菜刀、蚁剑、冰蝎、哥斯拉特征码

最新推荐文章于 2024-05-30 16:08:30 发布
最新推荐文章于 2024-05-30 16:08:30 发布
阅读量2.4k 收藏 29
点赞数 4
分类专栏: 渗透测试工具 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/single_g_l/article/details/126164475
版权

目录

一、菜刀数据包流量特征

二、蚁剑数据包流量特征

三、冰蝎流量特征(AES加密)

四、哥斯拉(base64加密)

一、菜刀数据包流量特征

1,请求包中:ua头为百度,火狐

2,请求体中存在eavl,base64等特征字符

3,请求体中传递的payload为base64编码,并且存在固定的QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtpZihQSFBfVkVSU0lPTjwnNS4zLjAnKXtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO307ZWNobygiWEBZIik7J

二、蚁剑数据包流量特征

1、使用普通的一句话都存在以下特征:

每个请求体都存在@ini_set(“display_errors”, “0”);@set_time_limit(0)开头。
并且后面存在base64等字符。
响应包的结果返回格式为:
随机数
响应内容
随机数

使用base64加密的payload,数据包存在以下base加密的eval命令执行,数据包的payload内
容存在几个分段内容,分别都使用base64加密,解密后可以看到相关的路径,命令等。
响应包的结果返回格式为:
随机数
编码后的结果
随机数

三、冰蝎流量特征(AES加密)

冰蝎3.0流量特征:

请求包中content-length 为5740或5720(可能会根据Java版本而改变),每一个请求头中存在:
Pragma: no-cache
Cache-Control:no-cache
Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,/*;q=0.8,application/signed-exchange;v=b3;q=0.9

四、哥斯拉(base64加密)

 

 

小小丸子551
关注
  • 4
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
精简&明文免杀冰蝎php一句话.php
10-30
php一句话免杀绕过安全狗、D盾等WAF防护软件 可以轻松绕过 waf 的检测
CTF哥斯拉冰蝎工具
02-23
承影_哥斯拉冰蝎工具1.1版本,助力CTF比赛
webshell管理工具的流量特征分析(菜刀冰蝎哥斯拉
Bossfrank的博客
05-05 2087
本文介绍了菜刀冰蝎哥斯拉四种常见的webshell管理工具的流量特征。从攻防演练和安全岗位面试的角度阐述了这些远控工具的检测方法。
修改特征性信息
qq_59468567的博客
04-07 800
自带的编器和解器具有明显的特点,可以通过更改配置文件来达到流量加密的目的1。例如,支持多种编方式,如base64、chr、rot13等,这些编方式虽然可以对数据进行加密,但在数据包中仍然存在一定的特征
特征分析(免杀章节)
lxlxxxlx的博客
09-27 554
特征分析(免sha章节)
菜刀冰蝎哥斯拉)流量特征分析总结
weixin_54603520的博客
05-15 3734
在红蓝攻防的过程中,webshell工具的流量特征分析一直时蓝队成员需要关注的重点。
菜刀webshell特征分析
博客地址 www.sec0nd.top
08-01 1418
Webshell是hacker经常使用的一种恶意脚本,其目的是获得对服务器的执行操作权限,比如执行系统命令、窃取用户数据、删除web页面、修改主页等,其危害不言而喻。hacker通常利用常见的漏洞,如SQL注入、远程文件包含(RFI)、FTP,甚至使用跨站点脚本攻击(XSS)等方式作为社会工程攻击的一部分,最终达到控制网站服务器的目的。有个想法,看看他这个工具的原理,再分析一下菜刀特征。我用的最多的就是菜刀安装不上,后面有机会再分析。......
冰蝎工具的最新检测特征
securitypaper的博客
06-15 793
冰蝎是一个大佬写的类似原来菜刀的webshell管理工具,具体实现可以参考[rebeyond 在先知的](https://xz.aliyun.com/u/8697)的冰蝎实现文章,包括java、.net、php等
强大的webshell管理工具-哥斯拉
12-27
只有适合自己的工具,没有好坏之分,拿走不谢。
哥斯拉3.03.rar
08-12
webshell工具,哥斯拉
Behinder-Source:Shell经理Behinder的源代冰蝎,反编译,当前版本3.0 Beta6,支持内存马注入
03-23
weblogic,wildfly,websphere),多种内存马(冰蝎,reGeorg)的支持添加shell生成菜单网站文件zip压缩功能(jsp,php,aspx)启用修改文件可行性功能(jsp,php,aspx)添加.Net环境下aspx内存马的支持添加壳引入...
哥斯拉的模型和贴图Godzilla OBJ For 3Ds Max
01-03
哥斯拉的模型和贴图Godzilla OBJ For 3Ds Max;哥斯拉的模型和贴图Godzilla OBJ For 3Ds Max
特征性信息修改简单过WAF
leshi182的博客
02-23 288
0x00 前言 针对于特征,对于流量传输中WAF检测的绕过, 打造武器库, 进行合理化的修改,例如请求头的伪造,流量的加密等一些常用功能,这边主要进行 这几部分的修改。 0x01 修改位置 代理通道 UA特征伪造 RSA流量加密 0x02 具体操作 1.代理通道 代理通道设置(前提是必须有这个代理): 2.UA特征伪造 默认UA抓包: 主要修改的位置: /modules/request.js 这边主要是推荐百度UA,具体自己可以百度下其他UA,都可以根据需要来进行设置: Mozill
Shell管理工具流量分析-上(菜刀冰蝎2.0流量分析)&入侵检测、应急响应资料整理
Love&Share
12-22 1万+
本文将会从攻防的角度分析常用 webshell 管理工具(菜刀冰蝎2.0,冰蝎3.0、哥斯拉将在下篇介绍)的流量特点,后半部分会整理一些有关 webshell 入侵检测和应急响应的文章
的分析和利用
qq_53058639的博客
02-19 304
这篇文章主要是以虚拟终端模块执行命令功能为例,逐步分析,并通过分析结果优化对应脚本的方法。
哥斯拉菜刀冰蝎(3.0/4.0)流量特征
qq_22792465的博客
07-25 2165
环境搭建:采用php一句话进行测试,可以用bp设置代理进行抓包查看,或使用wireshark进行过滤抓包逐步解析。
我不允许还有人没下载使用中国,修改特征冲它
热门推荐
03-06 1万+
安装使用,并修改特征
冰蝎哥斯拉的流量特征
qq_53218512的博客
06-11 3593
webshell管理工具,冰蝎哥斯拉的流量特征
冶炼钢铁厂热风炉发酵池煤矸石进回水无线远程温度监测
最新发布
weixin_46970383的博客
05-30 224
Modbus RTU 标准Modbus-RTU通信协议。Modbus RTU使用二进制格式传输数据,并使用串行通信协议(如RS-232或RS-485)进行数据传输。它通常用于连接不同厂家的可编程逻辑控制器(PLC)、传感器、执行器和其他自动化设备。
冰蝎菜刀哥斯拉的流量特征
05-20
冰蝎菜刀哥斯拉都是常见的远程控制工具(RAT),它们的流量特征略有不同: 1. 冰蝎冰蝎是一种基于Java编写的远程控制工具,它的流量特征主要表现在数据包中的特殊标记和传输的数据类型。冰蝎的数据包中包含了特定的标记,如"flag=0x52415631",用于标识该数据包是冰蝎的控制命令。此外,冰蝎还使用了一种自定义的二进制协议,在通信中传输各种类型的数据。 2. 菜刀菜刀是一种常见的ASP语言编写的远程控制工具,其流量特征主要表现在HTTP协议上。菜刀使用HTTP协议通信,控制命令和数据都通过POST请求传输。因此,可以通过HTTP请求头中的User-Agent、Referer等信息进行识别。 3. 是一种基于Java编写的远程控制工具,其流量特征主要表现在数据包的加密方式和数据类型。使用了AES加密算法对数据进行加密,同时还使用了自定义的二进制协议,在通信中传输各种类型的数据。 4. 哥斯拉哥斯拉是一种基于C#编写的远程控制工具,其流量特征主要表现在数据包的特殊标记和数据类型。哥斯拉的数据包中包含了特定的标记,如"XORHEAD"和"XORBODY",用于标识该数据包是哥斯拉的控制命令。此外,哥斯拉还使用了一种自定义的二进制协议,在通信中传输各种类型的数据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值