笔记:流量特征分析

最新推荐文章于 2024-03-14 21:50:31 发布
最新推荐文章于 2024-03-14 21:50:31 发布
阅读量625 收藏 2
点赞数 1
分类专栏: 网络安全 文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43981050/article/details/129158001
版权

一、菜刀、C刀

第一:“eval”,eval函数用于执行传递的攻击payload,这是必不可少的;
第二:(base64_decode($_POST[z0]))(base64_decode($_POST[z0]))将攻击payload进行Base64解码,因为菜刀默认是使用Base64编码,以避免被检测;
第三:z0 z1是菜刀的默认参数

二、蚁剑(PHP用base64加密)

第一:将蚁剑的正文内容进行URL解码后,流量最中明显的特征为@ini_set("display_errors","0");@set_time_limit(0)
这段代码基本是所有WebShell客户端链接PHP类WebShell都有的一种代码,
存在base64等字符,同时蚁剑也有eval这种明显的特征。
第二:以_0x开头的参数名,后面为加密数据的数据包也可识别为蚁剑的流量特征。

三、冰蝎3.0(流量动态加密)

1、content-type:冰蝎数据包总是伴随着大量的content-type:application什么什么,无论GET还是POST,请求的http中,content-type为application/octet-stream;
2、内置16个ua头:冰蝎3.0内置的默认内置16个ua(user-agent)头
3、content-length 请求长度:对于上传文件,命令执行来讲,加密的参数不定长。但是对于密钥交互,获取基本信息来讲,payload都为定长
4、在各种语言的webshell中都会存在16位数的连接密码,默认变量为k。

四、哥斯拉

哥斯拉的webshell需要动态生成,可以根据需求选择各种不同的加密方式
1、在所有请求中Cookie中后面都存在;特征
2、所有请求中Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,/;q=0.8
3、所有响应中Cache-Control: no-store, no-cache, must-revalidate

总结

本文章为个人笔记,如有错误,欢迎各位师傅指正

明丨通
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ADNROID流量分析 Google_Analytics学习笔记
02-27
Google Analytics是著名互联网公司Google为网站提供的数据统计服务。可以对目标网站进行访问数据统计和分析,并提供多种参数供网站拥有者使用。
蚁剑、哥斯拉、菜刀、冰蝎(3.0/4.0)流量特征
qq_22792465的博客
07-25 2136
环境搭建:采用php一句话进行测试,可以用bp设置代理进行抓包查看,或使用wireshark进行过滤抓包逐步解析。
冰蝎,蚁剑,哥斯拉的初步流量特征分析
最新发布
w2vmany的博客
03-14 1672
默认的情况下,User-Agent会有类似于Java/1.8.0_121(具体取决于JDK环境版本)。但是哥斯拉可以自定义HTTP头,所以这个特征是容易去除的。
流量分析】Godzilla分析
sinat_31884905的博客
08-29 3403
哥斯拉客户端使用JAVA语言编写,在默认的情况下,如果不修改User-Agent,User-Agent会类似于Java/1.8.0_121(具体什么版本取决于JDK环境版本)。但是哥斯拉支持自定义HTTP头部,这个默认特征是可以很容易去除的。Accept为text/html, image/gif, image/jpeg, *;q=.2, /;q=.2哥斯拉的作者应该还没有意识到,在请求包的Cookie中有一个非常致命的特征,最后的分号。
常见Webshell&重大漏洞的流量特征(附解密流量工具)
Python_0011的博客
11-10 3188
攻防演练中,经常会看到一些加密的流量,又分不清楚是不是误报,本文总结了一些常见的流量特征,附流量解密工具。
常见webshell工具流量特征分析(哥斯拉、冰蝎、蚁剑、菜刀)
weixin_45971758的博客
06-23 2716
message 是一段超极长的字符串,分析冰蝎请求中的 PHP 代码,发现他就是 content 经过 base64 -> aes 加密后生成的,作用和请求中的 content 一致都是绕过 $Content-Length。冰蝎与webshell建立连接的同时,javaw也与目的主机建立tcp连接,每次连接使用本地端口在49700左右,每连接一次,每建立一次新的连接,端口就依次增加。content:“浏览器版本”。流量解密过程: 解AES密钥为(连接密码的MD5的前16位) --> 解base64两次。
Webshell工具的流量特征分析(菜刀,蚁剑,冰蝎,哥斯拉)
热门推荐
告白的博客
05-31 2万+
0x00 前言 使用各种的shell工具获取到目标权限,即可进行数据操作,今天来简要分析一下目前常使用的各类shell管理工具的流量特诊,帮助蓝队同学在风险识别上快速初值 0x01 中国菜刀流量分析 0x02 ......
哥斯拉流量特征已经检测思路
buffedon的博客
12-25 6887
哥斯拉流量特征已经检测思路WebShell上传特征WebShell通信特征1.User-Agent (弱特征)2.Accept(弱特征)3.Cookie (强特征)4.请求体特征 (较强特征)5.响应体特征 (强特征) 近日,网上发布了一款名为“哥斯拉”的webshell管理工具。与冰蝎类似,哥斯拉也采用了加密流量通信来躲避WAF等安全设备的检测,另外该工具自带了一些插件模块,实现了写内存webshell、与Meterpreter联动、bypass open_basedir等功能。由于哥斯拉实现了众多强大的
告警流量特征分析(护网蓝初面试干货)
Welcome To Myon'Blog !
06-09 4706
一、流量特征 1、SQL注入 2、XSS 3、挖矿行为 二、webshell流量特征 1、中国菜刀 2、蚁剑 3、冰蝎 三、对告警流量分析 1、信息泄露 2、SQL注入 3、文件上传 4、XSS 5、代码执行
【菜刀流量特征分析
qq_44122254的博客
08-11 2306
菜刀流量分析
(菜刀,蚁剑,冰蝎,哥斯拉)流量特征分析总结
weixin_54603520的博客
05-15 3723
在红蓝攻防的过程中,webshell工具的流量特征分析一直时蓝队成员需要关注的重点。
chinesenotes.com:中文笔记
05-12
中文笔记项目 关于该项目 汉英词典和数字图书馆,为讲英语的中国古典文学史和历史文学著作。 它包括一个可用于其他语料库的框架,包括模板系统,汉英词典,用Go语言编写的语料库管理系统,用于学习语法等的网页,...
Wireshark数据包分析实战(笔记) pdf .zip
03-26
四、流量分析和图形化功能 五、通用底层网络协议 六、常见高层网络协议 七、基础的现实世界场景 八、让网络不再卡 九、安全领域的数据包分析 十、无线网络数据包分析 附录 A:其他数据包分析工具 附录 B:数据包分析...
Python数据分析实践:时间序列实例.pdf
06-14
/qq_33361618/article/details/82804912 Python数据处理(三)——美国西雅图自行车流量可视化 /u/4579171/blog/4551295 Pandas学习笔记之时间序列总结 目的:熟悉时间序列数据的处理方法和时间序列的使用,并用可视...
Deep-Learning-in-Time-Series:时间序列分析中的深度学习
05-18
该项目旨在利用深度学习来解决Kaggle竞争问题-网络流量时间序列预测( )。 PDF文件中将生成报告。 所有的python代码都在IPython笔记本中实现。 注意:比赛将于2017年11月13日结束。以上结果在排行榜中排名前2%...
基于机器学习和背景流量数据的加密恶意流量检测
Yuan's Blog
07-28 7264
基于机器学习技术,无需对加密的恶意流量进行解密,通过分析加密流量中的未加密信息、上下文数据等特征,借助常见的机器学习算法实现对加密流量的分类检测,发现加密恶意流量中潜藏的安全威胁。
干货分享 | 加密流量检测之多维特征
m0_60571990的博客
02-22 477
干货分享 | 加密流量检测之多维特征
常见的webshell的流量特征和检测思路
weixin_45585955的博客
04-11 5910
所以分析如上:该流量是WebShell链接流量的第一段链接流量,其中特征主要在i=A&z0=GB2312,菜刀链接JSP木马时,第一个参数定义操作,其中参数值为A-Q,如i=A,第二个参数指定编码,其参数值为编码,如z0=GB2312,有时候z0后面还会接着又z1=、z2=参数用来加入攻击载荷。最后传给cmd的这些流量字符中有自己的特征,1、都是系统命令;2、必须以分号结尾;至此,冰蝎成为了一个完美的开箱即用的工具,本体内存马免杀,流量免杀,功能齐全,兼容性好,在连续几年的攻防演练中,成为最热门的工具。
站长号文库:数据中心网络流量识别技术
09-03 286
流量是网络中传输数据的重要载体,只有针对流量进行识别,才能根据不同的流量采取不同的监控策略,或是拒绝,或是优化,或是打标,进行优先级分类等等,所有这一切工作的前提都是先要对流量进行识别。比如:有的可以识别流量中不同的端口号,有的可以识别流量中不同的IP五元组,有的可以分清以太、非以太流量,是否带封装等等,识别流量的侧重点不同,识别的深度也各有不同,这一领域的技术也在不断发展着,以便适应网络监控的多方面需要。那么,流量识别有哪些常用技术呢,在日常的网络监控中可以用得上,本文就来说一说。
wireshark如何分析数据包的流量
09-03
1. 使用Wireshark的流量分析和图形化功能。Wireshark提供了流量图表,可以以图形化的方式显示数据包的流量情况。通过查看这些图表,可以了解数据包的传输速率、延迟和数据量等信息。 2. 使用Wireshark的过滤功能。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值