Webshell管理工具的流量特征

于 2025-04-29 23:45:56 发布
阅读量965 收藏 16
点赞数 26
文章标签: WenShell 流量特征
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w2361734601/article/details/147621839
版权

目录

一、常见Webshell工具流量特征

1. ​​中国菜刀(Chopper)​​

2. ​​冰蝎(Behinder)​​

3. ​​哥斯拉(Godzilla)​​

4. ​​蚁剑(AntSword)​​

5. ​​C99 Shell​​

6. ​​Weevely​​

7. ​​隐蔽通道(DNS/ICMP)​​

二、通用检测方法

1. ​​流量异常分析​​

2. ​​加密流量识别​​

3. ​​行为特征​​

三、防御策略

1. ​​技术层面​​

2. ​​管理层面​​

3. ​​应急响应​​

四、总结

一、常见Webshell工具流量特征

1. ​​中国菜刀(Chopper)​

  • ​特征​​:
    • ​参数固定​​:如 z0z1z2
    • ​Base64编码​​:参数值经过Base64编码。
    • ​固定UA​​:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
  • ​检测规则​​: 
    alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"Chopper Activity"; content:"z0="; http_client_body;)

2. ​​冰蝎(Behinder)​

  • ​特征​​:
    • ​AES加密​​:动态密钥加密,内容为二进制流。
    • ​Content-Type​​:application/octet-stream
    • ​WebSocket协议​​:使用长连接通信。
  • ​检测规则​​: 
    alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"Behinder Activity"; content:"application/octet-stream"; http_content_type;)

3. ​​哥斯拉(Godzilla)​

  • ​特征​​:
    • ​强加密​​:AES/RSA加密,密钥协商复杂。
    • ​随机参数名​​:如 k=abc123,每次请求不同。
    • ​分块传输​​:Transfer-Encoding: chunked
  • ​检测规则​​: 
    alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"Godzilla Activity"; content:"Transfer-Encoding: chunked"; http_header;)

4. ​​蚁剑(AntSword)​

  • ​特征​​:
    • ​UA标识​​:部分版本UA含 AntSword
    • ​插件编码​​:Base64或ROT13编码。
    • ​路径特征​​:访问 /api/command
  • ​检测规则​​: 
    alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"AntSword Activity"; content:"AntSword"; http_user_agent;)

5. ​​C99 Shell​

  • ​特征​​:
    • ​明文传输​​:参数如 pass=...&cmd=...
    • ​固定文件名​​:如 c99.php
  • ​检测规则​​: 
    alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"C99 Activity"; content:"pass="; http_client_body;)

6. ​​Weevely​

  • ​特征​​:
    • ​参数名固定​​:如 weevely=...
    • ​简单加密​​:XOR或替换加密。
  • ​检测规则​​: 
    alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"Weevely Activity"; content:"weevely="; http_client_body;)

7. ​​隐蔽通道(DNS/ICMP)​

  • ​特征​​:
    • ​DNS隧道​​:高频请求非常规域名(如 data.attacker.com)。
    • ​ICMP载荷​​:异常ICMP包大小和频率。
  • ​检测规则​​: 
    alert dns $HOME_NET any -> any any (msg:"DNS Tunnel"; dns_query; content:".attacker.com"; nocase;)

二、通用检测方法

1. ​​流量异常分析​

  • ​高频请求​​:短时间内大量POST请求。
  • ​参数异常​​:超长参数名/值(如 >1KB)。
  • ​非常用端口​​:HTTP流量出现在8080、8443等端口。

2. ​​加密流量识别​

  • ​固定长度数据包​​:加密Payload长度一致。
  • ​密钥协商请求​​:如 key=... 参数。

3. ​​行为特征​

  • ​敏感操作​​:命令如 cmd=whoamifunc=exec
  • ​路径可疑​​:如 /uploads/shell.php

三、防御策略

1. ​​技术层面​

  • ​WAF规则​​:拦截含 z0=application/octet-stream 的请求。
  • ​HTTPS解密​​:对内部流量进行中间人解密检查。
  • ​文件监控​​:禁止上传 .php.jsp 等可执行文件。

2. ​​管理层面​

  • ​访问控制​​:限制上传目录执行权限。
  • ​日志审计​​:分析异常UA、高频请求和敏感路径访问。
  • ​沙箱检测​​:自动扫描上传文件的恶意代码。

3. ​​应急响应​

  • ​隔离主机​​:发现入侵后立即断网。
  • ​溯源分析​​:通过流量日志定位攻击入口。
  • ​漏洞修复​​:修补被利用的漏洞(如SQL注入、文件上传)。

四、总结

Webshell流量特征因工具而异,但通常包含加密、固定参数或异常协议等行为。通过结合特征检测和行为分析,可有效识别攻击。防御需多层联动,从流量监控到文件管理,形成完整防护体系。

​防御核心​​:早发现、早阻断、早溯源。

WEBSHELL管理工具流量特征——基础篇
ALLEN'Blog
01-17 1860
今天给大家带来了WEBSHELL管理工具流量特征基础篇,简单介绍了菜刀和蚁剑这两个比较简单的流量特征,之后也会给大家带来别的WEBSHELL管理工具流量分析,如果夏欢本文希望可以一键三连支持一下。
常见的webshell工具的流量特征
m0_66458291的博客
01-19 3867
常见的webshell工具流量的简单分析(菜刀、蚁剑、冰蝎、哥斯拉)
常见webshell工具的流量特征
weixin_75158417的博客
03-03 977
使用AES加密+base64编码,AES使用动态密钥对通信进行加密,进行请求时内置了十几个U-A头,每次请求时会随机选择其中一个。因此当发现一个IP的请求头中的u-a头在不断的发生变化,就有可能是冰蝎。因此当发现一个ip的请求头中的u-a在频繁变换,就可能是冰蝎。3.0连接jsp的webshell的请求数据包中的content-type字段常见为application/octet-stream。使用AES加密+base64编码,取消了2.0的动态获取密钥,使用固定的连接密钥,随机数 结果 随机数。
webshell管理工具及其流量特征分析
Goodric的博客
07-22 1632
—对常见四款webshell进行分析,对工具连接流量有个基本认识。——
常见webshell管理工具流量特征
m0_74271951的博客
07-29 253
Webshell管理工具流量特征 #流量
webshell工具流量特征
qq_52973916的博客
08-11 431
这段代码基本是所有WebShell客户端链接PHP类WebShell都有的一种代码,但是有的客户端会将这段编码或者加密,而蚁剑是明文,所以较好发现,同时蚁剑也有eval这种明显的特征。冰蝎与webshell建立连接的同时,javaw也与目的主机建立tcp连接,每次连接使用本地端口在49700左右,每连接一次,每建立一次新的连接,端口就依次增加。由于蚁剑中包含了很多加密、绕过插件,所以导致很多流量被加密后无法识别,但是蚁剑混淆加密后还有一个比较明显的特征,即为参数名大多以。冰蝎中,任何请求,最终都会调用。
三种常见webshell工具的流量特征分析
mashiro_hibiki的博客
04-10 1652
webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。使用方法简单,只需上传一个代码文件,通过网址访问,便可进行很多日常操作,极大地方便了使用者对网站和服务器的管理。正因如此,也有小部分人将代码修改后当作后门程序使用,以达到控制网站服务器的目的,也可以将其称做为一种网页后门。
常见的webshell流量特征和检测思路
weixin_45585955的博客
04-11 7956
所以分析如上:该流量是WebShell链接流量的第一段链接流量,其中特征主要在i=A&z0=GB2312,菜刀链接JSP木马时,第一个参数定义操作,其中参数值为A-Q,如i=A,第二个参数指定编码,其参数值为编码,如z0=GB2312,有时候z0后面还会接着又z1=、z2=参数用来加入攻击载荷。最后传给cmd的这些流量字符中有自己的特征,1、都是系统命令;2、必须以分号结尾;至此,冰蝎成为了一个完美的开箱即用的工具,本体内存马免杀,流量免杀,功能齐全,兼容性好,在连续几年的攻防演练中,成为最热门的工具。
Webshell工具的流量特征分析(菜刀,蚁剑,冰蝎,哥斯拉)
热门推荐
告白的博客
05-31 3万+
0x00 前言 使用各种的shell工具获取到目标权限,即可进行数据操作,今天来简要分析一下目前常使用的各类shell管理工具的流量特诊,帮助蓝队同学在风险识别上快速初值 0x01 中国菜刀流量分析 0x02 ......
webshell管理工具流量特征
08-25
- *1* [kingkong:解密哥斯拉webshell管理工具流量](https://download.csdn.net/download/weixin_42134143/16688569)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...
kingkong:解密哥斯拉webshell管理工具流量
04-16
解密哥斯拉Godzilla-V2.96 webshell管理工具流量 目前只支持jsp类型的webshell流量解密 Usage 获取攻击者上传到服务器的webshell样本 获取wireshark之类的流量包,一般甲方有科来之类的全流量镜像设备,联系运维人员...
少儿编程scratch项目源代码文件案例素材-纸人伙计.zip
04-30
少儿编程scratch项目源代码文件案例素材-纸人伙计.zip
scratch少儿编程逻辑思维游戏源码-忍者罗伊 V5.zip
04-30
scratch少儿编程逻辑思维游戏源码-忍者罗伊 V5.zip
scratch少儿编程逻辑思维游戏源码-跑和枪.zip
最新发布
04-30
scratch少儿编程逻辑思维游戏源码-跑和枪.zip
前端开发_基于jQuery和EasyUI框架_企业级Web应用UI组件库与后台管理系统模板_提供GPL开源版本和商业授权版本的双重授权模式_适用于快速构建响应式管理后台和复杂数据可.zip
04-30
前端开发_基于jQuery和EasyUI框架_企业级Web应用UI组件库与后台管理系统模板_提供GPL开源版本和商业授权版本的双重授权模式_适用于快速构建响应式管理后台和复杂数据可
少儿编程scratch项目源代码文件案例素材-纸格通关 云变量.zip
04-30
少儿编程scratch项目源代码文件案例素材-纸格通关 云变量.zip
微信机器人开发_Wechaty框架_百度云主机部署_自然语言处理_消息自动化处理_多媒体文件管理_聊天记录持久化_表情包导出_语音视频自动保存_文件管理系统集成_跨平台数据同步_个.zip
04-30
微信机器人开发_Wechaty框架_百度云主机部署_自然语言处理_消息自动化处理_多媒体文件管理_聊天记录持久化_表情包导出_语音视频自动保存_文件管理系统集成_跨平台数据同步_个
少儿编程scratch项目源代码文件案例素材-钻机机器人.zip
04-30
少儿编程scratch项目源代码文件案例素材-钻机机器人.zip
少儿编程scratch项目源代码文件案例素材-作战基地.zip
04-30
少儿编程scratch项目源代码文件案例素材-作战基地.zip
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值