29-4 webshell 流量分析-蚁剑

最新推荐文章于 2024-08-07 20:13:34 发布
最新推荐文章于 2024-08-07 20:13:34 发布
阅读量298 收藏
点赞数
分类专栏: Web安全攻防全解析 文章标签: 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43263566/article/details/136951472
版权
本文介绍了如何利用Wireshark和BurpSuite进行Webshell流量分析,包括Webshell工具特征、应急处理流程以及蚁剑的抓包步骤。在应急流程中,涉及确定webshell部署时间、定位及提取密钥,以理解攻击者行为。通过Wireshark抓包,观察蚁剑连接木马时的流量特征,如以`<?`开头的请求体和无错误显示设置,确保恶意操作隐蔽性。
摘要由CSDN通过智能技术生成

环境准备:构建完善的安全渗透测试环境:推荐工具、资源和下载链接_渗透测试靶机下载-CSDN博客

一、Webshell工具特征流量分析

使用工具

  • Wireshark
  • BurpSuite

优势区别对比

  • Wireshark:能够详细分析具体数据包。
  • BurpSuite:可以对数据包进行转发。

二、应急流程

  • 确定webshell何时被部署。
  • 通过哪个漏洞进入系统。
  • 定位webshell的存放位置。
  • 获取webshell的文件。
  • 从文件中提取密钥作为连接密码,通常为32位MD5值的前16位。
  • 使用提取的密钥进行AES解密,以还原全流量并进行回溯,了解攻击者后续的行为。

三、对蚁剑进行抓包

1)先开启Wireshark抓包

Wireshark 工具安装:

了解本专栏 订阅专栏 解锁全文 超级会员免费看
狗蛋的博客之旅
关注
专栏目录
订阅专栏
webshell动态加密连接分析与实践
悦分享
08-05 2392
antSword的自定义编码器,打开的系统设置就可以看到编码管理选项,这里选择新增一个编码器。点击新增编码器,命名之后点击编辑,可以通过代码和注释看出编码器的作用,这些代码主要就是javascript node.js基础语法。然后我们修改一下代码,随机字符串+传输数据base64 这样的结果是干扰一些waf进行模糊解码,这样是不可能被直接解密。/*** php::base64编码器*//** @param {String} pwd 连接密码。...
渗透测试-菜刀冰蝎哥斯拉等webshell工具及特征分析
qq_53058639的博客
03-17 1628
在测试过程中,我们经常会运到各种webshell管理工具,这里我介绍几种常见的webshell工具给大家。webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。使用方法简单,只需上传一个代码文件,通过网址访问,便可进行很多日常操作,极大地方便了使用者对网站和服务器的管理。?
流量分析
震山的博客
09-12 2160
流量有何规则,也许看完这篇有所收获吧
[玄机]流量特征分析-流量分析
haosha。的博客
07-31 5438
流量特征分析-流量分析题目做法及思路解析(个人分享)
流量分析——一、流量特征
钟言的博客
06-05 2850
本篇为流量分析——1、webshell特征流量分析,详细内容包含了:Webshell特征流量分析 环境介绍 使用Wireshark进行流量分析、 1、环境说明 2、HTTP追踪流分析 3、请求体中代码块解读四、使用BurpSurite进行流量分析 1、环境配置 2、抓包分析 六、总结等内容
Webshell流量分析
qq_51323560的博客
05-15 2440
--------------------------------------------------------------------------------------------------------------------------------第一次学习webshell流量分析,还请大佬们多多指教。参数1,str参数是指将要进行截取字符操作的字符串。参数3, length参数是说明本次截取操作的长度,(2)分析发现真正有效的字符串是去除头部的2个字母。(3)查看虚拟终端执行的命令。
中国流量分析
UserNick157的博客
04-25 6225
中国流量分析 文章目录中国流量分析1.代理2.测试连接数据包:执行代码:执行结果:3.双击连接第一个数据包数据包:第二个数据包数据包:执行代码:response:4.打开文件夹数据包:5.打开文件数据包:执行代码:6.修改文件1.修改小文件数据包:执行代码:2.修改大文件7.wget文件数据包执行代码:8.删除文件数据包:执行代码:9.上传文件1.数据包:执行代码:10.打开终端数据包执行代码:与相关功能模块源码部分知识点1.测试连接部分2.删除文件3.命令执行 1.代理 有设置代理的功能,
网络安全CTF流量分析-入门3-Webshell连接流量分析
m0_51198141的博客
09-03 1734
同上一问,将frp文件内容解码,得到账户是 0HDFt16cLQJ 密码是JTN276Gp。所以答案就是 Admin123!
webshell使用与流量分析(含数据包)
hackzkaq的博客
04-29 4167
零基础学黑客,搜索公众号:白帽子左一 作者:掌控安全学员-逍遥子 一、菜刀 1.使用方法 菜刀的使用简单,将一句话木马上传到目标,然后直接使用菜刀连接即可,菜刀主要可以对目标进行虚拟终端,文件操作,数据库操作等。 2.流量分析 1.当菜刀和服务器连接后:最开的的两次流量通信,便产生了大量的数据信息。且使用了base64的方式进行编码 2.对数据解码,发现第一的数据是获取设备的信息,第二段数据是写入了一段新的木马,对第二段的base64编码进行转码整理后得到; @ini_set("displa
加密 WebShell 过杀软
悦分享
08-03 2216
中国是一款开源的跨平台网站管理工具,它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。中国推崇模块化的开发思想,遵循开源,就要开得漂亮的原则, 致力于为不同层次的人群提供最简单易懂、方便直接的代码展示及 其修改说明,努力让大家可以一起为这个项目贡献出力所能及的点滴,让这款工具真正能让大家用得顺心、舒适,让它能为大家施展出最人性化最适合你的能力!通俗的讲:中国与中国菜刀相比,界面更加美观、功能更加齐全,并且自定义的程度更高且开放源代码。...
浅析中国的木马加密流量
最新发布
m0_68483928的博客
08-07 1651
在蓝帽杯 2022 初赛中,domainhacker 的流量分析题目聚焦于中国这款 webshell 管理工具的流量特征。通过对比赛提供的数据包进行解析,本文将深入分析在连接木马时产生的加密流量。
[玄机-应急响应平台] 流量特征分析-流量分析
m0_73649671的博客
04-17 1114
流量特征分析-流量分析
玄机-流量特征分析-流量分析
苏生要努力
05-27 1451
1.木马的连接密码是多少2.黑客执行的第一个命令是什么3.黑客读取了哪个文件的内容,提交文件绝对路径4.黑客上传了什么文件到服务器,提交文件名5.黑客上传的文件内容是什么6.黑客下载了哪个文件,提交文件绝对路径。
的配置及流量分析
weixin_48776804的博客
05-27 916
安装
玄机平台流量特征分析-流量分析
2301_76227305的博客
06-20 713
最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
流量特征分析——、菜刀、冰蝎
Sgirll的博客
07-22 6546
通过对这三种常见的网络攻击工具流量特征的分析,我们可以更好地了解它们在网络流量中的表现。同时,持续的学习和了解新兴攻击工具的流量特征也是保持网络安全的重要一环。哥斯拉的数据包中包含了特定的标记,如"XORHEAD"和"XORBODY",用于标识该数据包是哥斯拉的控制命令。此外,哥斯拉还使用了一种自定义的二进制协议,在通信中传输各种类型的数据。本文将重点研究菜刀、和冰蝎这三种常见的网络攻击工具,分析它们在流量中留下的痕迹和特征,以便网络管理员和安全专家能够更好地识别和对抗这些工具所带来的潜在威胁。
Webshell流量分析
qq_56414082的博客
11-29 625
Webshell看起来和普通的服务端脚本一样,看起来就像普通的代码。Webshell对本地资源具备一定的操作能力,其操作本地资源的范围取决于解析器的权限。?# 利用方式cmd=ls?# 利用方式?# 利用方式# 上传shell.jpg到同一目录,其中包含代码
webshell流量特征分析
04-08
根据提供的引用内容,我们可以通过分析URL、参数和头部信息来判断是否存在webshell流量[^1]。常见的webshell流量特征包括: 1. URL特征:检查URL中是否包含可疑的文件名、路径或参数,例如常见的webshell文件名、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

狗蛋的博客之旅

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值