冰蝎,蚁剑,哥斯拉的初步流量特征分析

已于 2024-03-15 18:52:06 修改
阅读量2.4k 收藏 31
点赞数 28
文章标签: 笔记
于 2024-03-14 21:50:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w2vmany/article/details/136713170
版权

哥斯拉

在这里插入图片描述

User-Agent (弱特征)

默认的情况下,User-Agent会有类似于Java/1.8.0_121(具体取决于JDK环境版本)。但是哥斯拉可以自定义HTTP头,所以这个特征是容易去除的

Accept(弱特征)

Accept处为text/html, image/gif, image/jpeg, *; q=.2, /; q=.2
但此处依然可以自定义头部去除

Cookie (强特征)

请求包的Cookie中有一个非常致命的特征,分号
在这里插入图片描述

请求体特征 (较强特征)

比较大的数据包
base64编码

响应体特征 (强特征)

如果之前的请求体采用base64编码,响应体返回的也是base64编码
Cache-Control: no-store, no-cache, must-revalidate

补充

哥斯拉使用的是ICMP协议数据报文,而ICMP流量本身就不高,所以较难在大流量中检测
ICMP数据报文的载荷部分Length值固定为92字节,这是它的重要特征

payload特征:
jsp会出现xc,pass字符和Java反射(ClassLoader,getClass().getClassLoader()),base64加解码等特征
php,asp则为普通的一句话木马 数据报文的payload内容以"godzilla"开头,这也是检测的特征标志

jsp会出现xc,pass字符和Java反射(ClassLoader,getClass().getClassLoader()),base64加解码等特征
php,asp则为普通的一句话木马在这里插入图片描述

蚁剑

1.使用了AES加密算法对数据进行加密,同时还使用了自定义的二进制协议,存在eval这种明显的特征
2.默认的USER-agent请求头 是 antsword xxx,但是 可以通过修改:/modules/request.js 文件中 请求UA绕过
3.最明显的特征为@ini_set(“display_errors”,“0”);这段代码基本是所有webshell客户端链接PHP类Webshell都有的一种代码
4.蚁剑混淆加密后还有一个比较明显的特征,即为参数名大多以"_0x"这种形式,所以以_0x开头的参数也很可能就是恶意流量

冰蝎

1.冰蝎通讯默认使用长连接,默认情况下,请求头和响应头里会带有 Connection,Connection: Keep-Alive可作为辅助流量特征
在这里插入图片描述

2.固定的请求字节头:dFAXQV1LORcHRQtLRlwMAhwFTAg/M
固定的响应字节头:TxcWR1NNExZAD0ZaAWMIPAZjH1BFBFtHThcJSlUXWEd
3.UserAgent字段内置了16种比较老的User Agent,每次连接shell会随机选择一个进行使用

冰蝎2

1.在每一次链接是都能看到一个get请求?pass=[XXX]的数据(XXX均为数字)且均会产生一个16位的随机数秘钥(第二个为密钥);Content-Length:16
在这里插入图片描述

在这里插入图片描述

2.请求包和哥斯拉一样:Accept: text/html, image/gif, image/jpeg, ; q=.2, /; q=.2

3.JSP类型的webshell,POST请求体数据均为base64编码,Content-Type为application/octet-stream,响应体数据均为二进制文件
4.执行JSP webshell,一般较短的命令Content-Length都是9068

冰蝎3

1.冰蝎3和2相比,最重要的变化就是去除动态密钥协商机制,采用预共享密钥,全程无明文交互,密钥格式为md5(“admin”)[0:16]
2.通过request.getReader().readLine()读post请求
3.存在GET请求,同时URI只有一个key-value类型参数
4.作为waf规则特征 jsp抓包特征分析Content-Type: application/octet-stream 这是一个强特征
(tips:octet-stream的意思是,只能提交二进制,而且只能提交一个二进制,如果提交文件的话,只能提交一个文件后台接收参数只能有一个,而且只能是流或者字节数组)
5.请求包中content-length 为5740或5720
6.请求头中有Pragma: no-cache,Cache-Control: no-cache

冰蝎4

1.采用默认aes加密协议情况下流量特征与V2、V3类似
2.在PHP webshell 中存在固定代码( p o s t = D e c r y p t ( f i l e g e t c o n t e n t s ( “ p h p : / / i n p u t ” ) ) ; e v a l ( post=Decrypt(file_get_contents(“php://input”)); eval( post=Decrypt(filegetcontents(php://input));eval(post);)
3.默认时,所有冰蝎4.0 webshell都有“e45e329feb5d925b”一串密钥。该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond

w2v
关注
  • 28
    点赞
  • 31
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
【面试复盘】亚信科技 HVV
大河之犬的博客
06-06 1191
整体回答很流畅,但是要注意用词的准确性,在保证流畅的同时,想好再说。
哥斯拉burpsuite流量记录
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-25 1205
解码器就是在响应中设置编码,这里测试的是查看
冰蝎、菜刀、哥斯拉流量特征
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
07-18 2626
菜刀,冰蝎哥斯拉
(菜刀,冰蝎哥斯拉流量特征分析总结
weixin_54603520的博客
05-15 3973
在红蓝攻防的过程中,webshell工具的流量特征分析一直时蓝队成员需要关注的重点。
webshell工具-冰蝎流量特征和加密方式
最新发布
qq_40898302的博客
05-25 782
冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端,由于通信流量被加密,传统的WAF、IDS 设备难以检测,给威胁狩猎带来较大挑战。冰蝎其最大特点就是对交互流量进行对称加密,且加密密钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测。而老牌的如中国菜刀因为其流量特征太过明显,从而使用的场景越来越少。
菜刀、冰蝎哥斯拉流量特征
eternitymd的博客
04-29 1万+
菜刀流量特征(最开始是明文传输,后来采用base64加密):PHP类WebShell链接流量 如下图: 第一:“eval”,eval函数用于执行传递的攻击payload,这是必不可少的; 第二:(base64_decode($_POST[z0])),(base64_decode($_POST[z0]))将攻击payload进行Base64解码,因为菜刀默认是使用Base64编码,以避免被检测; 第三:&z0=QGluaV9zZXQ...,该部分是传递攻击payload,此参数z0对应$_
冰蝎哥斯拉流量特征
qq_53218512的博客
06-11 4078
webshell管理工具,冰蝎哥斯拉流量特征
哥斯拉流量特征已经检测思路
buffedon的博客
12-25 7205
哥斯拉流量特征已经检测思路WebShell上传特征WebShell通信特征1.User-Agent (弱特征)2.Accept(弱特征)3.Cookie (强特征)4.请求体特征 (较强特征)5.响应体特征 (强特征) 近日,网上发布了一款名为“哥斯拉”的webshell管理工具。与冰蝎类似,哥斯拉也采用了加密流量通信来躲避WAF等安全设备的检测,另外该工具自带了一些插件模块,实现了写内存webshell、与Meterpreter联动、bypass open_basedir等功能。由于哥斯拉实现了众多强大的
菜刀,冰蝎哥斯拉流量特征
qq_51550750的博客
07-04 4748
菜刀,冰蝎哥斯拉流量特征
菜刀,冰蝎哥斯拉流量特征
2301_76786857的博客
12-24 2223
菜刀,冰蝎哥斯拉四大webshell工具的流量特征
Webshell工具的流量特征分析(菜刀,冰蝎哥斯拉
热门推荐
告白的博客
05-31 2万+
0x00 前言 使用各种的shell工具获取到目标权限,即可进行数据操作,今天来简要分析一下目前常使用的各类shell管理工具的流量特诊,帮助蓝队同学在风险识别上快速初值 0x01 中国菜刀流量分析 0x02 ......
kingkong:解密哥斯拉webshell管理工具流量
04-16
kingkong 解密哥斯拉Godzilla-V2.96 webshell管理工具流量 目前只支持jsp类型的webshell流量解密 Usage 获取攻击者上传到服务器的webshell样本 获取wireshark之类的流量包,一般甲方有科来之类的全流量镜像设备,联系运维人员获取,这里以test.papng为例。 导出所有http对象,放置到文件夹 编辑kingkong.py脚本,找到#config这行,配置获取到的样本password、key,以及刚才的文件夹路径 py -2 kingkong.py Config #config #配置webshell的key key = '3c6e0b8a9c15224a' #配置webshell的password password = 'pass' #配置wireshark导出http对象的路径 filepath = '.' #配置是否为jsp+b
CTF哥斯拉冰蝎解码工具
02-23
承影_哥斯拉冰蝎解码工具1.1版本,助力CTF比赛
攻击工具分析:哥斯拉(Godzilla)1
08-03
哥斯拉是由Java语言编写,继承了诸如菜刀、冰蝎等前辈的特性,并在其基础上进行了增强,提供了更多的功能和优势。 首先,哥斯拉的一大亮点是其全面的shell支持。它能够绕过市面上大部分静态查杀系统,这意味...
强大的webshell管理工具-哥斯拉
12-27
标题中的“强大的webshell管理工具-哥斯拉”指的是一个名为“哥斯拉”的软件工具,它是专门设计用于管理和控制Webshell的。Webshell是一种在Web服务器上运行的后门程序,通常由黑客植入,以远程控制服务器或执行恶意...
哥斯拉4.0.1.rar
03-05
哥斯拉,好用的用后门软件
Webshell管理工具:冰蝎哥斯拉
soldi_er的博客
04-22 4342
文章目录简介和安装简单介绍安装和启动查看server文件夹代码分析分析shell.php第一遍查看软件源码反思 简介和安装 简单介绍   冰蝎是一个动态二进制加密的Webshell管理工具,第一代Webshell管理工具“菜刀”的流量特征非常明显,很容易被安全设备检测到。于是基于流量加密的Webshell越来越多,冰蝎应运而生,也取代了菜刀的地位。   使用Java开发,所以可以跨平台使用。主要功能:基本信息、rce、虚拟终端、文件管理、Sockets代理、反弹shell、数据库管理、自定义代码等。相比菜
webshell管理工具的流量特征分析(菜刀、冰蝎哥斯拉
Bossfrank的博客
05-05 2285
本文介绍了菜刀、冰蝎哥斯拉四种常见的webshell管理工具的流量特征。从攻防演练和安全岗位面试的角度阐述了这些远控工具的检测方法。
干货|冰蝎哥斯拉 内存马应急排查
m0_60571990的博客
12-29 7137
干货|冰蝎哥斯拉 内存马应急排查
冰蝎3.0和4.0流量特征
07-25
冰蝎3.0和4.0的流量特征有一些显著的不同。首先,在加密方式方面,冰蝎4.0引入了更多的加密方式,包括xor、xor_base64、aes、json和image等五种加密方式,并且每种加密方式都支持自定义加解密代码。而冰蝎3.0则没有这么多加密方式的选择。\[1\] 其次,在传输方式方面,冰蝎4.0引入了okhttp3客户端,因此与3.0版相比,HTTP协议交互和TLS协议交互都有显著的不同。这意味着在TLS未解密(TLS协议流量)和TLS解密(HTTP协议流量)两种场景下,冰蝎4.0的流量特征也会有所不同。\[1\]\[2\] 此外,冰蝎4.0版本提供了传输协议自定义功能,让用户可以对流量的加密和解密进行自定义,实现流量加解密协议的去中心化。这意味着冰蝎4.0的流量特征可以根据用户的自定义传输协议而变化,不再有固定的连接密码的概念。\[3\] 综上所述,冰蝎3.0和4.0的流量特征在加密方式和传输方式方面有明显的差异,并且冰蝎4.0版本提供了更多的自定义功能,使得流量特征更加灵活和多样化。 #### 引用[.reference_title] - *1* *2* [攻防演练 | 观成瞰云有效检出冰蝎4.0加密流量](https://blog.csdn.net/GCKJ_0824/article/details/125987480)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [冰蝎Behinder_v4.0](https://blog.csdn.net/m0_55793759/article/details/127250968)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值