webshell工具流量特征:

①菜刀流量特征:**(最开始是明文传输,后来采用base64加密)****

PHP类WebShell链接流量

②蚁剑(PHP用base64加密):

PHP类WebShell链接流量(流量最中明显的特征为@ini_set("display_errors","0"))

将蚁剑的正文内容进行URL解码后,流量最中明显的特征为@ini_set("display_errors","0");这段代码基本是所有WebShell客户端链接PHP类WebShell都有的一种代码,但是有的客户端会将这段编码或者加密,而蚁剑是明文,所以较好发现,同时蚁剑也有eval这种明显的特征。

蚁剑绕过特征流量 (以0x开头的参数名)

由于蚁剑中包含了很多加密、绕过插件,所以导致很多流量被加密后无法识别,但是蚁剑混淆加密后还有一个比较明显的特征,即为参数名大多以 0x ... 这种形式(下划线可替换为其他)所以,**<u>以0x开头</u>**的参数名,后面为加密数据的数据包也可识别为蚁剑的流量特征。

③冰蝎流量特征:(AES对称加密)通过HTTP请求特征检测

冰蝎3.0

  1. content-type:

    Content-Type: application/octet-stream
  2. Accept&Cache-Control

    冰蝎3.0中,默认只会设置ua请求头,而其他三种一般不会设置。而且正常用户访问,也不会设置的如此简单。尤其是accept头

    • - Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2
      - Cache-Control: no-cache
      - Pragma: no-cache
      - User-Agent: java/1.8

  3. 内置16个ua头

    user-Agent默认是这个里面的一个

    Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/14.0.835.163 Safari/535.1
    Mozilla/5.0 (Windows NT 6.1; WOW64; rv:6.0) Gecko/20100101 Firefox/6.0 
    Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.50 (KHTML, like Gecko) Version/5.1 Safari/534.50
    Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.9.168 Version/11.50
    Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0; .NET CLR 2.0.50727; SLCC2; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3; .NET4.0C; Tablet PC 2.0; .NET4.0E)
    Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; InfoPath.3)
    Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB7.0)
    Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)
    Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
    Mozilla/5.0 (Windows; U; Windows NT 6.1; ) AppleWebKit/534.12 (KHTML, like Gecko) Maxthon/3.0 Safari/534.12
    Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3; .NET4.0C; .NET4.0E)
    Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3; .NET4.0C; .NET4.0E; SE 2.X MetaSr 1.0)
    Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.3 (KHTML, like Gecko) Chrome/6.0.472.33 Safari/534.3 SE 2.X MetaSr 1.0
    Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3; .NET4.0C; .NET4.0E)
    Mozilla/5.0 (Windows NT 6.1) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/13.0.782.41 Safari/535.1 QQBrowser/6.9.11079.201
    Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3; .NET4.0C; .NET4.0E) QQBrowser/6.9.11079.201
    Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)
  4. content-length 请求长度

    冰蝎3.0虽然对请求的内容加密,但是被加密的内容中,并没有随机填充的部分。

    冰蝎中,任何请求,最终都会调用Utils.getData函数,对请求的参数加密。对于上传文件,命令执行来讲,加密的参数不定长。但是对于密钥交互,获取基本信息来讲,payload都为定长,且无随机padding。

冰蝎4.0

流量特征

①Accept: application/json, text/javascript, /; q=0.01

图片

②Content-type: Application/x-www-form-urlencoded

可以把这个字段作为一个弱特征,辅助其他特征来检测

③冰蝎设置了10种User-Agent,每次连接shell时会随机选择一个进行使用。

图片

④端口 :49700左右

冰蝎与webshell建立连接的同时,javaw也与目的主机建立tcp连接,每次连接使用本地端口在49700左右,每连接一次,每建立一次新的连接,端口就依次增加。

⑤HP webshell 中存在固定代码

$post=Decrypt(file_get_contents("php://input"));

eval($post);

content字段中,将eval($post)作为流量特征纳入。

⑥长连接 Connection: Keep-Alive

⑦有固定的请求头和响应头

请求字节头

dFAXQV1LORcHRQtLRlwMAhwFTAg/M

图片

响应字节头

TxcWR1NNExZAD0ZaAWMIPAZjH1BFBFtHThcJSlUXWEd

图片

⑧连接密码

默认时,所有冰蝎4.0 webshell都有“e45e329feb5d925b” 一串密钥。该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond

⑨webshell特征

JSP webshell代码特征

图片

PHP webshell代码特征

图片

⑩请求和响应

图片

转载:冰蝎-特征检测及报文解密-腾讯云开发者社区-腾讯云

④哥斯拉流量特征:*(base64加密)*

*特征检测*

1、发送一段固定代码(payload),http响应为空 2、发送一段固定代码(test),执行结果为固定内容 3、发送一段固定代码(getBacisInfo)

  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值