78、WAF攻防——菜刀&冰蝎&哥斯拉&流量通讯&特征绕过&检测反制&感知

最新推荐文章于 2024-05-06 22:18:55 发布
最新推荐文章于 2024-05-06 22:18:55 发布
阅读量395 收藏 4
点赞数 5
分类专栏: 小迪安全 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55202378/article/details/137456795
版权
本文探讨了在Web安全环境中,如何通过Webshell连接工具如菜刀、冰蝎以及AES加密的哥斯拉进行隐蔽通信,重点关注了特征检测、WAF(Web应用防火墙)和机器学习在识别和防御这些恶意活动中的作用。
摘要由CSDN通过智能技术生成

文章目录


本节主要讲上传了后门,要是用webshell连接工具进行连接,而webshell连接工具特征可能被检测系统识别相关内容。

web防护软件:

  • WEB应用防火墙——WAF
  • 入侵检测系统——IDS、HIDS
  • 威胁感知——天眼

感知威胁技术:

  • 正则匹配:检测、容易被绕过(加密、编码、关键词打乱等)
  • 机器学习:使用深度学习方法进行分析
  • 行为分析:关注你干了什么

菜刀

数据包流量特征:

  • 请求包:UA头可能为百度爬虫(不同的菜刀版本,UA头信息不一样);
  • 请求体中给存在evalbase64等特征字符;
  • 请求体中传递的payload为base64编码,且存在固定格式。
    在这里插入图片描述

菜刀——profier——burp:实现将菜刀的流量转发到burp上。

冰蝎

如何快速识别AES加密:大致加密密文跟base64差不多,只是base64会出现==字符串,AES加密密文中存在///字符串

冰蝎基本原理

在这里插入图片描述
在这里插入图片描述

利用动态二进制加密实现新型一句话木马之PHP篇

哥斯拉

【原创】哥斯拉Godzilla加密流量分析
哥斯拉流量特征:
在这里插入图片描述

PT_silver
关注
专栏目录
第80天:红蓝对抗-AWD模式&准备&攻防&监控&批量1
08-03
- **流量监控**:结合文件监控,发现异常流量行为。 5. **攻击策略**: - **批量Flag获取**:编写脚本自动寻找和提交flag,保持权限并持续得分。 6. **案例分析**: - **案例1**:WAF部署需要根据环境(如编程...
WAF攻防第七十八天
B_l_a_nk的博客
07-07 491
1、菜刀-流量&通讯&检测&绕过 2、冰蝎-流量&通讯&检测&绕过 3、哥斯拉-流量&通讯&检测&绕过 代码块&传参数据&工具指纹等(表面&行为) 1、代码表面层免杀-ASP&PHP&JSP&ASPX等 2、工具行为层免杀-菜刀&蚁剑&冰蝎&哥斯拉
WAF攻防-菜刀&冰蝎&哥斯拉&流量通讯&特征绕过&检测反制&感知
今天是几号的博客
04-12 1738
使用Proxifier进行流量转发至Burp抓包分析(使用Wireshake也可以)# ==冰蝎3-流量&绕过&特征&检测== **面试必问的,别问我怎么知道的** 冰蝎利用了服务器端的脚本语言加密功能,通讯的过程中, 消息体内容采用 AES 加密,基于特征检测的安全产品无法查出 ## 特征 密钥使用连接密码的md5结果的前16位 如果对方使用的默认密码rebeyond,那么密钥就是e45e329feb5d925b,那么这也算是一个特征
实战分析某红队魔改哥斯拉Webshell
include_voidmain的博客
05-31 9928
声明 以下内容,来自先知社区的ga0weI作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,长白山攻防实验室以及文章作者不承担任何责任。 0x01 前言 前两天从某次演习中拿到了一个webshell样本,该webshell通信未产生相关任何告警,因此该样本在免杀以及bypass相关waf和ids设备上是非常值得学习的。 分析过程中不难发现其实这个就是一个魔改的Godzilla,其魔改的思路比较出奇,并且其免杀做的很到位。 为什么说这个webshell是魔改的哥斯
初识哥斯拉流量
weixin_59343712的博客
07-11 626
到公司实习之后玩了玩应急响应平台流量监测平台,发现基于哥斯拉流量来进行上传攻击取得成功案例有多个,觉得有必要了解一下什么是哥斯拉流量,下面写一下对于哥斯拉流量的认识名叫“哥斯拉”的webshell管理工具,与冰蝎类似,哥斯拉也采用了加密流量通信来躲避WAF等安全设备的检测,另外该工具自带了一些插件模块,实现了写内存webshell、与Meterpreter联动、bypass open_basedir等功能。
常见的webshell的流量特征检测思路
weixin_45585955的博客
04-11 7049
所以分析如上:该流量是WebShell链接流量的第一段链接流量,其中特征主要在i=A&z0=GB2312,菜刀链接JSP木马时,第一个参数定义操作,其中参数值为A-Q,如i=A,第二个参数指定编码,其参数值为编码,如z0=GB2312,有时候z0后面还会接着又z1=、z2=参数用来加入攻击载荷。最后传给cmd的这些流量字符中有自己的特征,1、都是系统命令;2、必须以分号结尾;至此,冰蝎成为了一个完美的开箱即用的工具,本体内存马免杀,流量免杀,功能齐全,兼容性好,在连续几年的攻防演练中,成为最热门的工具。
渗透测试-菜刀冰蝎蚁剑哥斯拉等webshell工具及特征分析
qq_53058639的博客
03-17 1539
在测试过程中,我们经常会运到各种webshell管理工具,这里我介绍几种常见的webshell工具给大家。webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。使用方法简单,只需上传一个代码文件,通过网址访问,便可进行很多日常操作,极大地方便了使用者对网站和服务器的管理。?
精简&明文免杀冰蝎php一句话.php
10-30
php一句话免杀绕过安全狗、D盾等WAF防护软件 可以轻松绕过 waf检测
管理系统系列--CDN & WAF集群管理系统。.zip
02-25
管理系统系列--CDN & WAF集群管理系统。
ByPassWAF&注入-漏洞银行大咖面对面11-倾旋
07-31
ByPassWAF&注入-漏洞银行大咖面对面11-倾旋
waf是如何被绕过
12-30
介绍了白名单绕过、IP段白名单绕过绕过代理直接请求源站(代理模式云WAF)等绕过方式。适合初学者进行学习,不适合高手。
78天:WAF攻防-菜刀&冰蝎&哥斯拉&流量通讯&特征绕过&检测反制&感知
最新发布
weixin_71529930的博客
05-06 726
首先冰蝎哥斯拉连接的时候,这些安全狗,宝塔的waf不能拦截,他们都是根据正则表达式去进行匹配的,而冰蝎他们的自动带有aes,base64,xor加密等方式。这里如果是宝塔waf的话,chr修改为base64_encode,并且修改POST为REQUEST即可正常绕过,但是这里是安全狗,我不会绕过。个人观察,也就ua,pragma,accept,accept-language,这几项有效。在自己实验的过程中竟然发现,哥斯拉绕不过安全狗,视频中是可以无视宝塔的waf的。检测有无waf的命令,wafw00f。
WAF攻防-菜刀&冰蝎&哥斯拉&流量通讯&特征绕过&检测反制
siu~
04-18 513
1、菜刀-流量&通讯&检测&绕过 2、冰蝎-流量&通讯&检测&绕过 3、哥斯拉-流量&通讯&检测&绕过
Web安全-Godzilla(哥斯拉)Webshell管理工具使用
Boom!脑洞大爆炸的博客
07-03 5135
Web安全-Godzilla(哥斯拉)Webshell管理工具使用
哥斯拉Webshell
qq_50854662的博客
09-13 2226
一.启动 命令:java -jar Godzilla-V2.96.jar 启动时同目录会生成data.db数据库存放数据 启动成功界面如下 二.使用(在本机实测) 这里演示jsp文件进行连接(需要提前配置好jsp环境) 1.点击管理->生成 这里默认密码,密钥(也可以更改,只要跟连接时候保持一致即可) 接下来将生成的文件存放在Tomcat目录下,注意是在Tomcat–>webapps–>ROOT目录下 可以打开指定路径,此时生成的shell.jsp已经生成 接下来点击目
哥斯拉Godzilla webshell管理工具
热门推荐
None安全团队
12-14 2万+
各大厂商的waf不断,在静态查杀、流量通信等方面对webshell进行拦截,众红队急需一款优秀的权限管理工具,冰蝎3.0的发布可能缓解了流量加密的困境,但是冰蝎3.0的bug众多,很多朋友甚至连不上冰蝎的shell, 于是团队的BeiChenDream师傅开发了这款“哥斯拉“ 本文出自ChaBug Y4er师傅 简单使用方法 在哥斯拉安装之前,你需要安装jdk1.8的环境。双击Godzilla.jar打开,此时会在同目录下生成data.db数据库存放数据。首页长这样 点击管理–添加生...
哥斯拉-webshell管理工具
nex1less的博客
08-21 1万+
0x01 工具由来 **期间,各大厂商的waf不断,在静态查杀、流量通信等方面对webshell进行拦截,众红队急需一款优秀的权限管理工具,冰蝎3.0的发布可能缓解了流量加密的困境,但是冰蝎3.0的bug众多,很多朋友甚至连不上冰蝎的shell,于是@BeichenDream决定公开他所开发的一款shell权限管理工具,名为“哥斯拉”。 0x02 工具介绍和使用 请点这 0x03 工具下载 请点这 如何加速下载github上的文件? 请点这(需要能访问谷歌商店) 0...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8458
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
windows10安装laravel5.5
08-23
要在Windows 10上安装Laravel 5.5,您可以按照以下步骤进行操作: 1. 首先,确保您的系统已经安装了PHP和Composer。您可以从官方网站下载并安装最新版本的PHP:https://windows.php.net/download/。Composer是PHP的依赖管理工具,您可以从https://getcomposer.org/download/下载并安装。 2. 打开命令提示符或PowerShell,并运行以下命令来检查PHP和Composer是否正确安装: ``` php -v composer --version ``` 3. 接下来,创建一个新的Laravel项目。在命令提示符或PowerShell中,导航到您希望创建项目的目录,并运行以下命令: ``` composer create-project --prefer-dist laravel/laravel projectName "5.5.*" ``` 将 `projectName` 替换为您希望为项目命名的名称。 4. 完成上述步骤后,Composer将安装Laravel框架及其相关依赖项。等待安装完成。 5. 安装完成后,导航到项目目录: ``` cd projectName ``` 6. 运行以下命令来生成一个密钥: ``` php artisan key:generate ``` 7. 最后,您可以使用内置的开发服务器运行Laravel应用程序: ``` php artisan serve ``` 现在,您应该能够通过访问http://localhost:8000在本地运行Laravel 5.5应用程序了。希望这对您有所帮助!如果您有任何进一步的问题,请随时告诉我。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值