冰蝎、蚁剑、哥斯拉的流量特征

最新推荐文章于 2025-04-10 14:59:12 发布
最新推荐文章于 2025-04-10 14:59:12 发布
阅读量5.2k 收藏 73
点赞数 8
分类专栏: 渗透测试 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53218512/article/details/131157317
版权
文章详细介绍了蚁剑、冰蝎和哥斯拉这三种webshell工具的流量特征,包括它们的静态和动态特征,如PHP、ASP、Java中的执行方式、加密算法、User-Agent头的变化、base64编码等。这些特征对于网络安全监控和防护具有重要参考价值。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

冰蝎、蚁剑、哥斯拉的流量特征

1. 蚁剑流量特征

1.1 蚁剑webshell静态特征

蚁剑中php使用assert、eval执行;asp只有eval执行;在jsp使用的是Java类加载(ClassLoader),同时会带有base64编码解码等字符特征。

1.2 蚁剑webshell动态特征

我们使用一句话木马上传webshell,抓包后会发现每个请求体都存在以@ini_set("display_errors","0");@set_time_limit(0)开头。并且响应体的返回结果是base64编码发混淆字符,格式为:随机数 结果 随机数

在这里插入图片描述

去除混淆字符(随机数)后进行base64解码,解码后响应体的返回结果的格式为:随机数 解码后的结果 随机数。观察payload可以发现攻击行为。

另外,蚁剑混淆加密后还有一个比较明显的特征,即为参数名大多以“_0x.....=”这种形式(下划线可替换为其他)所以,以_0x开头的参数名,后面为加密数据的数据包也可识别为蚁剑的流量特征。

在这里插入图片描述

2. 冰蝎流量特征

2.1 冰蝎2.0

使用```AES加密 + base64编码```,AES使用动态密钥对通信进行加密,进行请求时内置了十几个User-Agent头&
最低0.47元/天 解锁文章
菜刀、冰蝎哥斯拉流量特征
eternitymd的博客
04-29 2万+
菜刀流量特征(最开始是明文传输,后来采用base64加密):PHP类WebShell链接流量 如下图: 第一:“eval”,eval函数用于执行传递的攻击payload,这是必不可少的; 第二:(base64_decode($_POST[z0])),(base64_decode($_POST[z0]))将攻击payload进行Base64解码,因为菜刀默认是使用Base64编码,以避免被检测; 第三:&z0=QGluaV9zZXQ...,该部分是传递攻击payload,此参数z0对应$_
shiro+冰蝎哥斯拉菜刀流量特征
2402_83134109的博客
01-17 461
冰蝎4.0使用RC4加密算法。此外,冰蝎4.0开放了传输协议的自定义功能,用户可以对流量的加密和解密进行自定义,实现了流量加解密协议的去中心化。Shiro721的ase加密的key为系统随机生成,需要利用登录后的rememberMe去爆破正确的key值。这样做的目的是确保即使Cookie被拦截或盗取,数据也无法被轻易解读,从而增强了。‌:冰蝎3.0使用自定义的二进制协议进行通信,而冰蝎4.0则使用HTTP协议。Shiro550使用已知默认密码,只要有足够的密码,不需要Remember Cookie的。
流量特征分析——、菜刀、冰蝎哥斯拉
热门推荐
Sgirll的博客
07-22 1万+
通过对这三种常见的网络攻击工具流量特征的分析,我们可以更好地了解它们在网络流量中的表现。同时,持续的学习和了解新兴攻击工具的流量特征也是保持网络安全的重要一环。哥斯拉的数据包中包含了特定的标记,如"XORHEAD"和"XORBODY",用于标识该数据包是哥斯拉的控制命令。此外,哥斯拉还使用了一种自定义的二进制协议,在通信中传输各种类型的数据。本文将重点研究菜刀、冰蝎这三种常见的网络攻击工具,分析它们在流量中留下的痕迹和特征,以便网络管理员和安全专家能够更好地识别和对抗这些工具所带来的潜在威胁。
Godzilla 和 冰蝎流量特征对比
sinat_29173481的博客
03-17 824
数据,避免明文传输特征数据。Godzilla 主要使用。,其流量更加难以直接检测。如果你想更深入了解如何。冰蝎的核心特点是使用。
冰蝎、菜刀、哥斯拉流量特征
故事讲予风听
07-18 3403
菜刀,冰蝎哥斯拉
菜刀,冰蝎哥斯拉流量特征
2301_76786857的博客
12-24 2973
菜刀,冰蝎哥斯拉四大webshell工具的流量特征
菜刀,冰蝎哥斯拉流量特征
qq_51550750的博客
07-04 4972
菜刀,冰蝎哥斯拉流量特征
哥斯拉冰蝎流量特征
congsec的博客
07-14 1806
网络安全攻防中,不同的攻击工具各有其独特的流量特征。本文将深入浅出地介绍哥斯拉冰蝎流量特征,并详细分析菜刀的流量特征,帮助基础小白更好地理解这些工具在网络流量中的表现。
冰蝎哥斯拉流量特征
01-07
### 冰蝎哥斯拉 WebShell 工具的网络通信流量特征 #### (AntSword) 采用静态加密方式处理其WebShell通信,这使得其流量具有一定的可识别性。然而,随着版本更新,引入了更复杂的加密机制来...
冰蝎哥斯拉流量特征
最新发布
04-23
嗯,用户想了解冰蝎哥斯拉这些WebShell工具的流量特征,可能用于安全分析或检测规则制定。首先,我需要回忆一下之前学过的相关知识,并结合提供的引用内容来整理答案。 首先,用户提到的三个工具:、冰...
(菜刀,冰蝎哥斯拉流量特征分析总结
weixin_54603520的博客
05-15 5131
在红蓝攻防的过程中,webshell工具的流量特征分析一直时蓝队成员需要关注的重点。
冰蝎哥斯拉流量特征分析
yggcwhat
08-19 831
冰蝎4.0就变了、是自定义传输协议的、因为传输的内容含有key:vule 这样的json字符串、所以如果是默认key的情况下(默认时,所有冰蝎4.0 webshell都有“e45e329feb5d925b” 一串密钥。冰蝎3.0变了、变成固定秘钥了、变成默认的秘钥rebeyond了、但是也可以改的、并且秘钥是拿MD5(rebeyond)的MD5值的前16位作为AES的秘钥进行加密再base64传输、特征的话就是每次请求都是不同的Accept、如果发现同一ip多次不同Accept就可能有问题了、
webshell工具-冰蝎流量特征和加密方式
qq_40898302的博客
05-25 2049
冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端,由于通信流量被加密,传统的WAF、IDS 设备难以检测,给威胁狩猎带来较大挑战。冰蝎其最大特点就是对交互流量进行对称加密,且加密密钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测。而老牌的如中国菜刀因为其流量特征太过明显,从而使用的场景越来越少。
冰蝎哥斯拉流量特征
THZLYXX的博客
11-18 486
2.流量包开头123(链接密码)=@ini_set("display_errors","0")1.流量包中包含大量的content-type:application。2.3.0冰蝎内置16个user-agent。1.POST请求中的参数默认密码为pass。3.参数打多以0X...= 这种形式开头。
哥斯拉冰蝎、中国在护网中流量特征分析,收藏起来当资料吧,24年护网用得上
小司机的奥拓
06-04 1525
包含了应急响应工具、入侵排查、日志分析、权限维持、Windows应急实战、Linux应急实战、Web应急实战。护网中最担心的是木马已经到了服务器,我们的监控软件却没告警,之所以没有告警主要原因就是我们使用的木马进行了各种加密和变种,导致了监控软件根本无法解密识别,今天我们就对市面上最常见的三款shell管理工具哥斯拉冰蝎、中国的流量进行分析,以确保我们在护网时遇到看不懂。
分析冰蝎流量特征以及请求包
weixin_46299490的博客
09-17 2115
冰蝎流量特征
哥斯拉流量分析特征
m0_69185470的博客
04-10 467
我们在看哥斯拉最好还是要看此类的返回包更好的分析特点就在于他的16位md5值与base64和16位md5值,着重要注意因为加载器的不同会变成相应的值,但是哥斯拉的第三次连接,返回包会产生大量的数据,虽然第二次和第三次发送的数据包是一样的,但是只有第三回才会返回这么多数值,原因也很简单因为最后一回连接就是直接进入终端数据量会变大,注意根据加密的不同可能是多种加密。再后来我发现了当每一次命令执行的时候哥斯拉都会发送类似的请求,服务器会返回密文与之前的方式一样故此我们可以通过这个判断他的工具。
冰蝎/哥斯拉-流量特征分析
安于心,修于形
03-04 1242
所有请求中Accept: text/html,application/xhtml+xml,application/xml;所有响应中Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0。所有请求中Cookie中后面都存在;这里我们直接抓取数据包流量进行分析。这里我们直接抓取数据包流量进行分析。请求包当中头数据pass=
webshell管理工具的流量特征分析(菜刀、冰蝎哥斯拉
Bossfrank的博客
05-05 3096
本文介绍了菜刀、冰蝎哥斯拉四种常见的webshell管理工具的流量特征。从攻防演练和安全岗位面试的角度阐述了这些远控工具的检测方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值