同时用wireshark抓取流量包
在这里插入图片描述

进入http追踪流,查看请求包和响应包
在这里插入图片描述在这里插入图片描述

发现请求包执行了 base64_decode 函数对 z1 进行 base64 后,经过 eval 函数执行命令,base64 解密 z1指向的路径,响应包中给出上传到www目录下
在这里插入图片描述

对文件进行查看
在这里插入图片描述

进去index.php文件
在这里插入图片描述

经过多次分析实验得出菜刀数据包流量特征:
1,请求体中存在assert eavl,base64等特征字符
2,请求体中传递的payload为base64编码,并且存在固定的QGluaV9zZXQo、@ini_set

Index.php源码如下:
在这里插入图片描述

坚果雨
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
菜刀webshell流量数据包
08-01
菜刀webshell流量数据包
python模拟菜刀反弹shell绕过限制【推荐】
09-19
主要介绍了利用python模拟菜刀反弹shell绕过限制,本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
菜刀、冰蝎、蚁剑、哥斯拉的流量特征
eternitymd的博客
04-29 1万+
菜刀流量特征(最开始是明文传输,后来采用base64加密):PHP类WebShell链接流量 如下图: 第一:“eval”,eval函数用于执行传递的攻击payload,这是必不可少的; 第二:(base64_decode($_POST[z0])),(base64_decode($_POST[z0]))将攻击payload进行Base64解码,因为菜刀默认是使用Base64编码,以避免被检测; 第三:&z0=QGluaV9zZXQ...,该部分是传递攻击payload,此参数z0对应$_
Hvv常见流量特征(通俗易懂好记)
最新发布
2201_75341517的博客
06-03 1715
webshell流量特征,冰蝎,蚁剑,哥斯拉,菜刀流量特征,hw
菜刀,蚁剑,冰蝎,哥斯拉流量特征
2301_76786857的博客
12-24 2335
菜刀,蚁剑,冰蝎,哥斯拉四大webshell工具的流量特征
菜刀,蚁剑,冰蝎,哥斯拉)流量特征分析总结
weixin_54603520的博客
05-15 4041
在红蓝攻防的过程中,webshell工具的流量特征分析一直时蓝队成员需要关注的重点。
29-5 webshell 流量分析 - 菜刀(1)
2401_84519859的博客
05-16 823
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
冰蝎、菜刀、蚁剑、哥斯拉流量特征
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
07-18 2733
菜刀,蚁剑,冰蝎,哥斯拉
Xise19.9无视世界WAF.zip_菜刀
09-15
更新日志  生成内页修复生成内页内核,加速生成效率。  生成内页支持新闻采集模式,可选本地新闻或远程新闻。  生成内页支持防删功能。  生成内页支持批量操作,可数千shell不间断生成。...
激光菜刀
02-11
激光菜刀
菜刀行业(2021-2026)企业市场突围战略分析与建议.docx
10-10
第二章 2021-2026年菜刀行业企业市场突围战略分析: 2.1 树立“战略突破”理念: 企业应将战略突破作为核心指导思想,勇于挑战传统,寻求差异化和创新。这涉及到对市场、产品和品牌的重新审视,以适应新的消费者期望...
笔记:流量特征分析
02-22 661
笔记:流量特征分析
流量特征分析——蚁剑、菜刀、冰蝎
Sgirll的博客
07-22 5729
通过对这三种常见的网络攻击工具流量特征的分析,我们可以更好地了解它们在网络流量中的表现。网络管理员和安全专家可以根据这些特征来识别和监测潜在的攻击活动,并及时采取相应的防护措施。同时,持续的学习和了解新兴攻击工具的流量特征也是保持网络安全的重要一环。本文将重点研究菜刀、蚁剑和冰蝎这三种常见的网络攻击工具,分析它们在流量中留下的痕迹和特征,以便网络管理员和安全专家能够更好地识别和对抗这些工具所带来的潜在威胁。蚁剑(AntSword)是一款功能强大的跨平台渗透测试工具,被广泛用于攻击和渗透测试活动。
Webshell工具的流量特征分析菜刀,蚁剑,冰蝎,哥斯拉)
热门推荐
告白的博客
05-31 2万+
0x00 前言 使用各种的shell工具获取到目标权限,即可进行数据操作,今天来简要分析一下目前常使用的各类shell管理工具的流量特诊,帮助蓝队同学在风险识别上快速初值 0x01 中国菜刀流量分析 0x02 ......
Shell管理工具流量分析-上(菜刀、蚁剑、冰蝎2.0流量分析)&入侵检测、应急响应资料整理
Love&Share
12-22 1万+
本文将会从攻防的角度分析常用 webshell 管理工具(菜刀、蚁剑、冰蝎2.0,冰蝎3.0、哥斯拉将在下篇介绍)的流量特点,后半部分会整理一些有关 webshell 入侵检测和应急响应的文章
有了这个网络安全面试题,面试就像开了挂!(附PDF)
lvaolan的博客
02-26 606
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
[玄机]流量特征分析-蚁剑流量分析
haosha。的博客
01-31 4028
流量特征分析-蚁剑流量分析题目做法及思路解析(个人分享)
webshell管理工具的流量特征分析菜刀、蚁剑、冰蝎、哥斯拉)
Bossfrank的博客
05-05 2329
本文介绍了菜刀、蚁剑、冰蝎、哥斯拉四种常见的webshell管理工具的流量特征。从攻防演练和安全岗位面试的角度阐述了这些远控工具的检测方法。
告警流量特征分析(护网蓝初面试干货)
Welcome To Myon'Blog !
06-09 5914
一、流量特征 1、SQL注入 2、XSS 3、挖矿行为 二、webshell流量特征 1、中国菜刀 2、蚁剑 3、冰蝎 三、对告警流量分析 1、信息泄露 2、SQL注入 3、文件上传 4、XSS 5、代码执行
冰蝎、菜刀、蚁剑、哥斯拉的流量特征
05-20
冰蝎、菜刀、蚁剑、哥斯拉都是常见的远程控制工具(RAT),它们的流量特征略有不同: 1. 冰蝎:冰蝎是一种基于Java编写的远程控制工具,它的流量特征主要表现在数据包中的特殊标记和传输的数据类型。冰蝎的数据包中包含了特定的标记,如"flag=0x52415631",用于标识该数据包是冰蝎的控制命令。此外,冰蝎还使用了一种自定义的二进制协议,在通信中传输各种类型的数据。 2. 菜刀菜刀是一种常见的ASP语言编写的远程控制工具,其流量特征主要表现在HTTP协议上。菜刀使用HTTP协议通信,控制命令和数据都通过POST请求传输。因此,可以通过HTTP请求头中的User-Agent、Referer等信息进行识别。 3. 蚁剑:蚁剑是一种基于Java编写的远程控制工具,其流量特征主要表现在数据包的加密方式和数据类型。蚁剑使用了AES加密算法对数据进行加密,同时还使用了自定义的二进制协议,在通信中传输各种类型的数据。 4. 哥斯拉:哥斯拉是一种基于C#编写的远程控制工具,其流量特征主要表现在数据包的特殊标记和数据类型。哥斯拉的数据包中包含了特定的标记,如"XORHEAD"和"XORBODY",用于标识该数据包是哥斯拉的控制命令。此外,哥斯拉还使用了一种自定义的二进制协议,在通信中传输各种类型的数据。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值