菜刀、蚁剑、冰蝎、哥斯拉特征码

最新推荐文章于 2025-03-17 12:13:58 发布
最新推荐文章于 2025-03-17 12:13:58 发布
阅读量2.8k 收藏 28
点赞数 4
分类专栏: 渗透测试工具 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/single_g_l/article/details/126164475
版权

目录

一、菜刀数据包流量特征

二、蚁剑数据包流量特征

三、冰蝎流量特征(AES加密)

四、哥斯拉(base64加密)

一、菜刀数据包流量特征

1,请求包中:ua头为百度,火狐

2,请求体中存在eavl,base64等特征字符

3,请求体中传递的payload为base64编码,并且存在固定的QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtpZihQSFBfVkVSU0lPTjwnNS4zLjAnKXtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO307ZWNobygiWEBZIik7J

二、蚁剑数据包流量特征

1、使用普通的一句话都存在以下特征:

每个请求体都存在@ini_set(“display_errors”, “0”);@set_time_limit(0)开头。
并且后面存在base64等字符。
响应包的结果返回格式为:
随机数
响应内容
随机数

使用base64加密的payload,数据包存在以下base加密的eval命令执行,数据包的payload内
容存在几个分段内容,分别都使用base64加密,解密后可以看到相关的路径,命令等。
响应包的结果返回格式为:
随机数
编码后的结果
随机数

三、冰蝎流量特征(AES加密)

冰蝎3.0流量特征:

请求包中content-length 为5740或5720(可能会根据Java版本而改变),每一个请求头中存在:
Pragma: no-cache
Cache-Control:no-cache
Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,/*;q=0.8,application/signed-exchange;v=b3;q=0.9

四、哥斯拉(base64加密)

 

 

冰蝎哥斯拉的流量特征
qq_53218512的博客
06-11 5239
webshell管理工具,冰蝎哥斯拉的流量特征
菜刀 冰蝎 哥斯拉流量特征
weixin_42750884的博客
10-13 435
冰蝎2.0相比,冰蝎3.0取消了动态密钥获取的请求,AES的密钥直接固定为连接密码32位md5的前16位,默认连接密码是"rebeyond"(即密钥是md5(‘rebeyond’)[0:16]=e45e329feb5d925b)。两次请求中,第一次请求用于判断是否可以建立连接。与冰蝎2.0相似,进行请求时内置了十几个User-Agent头,每次请求时会随机选择其中的一个。连接jsp的webshell的请求数据包中的content-type字段常见为application/octet-stream。
编码特征分析(免杀章节)
lxlxxxlx的博客
09-27 682
编码特征分析(免sha章节)
Godzilla 和 冰蝎的流量特征对比
sinat_29173481的博客
03-17 830
数据,避免明文传输特征数据。Godzilla 主要使用。,其流量更加难以直接检测。如果你想更深入了解如何。冰蝎的核心特点是使用。
webshell管理工具的流量特征分析(菜刀冰蝎哥斯拉
Bossfrank的博客
05-05 3098
本文介绍了菜刀冰蝎哥斯拉四种常见的webshell管理工具的流量特征。从攻防演练和安全岗位面试的角度阐述了这些远控工具的检测方法。
WebShell流量特征检测_冰蝎
徐徐徐的博客
09-06 1431
冰蝎为了实现可以在webshell内添加任意内容 (比如gif89a子类的文件头或者其它标示字符) 冰蝎在初始化密钥时会对webshell进行两次访问,然后比较两次页面返回的差异,把两次请求都相同的字符记录一个位置,后续加密会用到这两个位置(beginIndex,endIndex)冰蝎通讯默认使用长连接,避免了频繁的握手造成的资源开销。冰蝎默认 Accept 字段的值很特殊,这个特征存在于冰蝎的任何一个通讯阶段。②密钥使用的是连接密码的MD5值的前16位,并存储于Session中。
冰蝎加密通信特征
buffedon的博客
01-06 2479
冰蝎加密通信特征密钥交换阶段通信阶段通用特征实例 有填充字段 分为密钥交换阶段和加密通信阶段 密钥交换阶段: 返回16位的密钥,是从md5中截取的(md5不区分大小写,解密后内容相同) 加密通信阶段: base64加密,然后再AES 或 XOR 加密 特征 密钥交换阶段 弱特征:url url: \.(php|jsp|asp|jspx|asa)\?(\w){1,10}=\d{2,3}HTTP/1.1 弱特征:responseBody responseBody: 16位的密钥
哥斯拉菜刀冰蝎(3.0/4.0)流量特征
qq_22792465的博客
07-25 4025
环境搭建:采用php一句话进行测试,可以用bp设置代理进行抓包查看,或使用wireshark进行过滤抓包逐步解析。
shiro+冰蝎哥斯拉菜刀流量特征
2402_83134109的博客
01-17 462
冰蝎4.0使用RC4加密算法。此外,冰蝎4.0开放了传输协议的自定义功能,用户可以对流量的加密和解密进行自定义,实现了流量加解密协议的去中心化。Shiro721的ase加密的key为系统随机生成,需要利用登录后的rememberMe去爆破正确的key值。这样做的目的是确保即使Cookie被拦截或盗取,数据也无法被轻易解读,从而增强了。‌:冰蝎3.0使用自定义的二进制协议进行通信,而冰蝎4.0则使用HTTP协议。Shiro550使用已知默认密码,只要有足够的密码,不需要Remember Cookie的。
菜刀冰蝎三款Webshell工具对比分析
qq_48368964的博客
08-14 1836
密文的加密方式为先将传递数据base64加密,再将其进行AES加密,由于新版本中取消了动态密钥交互过程,加密的密钥被写死在shell中,如果是不改密码直接使用默认的shell,检测是可以进行解密检测敏感字符的,比如:error_reporting(0) ,phpinfo()等。https://github.com/AntSwordProject/AwesomeScript官方为我们提供了制作好的后门,官方的脚本均做了不同程度“变异”,的核心代码是由菜刀修改而来的,所有普通的一句话木马也可以使用。
四大webshell流量特征(冰蝎菜刀哥斯拉
2301_76690905的博客
03-20 1055
一样的密钥交换方式,哥斯拉建立连接时会发起三次请求,第一次请求数据超级长,建立。和当前会话绑定,不同的客户端的密钥也是不同的。少了动态密钥的获取的请求,不再使用随机生成。一次请求为判断是否可以建立连接,少了俩次。编码,其流量中也存在和一样的代码。,连接时会请求两次,其请求体只是经过。获取冰蝎动态密钥的行为,第二次发送。第二次请求,会把主机目录列出来。等代码执行,获取网站的信息。,接下来去获取主机的信息。第一次请求,关闭报错和。,第二三次请求确认连接。特征就是传输参数名为。第二次请求是为了获取。
精简&明文免杀冰蝎php一句话.php
10-30
php一句话免杀绕过安全狗、D盾等WAF防护软件 可以轻松绕过 waf 的检测
Godzilla:哥斯拉
03-17
哥斯拉 运行环境 JavaDynamicPayload-> jre5及以上 CShapDynamicPayload-> .net2.0及以上 PhpDynamicPayload-> php5.0及以上 简介 有效载荷以及加密器支持 哥斯拉内置了3种有效载荷以及6种加密器,6种支持脚本后缀,20个内置插件 JavaDynamicPayload JAVA_AES_BASE64 jsp jspx JAVA_AES_RAW jsp jspx CShapDynamicPayload CSHAP_AES_BASE64 aspx 阿姆斯 阿什克斯 JAVA_AES_RAW aspx 阿姆斯 阿什克斯 PhpDynamic有效载荷 PHP_XOR_BASE64 PHP PHP_XOR_RAW PHP Raw或Base64加密器区别 Raw:将加密后的数据直接发送或输出 Base
修改特征性信息
qq_59468567的博客
04-07 1425
自带的编码器和解码器具有明显的特点,可以通过更改配置文件来达到流量加密的目的1。例如,支持多种编码方式,如base64、chr、rot13等,这些编码方式虽然可以对数据进行加密,但在数据包中仍然存在一定的特征。
冰蝎菜刀哥斯拉流量特征
故事讲予风听
07-18 3404
菜刀冰蝎哥斯拉
菜刀冰蝎哥斯拉)流量特征分析总结
weixin_54603520的博客
05-15 5132
在红蓝攻防的过程中,webshell工具的流量特征分析一直时蓝队成员需要关注的重点。
菜刀webshell特征分析
博客地址 www.sec0nd.top
08-01 1809
Webshell是hacker经常使用的一种恶意脚本,其目的是获得对服务器的执行操作权限,比如执行系统命令、窃取用户数据、删除web页面、修改主页等,其危害不言而喻。hacker通常利用常见的漏洞,如SQL注入、远程文件包含(RFI)、FTP,甚至使用跨站点脚本攻击(XSS)等方式作为社会工程攻击的一部分,最终达到控制网站服务器的目的。有个想法,看看他这个工具的原理,再分析一下菜刀的特征。我用的最多的就是菜刀安装不上,后面有机会再分析。......
冰蝎工具的最新检测特征
securitypaper的博客
06-15 903
冰蝎是一个大佬写的类似原来菜刀的webshell管理工具,具体实现可以参考[rebeyond 在先知的](https://xz.aliyun.com/u/8697)的冰蝎实现文章,包括java、.net、php等
特征性信息修改简单过WAF
leshi182的博客
02-23 350
0x00 前言 针对于的特征,对于流量传输中WAF检测的绕过, 打造武器库, 进行合理化的修改,例如请求头的伪造,流量的加密等一些常用功能,这边主要进行 这几部分的修改。 0x01 修改位置 代理通道 UA特征伪造 RSA流量加密 0x02 具体操作 1.代理通道 代理通道设置(前提是必须有这个代理): 2.UA特征伪造 默认UA抓包: 主要修改的位置: /modules/request.js 这边主要是推荐百度UA,具体自己可以百度下其他UA,都可以根据需要来进行设置: Mozill
冰蝎哥斯拉的流量特征
最新发布
04-23
<think>嗯,用户想了解冰蝎哥斯拉这些WebShell工具的流量特征,可能用于安全分析或检测规则制定。首先,我需要回忆一下之前学过的相关知识,并结合提供的引用内容来整理答案。 首先,用户提到的三个工具:冰蝎哥斯拉,每个工具的网络流量特征可能不同。根据引用内容,引用[3]提到Webshell工具的流量特征分析,其中提到在默认编码连接时流量有可读性,而使用base64编码时会加密载荷。冰蝎的流量特征主要是TLS加密和固定请求头,而哥斯拉则使用AES加密和自定义User-Agent,如Shiro等。 接下来,我需要分别整理每个工具的静态和动态特征。比如,的流量在默认情况下可能包含特定的参数名,如“ant”或“antsword”,这在引用[3]中有提到。此外,的流量中可能会有base64编码的痕迹,尤其是当用户选择base64编码器时,载荷会被多层编码,这可能作为检测点。 对于冰蝎,引用[2]和引用[3]都提到冰蝎2.0和3.0的动态特征。冰蝎2.0的HTTP请求中有固定的Content-Type,如application/octet-stream,而冰蝎3.0则使用更复杂的加密,每次请求会携带不同的Cookie值。同时,冰蝎的流量通常经过TLS加密,所以检测需要关注HTTP头部特征,如User-Agent或Content-Type。 哥斯拉方面,引用[2]指出哥斯拉使用AES加密,生成的payload有默认密码和密钥。此外,哥斯拉的User-Agent可能包含Shiro框架的特征,如“java/1.8”等。在流量中,哥斯拉的请求参数名可能为“pass”,响应内容则是加密后的二进制数据,这需要解密才能识别。 用户可能需要将这些特征用于安全检测规则的制定,所以需要具体指出每个工具的特征点,如HTTP头部的特定字段、加密方式、参数名称等。同时,用户可能关心如何区分这些工具,因此需要对比它们的异同,比如冰蝎哥斯拉都使用加密,但加密方式和头部特征不同。 另外,引用中提到的哥斯拉支持内存shell和自定义HTTP头,这可能影响检测方法,比如检查异常的User-Agent或Cookie长度。冰蝎的Cookie在3.0版本每次请求都会变化,这可能作为行为分析的依据。 需要确保回答结构清晰,分点说明每个工具的特征,并给出检测建议。可能还需要提醒用户结合静态和动态特征,以及流量解密和日志分析,来增强检测能力。最后,生成相关问题时,可以围绕检测方法、加密流量识别、工具更新带来的特征变化等方面提问。</think>### 冰蝎哥斯拉WebShell流量特征分析 #### 一、(AntSword) 1. **流量特征** - **默认编码连接**:HTTP请求参数名可能包含`ant`或`antsword`,载荷明文传输,例如:`data=@eval(base64_decode($_POST[z0]))`[^3]。 - **Base64编码模式**:请求参数值会经过多层Base64编码,如`z0=JG...`(原始载荷编码后),响应内容也通过Base64返回[^3]。 - **User-Agent**:默认包含`AntSword`标识,但可通过插件修改。 2. **检测建议** - 检查HTTP请求中是否存在`antsword`相关参数名。 - 分析Base64编码后的载荷是否包含PHP函数(如`eval`、`assert`)。 --- #### 二、冰蝎(Behinder) 1. **冰蝎2.0** - **静态特征**: - 请求头中`Content-Type`固定为`application/octet-stream`[^3]。 - 载荷使用AES加密,密钥硬编码在WebShell文件中(如`e45e329feb5d925b`)[^2]。 - **动态特征**: - 首次连接会发送`20`字节的随机密钥协商数据包。 - 后续请求Cookie值固定,如`PHPSESSID=xxx`[^3]。 2. **冰蝎3.0** - **改进特征**: - Cookie值每次请求动态变化,长度固定为16字节。 - 支持TLS加密流量,User-Agent伪装为浏览器(如`Mozilla/5.0`)[^2]。 3. **检测建议** - 识别固定`Content-Type`与异常Cookie长度。 - 分析加密流量是否包含AES加密模式(如CBC模式)。 --- #### 三、哥斯拉(Godzilla) 1. **流量特征** - **加密方式**:默认使用AES加密,密钥动态生成,部分版本存在默认密码(如`pass`)。 - **HTTP头部**: - User-Agent可能包含`Shiro`框架标识(如`java/1.8`)。 - 请求参数名通常为`pass`,响应内容为加密二进制数据[^3]。 - **协议特征**: - JSP型WebShell会调用`ClassLoader`等Java反射机制。 - PHP型WebShell流量中可能包含`xc`、`pass`等关键字[^3]。 2. **检测建议** - 检测异常User-Agent(如`Shiro`相关)。 - 监控Java反射调用或PHP的`eval`函数特征。 --- #### 四、通用检测策略 1. **静态分析**:检查WebShell文件中的硬编码密钥或特定函数(如`ClassLoader`)。 2. **动态流量分析**: - 识别固定参数名(如`ant`、`pass`)。 - 分析加密载荷的熵值,判断是否为AES/Base64编码。 3. **行为检测**:关注异常HTTP请求频率或非常规端口通信。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值