流量特征分析--------------- cs、菜刀、蚁剑、冰蝎

已于 2023-11-24 15:17:35 修改
阅读量955 收藏 8
点赞数
文章标签: 前端
于 2023-11-16 17:18:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63278311/article/details/134446689
版权

CS流量特征

对比正常的http流量,CS的http通信流量具有以下几个特征:

一. 心跳包特征

1) 间隔一定时间,均有通信,且流级上的上下行数据长度固定;

二. 域名/IP特征

1) 未走CDN、域前置的,域名及IP暴露

2) 走CDN、域前置的,真实IP会被隐藏;

三. 指令特征

1) 下发指令时,通过心跳包接收指令,这时,server端返回的包更长,甚至包含要加载的dll模块数据。

2) 指令执行完后,client端通过POST请求发送执行的结果数据,body部分通过加密和base64编码。

3) 不同指令,执行的时间间隔不一样,可以通过POST请求和GET请求的间隔进行判断。

四. 数据特征

1) 在请求的返回包中,通信数据均隐藏在jqeury*.js中。

菜刀:

伪造 X-Forwarded-For头,每次利用X-Forwarded-For头都会不同

执行了 base64_decode 函数对 z0 进行 base64 后,经过 eval 函数执行命令

QGluaV9

@ini_set("display_errors"

蚁剑:

如果用默认的蚁剑测试,连接时会请求两次

其请求体只是经过 url 编码

@ini_set("display_errors"

在执行命令,文件操作等地方会有0x开头的参数

冰蝎:

消息体内容采用 AES 加密

流量会以时间的方式生成长度 16 的随机 key

中间结果字符串 assert|eval("phpinfo();") 此数据由冰蝎加载器发出的,已经定义好的

别卷了,兄弟们
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
cs(cobaltstrike)隐藏特征
qq_45092459的博客
09-21 837
cs(cobaltstrike)隐藏特征
萤石编程器固件CS-C3HC-3H2WFRL
10-25
萤石编程器固件CS-C3HC-3H2WFRL
反击CobaltStrike
HBohan的博客
09-03 1296
背景 CobaltStrike(简称CS)作为一款渗透测试神器,采用C/S架构,可进行分布式团队协作。CS集成了端口转发、服务扫描、自动化溢出、多模式端口监听、Windows exe与dll 木马生、Java 木马生成、Office 宏病毒生成、木马捆绑等强大功能,深受广大红队同学的喜爱。为了规避侦测,红队往往会对CS采用一些隐匿手段,常见方式有云函数和CDN等。这些隐匿手段隐匿了CS的真实IP,诸如DDoS之类的流量无法穿透CDN到达CS,常规的攻击方式难以对CS服务器形成有效干扰和打击。只能止步于此了吗
应急响应-CS流量分析&心跳指令&特征提取
siu~
04-13 718
战后-流量分析-CS
护网面试总结
zhihuijiazeng的博客
06-08 2982
从大佬的经验摘过来的
CS流量行为特征
门柚的博客
07-26 5364
CS流量行为特征
cs流量特征隐藏
renyizou的博客
11-16 1574
转载mark一下 https://xz.aliyun.com/t/9542https://xz.aliyun.com/t/9542
Cobalt Strike(CS流量分析
小千安全
04-21 6481
为了识别 Cobalt Strike 生成的 HTTPS 流量,可以收集不同 TLS 实现的 JA3S 值,构建 JA3S 签名库,并结合其他特征和行为进行综合分析和判断。同时,反编译CS的源代码也可以得知,92L对应于x86位的木马,而93L对应于x64位的后门。在 HTTPS 协议的 Client Hello 和 Server Hello 阶段,都包含了 JA3S 值传输过程过程中会有 ja3,这个值在系统上是固定的,win10是一种的 但win11是另一种 他们取决于操作系统。
CobalStrike(CS)流量分析
热爱学习,喜欢折腾!
10-08 437
而Cobalt Strike 3.0已经不再使用Metasploit框架而作为一个独立的平台使用,它分为客户端与服务端,服务端是一个,客户端可以有多个,可被团队进行分布式协团操作。Cobalt Strike集成了端口转发、服务扫描,自动化溢出,多模式端口监听,win exe木马生成,win dll木马生成,java木马生成,office宏病毒生成,木马捆绑;仅供学习参考使用,请勿用作违法用途,否则后果自负。
朔源反制:cs流量分析
wuqingsix的博客
02-19 1136
特征:url headers format 这些需要自己更改配置文件在控制端temview的时候配置文件profile参数。强特征:TCP数据包中含有ja3,ja3s中的值为强特征 C hello S hello。wireshrk 筛选出符合本机通信与木马通信端的TLSv1的协议。进行wireshrk抓包筛选http 可获得一些cs独有的特征。测试http上线检测:eth0为监听的网卡 yaml为规则。强特征:请求含有checksum8规则的路径。基础特征:魔改的基本都会改。
CS6200-28X-pro-3.1.5-操作手册
10-24
操作步骤
DCN-CS6200-28X-Pro-7.5.3.2
11-02
DCN-CS6200-PRO设备镜像
H3CS-DS GB0-652 .pdf
06-05
H3CS-DS GB0-652学习文档
萤石CS-CP1编程器固件
01-14
萤石CS-CP1编程器固件
vue源码之mustache模板引擎1
qweasl_的博客
05-21 394
模板引擎的一个有点:它是将数据转为视图的最优雅的方法。相信vue的玩家首先想到的是。而还没学vue的朋友,就只能进行dom操作了。通过数组的join方法。以及es6推出的模板字符串。
【Web】CISCN 2024初赛 题解(全)
uuzeray的博客
05-21 1197
这里注意细节,靶机发了两次请求,第一次我们就返回一个正常的图片,第二次请求就发一个302,php代码块要用html标签包裹。注意下面这段报错,因为加不了引号,开头是数字的话,就会将类型识别为数字,若后续出现了字符串就会报错。再打sqlite,指定tableName,加载写入的恶意so文件,反弹shell。最后注意要将获取的变量元组转字符串,再用逗号分隔,依次输出,从而绕过seed。考的python栈帧沙箱逃逸,获取到外部的栈帧,就可以用。因为ban了引号,考虑hex2bin,将数字转为字符串。
深入解析:Element Plus 与 Vite、Nuxt、Laravel 的结合使用
最新发布
一个普通人
05-23 1009
Element Plus 作为一个强大的 Vue.js 组件库,可以与 Vite、Nuxt 和 Laravel 等不同的工具和框架结合使用,为开发者提供灵活、高效的开发体验。根据项目需求选择合适的工具和框架,可以极大地提升开发效率和应用性能
【绿雪问茶】用前端三件套完成一个大项目(一)
大象不下象棋的博客
05-21 404
Green Snow Asks Tea
python前端通过API接口调用与后端进行数据交互前端如何调用api接口通过关键词获取电商平台热销商品数据
2301_78159247的博客
05-23 474
请求参数:q=女装&start_price=0&end_price=0&page=1&cat=0&discount_only=&sort=&page_size=&seller_info=&nick=&ppath=&imgid=&filter=参数说明:q:搜索关键字。
cs144 2023 lab3
11-27
CS144是一门以计算机网络为主题的课程,而Lab3则是该课程的第三个实验。Lab3的重点是理解和使用网络传输控制协议(TCP)。 Lab3的第一个任务是实现一个简单的TCP协议栈。通过编写代码,我们需要理解TCP的基本机制,包括三次握手建立连接、拥塞控制、流量控制等。我们可以通过模拟收发数据包的过程,观察TCP协议是如何工作的。 在Lab3的第二个任务中,我们需要使用已实现的TCP协议栈来实现一个文件传输应用。我们需要编写代码来处理文件分割、封装、传输和重组等操作,以便将一个大文件切分成多个小数据包,并通过TCP协议传输到接收端进行重组。这个任务将让我们更深入地理解TCP协议在实际应用中的使用。 Lab3的最后一个任务是进行实验和性能测试。我们需要使用自己实现的TCP协议栈和文件传输应用来进行数据传输,并通过比较不同参数设置下的传输速率、延迟、丢包率等指标,来评估我们的实现的性能。这个任务将帮助我们了解TCP协议在实际网络环境中的表现,并且提供改进和优化的方向。 总的来说,CS144 2023 Lab3是一个关于TCP协议的实践性实验,通过完成实验任务,我们将理解和掌握TCP协议在计算机网络中的重要性和工作原理,并且能够开发出具有高性能和可靠性的网络应用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值