webshell流量特征

已于 2024-04-13 11:01:30 修改
阅读量1.7k 收藏 48
点赞数 39
分类专栏: other 文章标签: web安全
于 2024-03-15 15:39:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61475980/article/details/136735553
版权

webshell工具流量特征 - i苏沐辰 - 博客园 (cnblogs.com)

冰蝎,哥斯拉,蚁剑都支持自定义请求头
哥斯拉,蚁剑,菜刀请求体中都会有敏感字符eval,assert,base64什么的

菜刀

作为老牌 Webshell 管理神器,中国菜刀的攻击流量特征明显,容易被各类安全设备检测,实际场景中越来越少使用,加密 Webshell 正变得日趋流行。

POST /webshell.php HTTP1.1
Cache-Control:no-cache
X-Forwarded-For:40.83.114.51
Referer:http://192.168.180.222
Content-Type:application/x-www-form-urlencode
User-Agent:Mozilia/4.0(complate;MISE 6.0;Windows NT 5.1)
HOST:192.168.180.222
Content-Length:685
Connection:Close

=%40eval%01%28base64_decode%28%24_POST%5Bz0%5D%29%29%3B&z0=QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0%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%3D%3D
#url解码
@eval(base64_decode($_POST[z0]));&z0=QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0+fCIpOzskRD1kaXJuYW1lKCRfU0VSVkVSWyJTQ1JJUFRfRklMRU5BTUUiXSk7aWYoJEQ9PSIiKSREPWRpcm5hbWUoJF9TRVJWRVJbIlBBVEhfVFJBTlNMQVRFRCJdKTskUj0ieyREfVx0IjtpZihzdWJzdHIoJEQsMCwxKSE9Ii8iKXtmb3JlYWNoKHJhbmdlKCJBIiwiWiIpIGFzICRMKWlmKGlzX2RpcigieyRMfToiKSkkUi49InskTH06Ijt9JFIuPSJcdCI7JHU9KGZ1bmN0aW9uX2V4aXN0cygncG9zaXhfZ2V0ZWdpZCcpKT9AcG9zaXhfZ2V0cHd1aWQoQHBvc2l4X2dldGV1aWQoKSk6Jyc7JHVzcj0oJHUpPyR1WyduYW1lJ106QGdldF9jdXJyZW50X3VzZXIoKTskUi49cGhwX3VuYW1lKCk7JFIuPSIoeyR1c3J9KSI7cHJpbnQgJFI7O2VjaG8oInw8LSIpO2RpZSgpOw==

1、payload采用url编码+base64编码,部分是明文传输。

2、payload中有eval或assert、base64_decode这样的字符。

3、payload中有默认固定的&z0=QGluaV9zZXQ...这样base64加密的攻击载荷,
参数z0对应$_POST[z0]接收到的数据,且固定为QGluaV9zZXQ开头,
base64解码后可看到代码:@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime

蚁剑

中国蚁剑是一款开源的跨平台网站管理工具,它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。

默认仅为url编码,进行URL解码后,流量最中明显的特征为@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);这段代码基本是所有WebShell客户端链接PHP类WebShell都有的一种代码,

蚁剑中包含了很多加密、绕过插件,很多流量被加密后无法识别,但是蚁剑混淆加密后还有一个比较明显的特征,参数名大多是"_0x.....="这种形式(下划线可替换为其他)。

即使加密后,依旧有一些明显特征eval ,assert,base64_decode,str_rot13,chr等等

base64加密

rot13加密

chr加密

冰蝎

冰蝎2.0

1、ACCEPT字段

Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2

2、UA字段

冰蝎内置了十余种 UserAgent ,每次连接 shell 会随机选择一个进行使用。因此当发现一个ip的user-agent在这十余种ua头中频繁变换,就可能是冰蝎

3、Content-Length

Content-Length: 16

冰蝎3.0

1、ACCEPT字段

Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2

2、content-type

content-type为application/octet-stream

3、内置16个ua头

冰蝎3.0 每次请求都会在16个默认的UA头中随机选择一个作为user-Agent

4、content-length 请求长度

在冰蝎中,任何请求,最终都会调用Utils.getData函数,对请求的参数加密。
对于上传文件,命令执行来讲,加密的参数不定长。
但是对于密钥交互,获取基本信息来讲,payload都为定长。

冰蝎4.0

冰蝎3.0和4.0的区别
冰蝎3.0采用自定义的二进制协议进行通信,冰蝎4.0采用HTTP协议进行通信;
冰谢3.0先base64加密后aes或xor,冰蝎4.0有多种加密方式,而且支持自定义加密方式;

1、Accept字段

Accept: application/json, text/javascript, /; q=0.01

2、Content-Type字段

PHP站点:Application/x-www-form-urlencoded

3、User-agent 字段

冰蝎4.0设置了10种User-Agent,每次连接shell时会随机选择一个进行使用

4、特征长连接

Connection: Keep-Alive

5、连接密码

默认时,所有冰蝎4.* webshell都有形如“e45e329feb5d925b” 一串密钥。该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond

哥斯拉

Accept(弱特征)

Accept为text/html, image/gif, image/jpeg, *; q=.2, /; q=.2

User-Agent (弱特征)

哥斯拉在默认的情况下,如果不修改User-Agent,User-Agent会类似于Java/1.8.0_121(具体什么版本取决于JDK环境版本)。

cookie字段

最后一个Cookie的值出现;(结尾处通常会出现分号)

响应体

响应体的数据有一定特征,哥斯拉会把一个32位的md5字符串按照一半拆分,分别放在base64编码的数据的前后两部分。整个响应包的结构体特征为:md5前十六位+base64+md5后十六位。

cs流量特征

被控端会发送心跳包;
请求的url例如/jquery-3.3.1.min.js,返回包大小为5607,返回包到下一个请求包之间的时间为心跳时间

在执行下发指令时,会看到木马攻击者访问c2服务器上面的submit.php界面,并且在访问界面会带有一个id参数;
被控端请求的url为/jquery-3.3.1.min.js,返回包大小为5628,包含指令数据。下一个包发送POST请求,url为/jquery-3.3.2.min.js,body部分包含指令执行的结果,大小为96

url路径;

解密算法checksum8(92L,93L);

 https完全看不出

http

心跳包

有加密,也看不出

MSF流量特征

反向连接默认端口为4444;

数据包中包含metepreter,revshell等特定字符;

 https完全看不出

http  请求为很长一段字符,数据有加密

参考:

常见webshell工具流量特征 - Forensics-Wiki

护网面试总结_msf流量特征-CSDN博客

CobaltStrike流量特征分析-腾讯云开发者社区-腾讯云 (tencent.com)

Metasploit流量分析与反取证 | AnonySec'Blog (payloads.cn)

『 』785
关注
  • 39
    点赞
  • 48
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
webshell客户端流量特征
buffedon的博客
07-14 4838
webshell客户端流量特征概述:1. 冰蝎2. 中国菜刀2011,2014版本2016版本3. Cknife4. 蚁剑5. 哥斯拉 webshell客户端 用于webshell后门和攻击者之间的通信程序,我们可以通过webshell客户端的流量来判断服务器上是否存在Webshell后门。 概述: 中国菜刀:流量特征比较明显,2011,2014版本中,流量中有的php代码,asp代码是明文形式,jsp代码有固定格式,容易被检测出来。2016版本隐蔽性增强,对php,asp代码增加了混淆,还对ASP代码进行
常见的webshell流量特征和检测思路
weixin_45585955的博客
04-11 6895
所以分析如上:该流量WebShell链接流量的第一段链接流量,其中特征主要在i=A&z0=GB2312,菜刀链接JSP木马时,第一个参数定义操作,其中参数值为A-Q,如i=A,第二个参数指定编码,其参数值为编码,如z0=GB2312,有时候z0后面还会接着又z1=、z2=参数用来加入攻击载荷。最后传给cmd的这些流量字符中有自己的特征,1、都是系统命令;2、必须以分号结尾;至此,冰蝎成为了一个完美的开箱即用的工具,本体内存马免杀,流量免杀,功能齐全,兼容性好,在连续几年的攻防演练中,成为最热门的工具。
护网HW面试常问——webshell&内存马流量特征以及查杀
最新发布
DamnVanish的博客
07-13 1091
先判断是通过什么方法注入的内存马,可以先查看web日志是否有可疑的web访问日志,如果是filter或者listener类型就会有大量url请求路径相同参数不同的,或者页面不存在但是返回200的,查看是否有类似哥斯拉、冰蝎相同的url请求,哥斯拉和冰蝎的内存马注入流量特征与普通webshell流量特征基本吻合。冰蝎与webshell建立连接的同时,java也与目的主机建立tcp连接,每次连接使用本地端口在49700左右,每连接一次,每建立一次新的连接,端口就依次增加。可以对符合该范围内的端口告警。
三种常见webshell工具的流量特征分析
mashiro_hibiki的博客
04-10 1178
webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。使用方法简单,只需上传一个代码文件,通过网址访问,便可进行很多日常操作,极大地方便了使用者对网站和服务器的管理。正因如此,也有小部分人将代码修改后当作后门程序使用,以达到控制网站服务器的目的,也可以将其称做为一种网页后门。
Webshell工具的流量特征分析(菜刀,蚁剑,冰蝎,哥斯拉)
热门推荐
告白的博客
05-31 2万+
0x00 前言 使用各种的shell工具获取到目标权限,即可进行数据操作,今天来简要分析一下目前常使用的各类shell管理工具的流量特诊,帮助蓝队同学在风险识别上快速初值 0x01 中国菜刀流量分析 0x02 ......
常见的webshell工具的流量特征
m0_66458291的博客
01-19 2900
常见的webshell工具流量的简单分析(菜刀、蚁剑、冰蝎、哥斯拉)
菜刀webshell流量数据包
08-01
菜刀webshell流量数据包
基于多特征融合的Webshell恶意流量检测方法.docx
05-28
### 基于多特征融合的Webshell恶意流量检测方法 #### 一、引言 随着互联网技术的迅速发展,Web应用系统面临着越来越多的安全威胁,其中Webshell恶意程序的植入尤为严重。根据中国产业互联网发展联盟发布的《2019...
kingkong:解密哥斯拉webshell管理工具流量
04-16
目前只支持jsp类型的webshell流量解密 Usage 获取攻击者上传到服务器的webshell样本 获取wireshark之类的流量包,一般甲方有科来之类的全流量镜像设备,联系运维人员获取,这里以test.papng为例。 导出所有http对象...
Webshell后门查杀
12-20
7. **实时监控**:安装入侵检测系统(IDS)和入侵防御系统(IPS),如Snort,持续监控网络流量,及时发现并阻止Webshell的活动。 8. **安全更新**:保持操作系统和Web应用程序的最新安全补丁,减少因已知漏洞被利用...
webshell数据分析环境
10-08
Wireshark是一款强大的网络封包分析软件,它可以捕获网络流量并深入解析多种协议,帮助网络安全专家检测潜在的威胁。在分析Webshell活动时,Wireshark是必不可少的工具之一。以下是一些关于如何使用Wireshark来识别...
护网面试总结
zhihuijiazeng的博客
06-08 4777
从大佬的经验摘过来的
webshell工具流量特征
qq_52973916的博客
08-11 336
这段代码基本是所有WebShell客户端链接PHP类WebShell都有的一种代码,但是有的客户端会将这段编码或者加密,而蚁剑是明文,所以较好发现,同时蚁剑也有eval这种明显的特征。冰蝎与webshell建立连接的同时,javaw也与目的主机建立tcp连接,每次连接使用本地端口在49700左右,每连接一次,每建立一次新的连接,端口就依次增加。由于蚁剑中包含了很多加密、绕过插件,所以导致很多流量被加密后无法识别,但是蚁剑混淆加密后还有一个比较明显的特征,即为参数名大多以。冰蝎中,任何请求,最终都会调用。
WEBSHELL管理工具流量特征——基础篇
ALLEN'Blog
01-17 1727
今天给大家带来了WEBSHELL管理工具流量特征基础篇,简单介绍了菜刀和蚁剑这两个比较简单的流量特征,之后也会给大家带来别的WEBSHELL管理工具流量分析,如果夏欢本文希望可以一键三连支持一下。
常见WebShell客户端的流量特征
m0_49025459的博客
04-18 2160
以下的全是我在各个大佬哪里看文章做的总结-相当于我的笔记。
常见的webshell连接工具的流量特征总结
qq_52486507的博客
03-25 2074
1.Accep和Content-Type为弱特征且Content-type:一般为Application/x-www-form-urlencoded,这里可作为辅助特征。1.请求包中会有eval,assert, base64的特征字符(这里如果用eval方法就是eval ,如果是assert方法就是assert)1.流量最明显的特征就是会有明文是@ini_set(“display_errors”,“0”)这个函数,也会有eval这个函数。2.在请求包的Cookie中有一个非常致命的特征是会在最后出现分号。
WebShell工具特征流量分析合集
爱吃仡坨的Blog
10-25 1697
通过编码的数据包1特征,发现是URL编码(BP会自动对其解码显示)还可以通过解码网站对其进行解码,之后分析数据包特征如下图,发现通过蚁剑终端传参之后得到的响应包任然是明文的。
webshell管理工具及其流量特征分析
Goodric的博客
07-22 1455
—对常见四款webshell进行分析,对工具连接流量有个基本认识。——
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值