分析冰蝎三流量特征以及请求包

最新推荐文章于 2024-05-26 11:03:12 发布
最新推荐文章于 2024-05-26 11:03:12 发布
阅读量1.6k 收藏 5
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46299490/article/details/126908183
版权

1.使用wireshark获取冰蝎流量

①首先在冰蝎中执行命令

②捕捉流量

流量特征

可以看Accept字段的值,冰蝎脚本的这个请求值比较固定,还可以看user-agent这个字段的值,还可以看content的值

 2.分析流量

①将数据包内容复制进行AES解密

 ②将AES解密结果再进行base64解密

 ③在使用base解密解析&cmd参数的内容

如下图所示,就可以看出对方执行过那些命令

 

weixin_46299490
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Web应急响应,备战个月
2401_84103250的博客
04-04 1074
常见webshell管理工具交互流量特征都有哪些?1、菜⼑特征:PHP 类 WebShell流量中eval函数用于执行传递的攻击 payload,流量参数z0、z1、z2 2、冰蝎3.0:默认内置 16 个 user-agent,content-type为application/octet-stream 3、蚁剑:PHP 类 WebShell流量最中明显的特征为 @ini_set (“display_errors”,“0”);默认的webshell中链接密码都是caidao,ua头为百度爬虫、请求体中存在e
Webshell工具的流量特征分析(菜刀,蚁剑,冰蝎,哥斯拉)
热门推荐
告白的博客
05-31 2万+
0x00 前言 使用各种的shell工具获取到目标权限,即可进行数据操作,今天来简要分析一下目前常使用的各类shell管理工具的流量特诊,帮助蓝队同学在风险识别上快速初值 0x01 中国菜刀流量分析 0x02 ......
冰蝎4.0特征分析流量检测思路
最新发布
2401_84488537的博客
05-26 1260
file_data的作用和http_server_body差不多,都是使content匹配response body中的内容,唯一不同的是使用了file_data关键字的规则,其在file_data之后的content都会受到它的影响。本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。冰蝎与webshell建立连接的同时,javaw也与目的主机建立tcp连接,每次连接使用本地端口在49700左右,每连接一次,每建立一次新的连接,端口就依次增加。
记一次流量分析&代码分析-冰蝎
pingan233的博客
02-22 3545
冰蝎流程图如下:冰蝎是先请求服务端,服务端判断请求之后生成一个128位的随机数,并将这个128位的随机数写入到session里面,并将这个128位的随机数返回给客户端,但是客户端并不会使用这个key作为之后的通讯的key,而是会继续重复上面过程,不断获取key,直到满足特定条件之后,才会确定是最终的key。客户端会保存这个key和响应报文里面的set-cookie的值。这个key就是之后客户端和服务端进行通讯的密匙。检测请求方式:Request.method= GET。
记一次解密wireshark抓取的冰蝎通信流量
m0_74131821的博客
04-21 1681
由于通信流量被加密,传统的WAF、IDS 设备难以检测,给威胁狩猎带来较大挑战
冰蝎Behinder_v4.0
一醉一休的博客
10-13 1万+
冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端,由于通信流量被加密,传统的WAF、IDS 设备难以检测,给威胁狩猎带来较大挑战。冰蝎其最大特点就是对交互流量进行对称加密,且加密密钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测
菜刀、冰蝎、蚁剑、哥斯拉的流量特征
eternitymd的博客
04-29 1万+
菜刀流量特征(最开始是明文传输,后来采用base64加密):PHP类WebShell链接流量 如下图: 第一:“eval”,eval函数用于执行传递的攻击payload,这是必不可少的; 第二:(base64_decode($_POST[z0])),(base64_decode($_POST[z0]))将攻击payload进行Base64解码,因为菜刀默认是使用Base64编码,以避免被检测; 第:&z0=QGluaV9zZXQ...,该部分是传递攻击payload,此参数z0对应$_
中间件内存马注入&冰蝎连接(附更改部分代码)1
08-03
总的来说,本文提供了一个关于中间件内存马注入的综合教程,涵盖了冰蝎Webshell的使用,Tomcat和Weblogic中间件的特定注入技术,以及源码分析和修改,对于理解Web安全和防御内存马注入具有重要价值。
fiddler网络抓分析软件
11-02
《fiddler网络抓分析软件详解》 在IT领域,网络通信的调试与分析是一项重要的任务,而fiddler网络抓分析软件正是为此目的而设计的强大工具。fiddler,这款由Telerik公司开发的HTTP调试代理,能够帮助开发者、...
扫描流量-Part2
04-12
流量中,AWVS的请求可能含独特的User-Agent标识,以及其他特征,如特定的GET或POST参数。通过解析这些流量,我们可以学习到AWVS的扫描策略和漏洞检测机制。 Burp Suite是一款广泛使用的渗透测试套件,含了...
049-冰蝎,从入门到魔改.pdf
09-20
在实战中,第一个 webshell 管理工具 "菜姬" 的流量特征非常明显,很容易被安全设备检测到。基于流量加密的 webshell 变得越来越多,"冰蝎" 在此应运而生。 "冰蝎" 客户端基于 JAVA,所以可以跨平台使用,最新版本...
冰蝎,从入门到魔改1
08-04
在实战中,第一代webshell管理工具“菜刀”的流量特征非常明显,很容易被安全设备检测到。基于流量加密的webshell变的越来越多,“冰蝎”在此应运而生。 冰蝎客户端基于JAVA,因此可以跨平台使用,最新版本为v...
冰蝎、菜刀、蚁剑、哥斯拉流量特征
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
07-18 2677
菜刀,蚁剑,冰蝎,哥斯拉
护网面试总结
zhihuijiazeng的博客
06-08 4414
从大佬的经验摘过来的
蚁剑、哥斯拉、菜刀、冰蝎3.0/4.0)流量特征
qq_22792465的博客
07-25 2560
环境搭建:采用php一句话进行测试,可以用bp设置代理进行抓查看,或使用wireshark进行过滤抓逐步解析。
冰蝎、蚁剑、哥斯拉的流量特征
qq_53218512的博客
06-11 4139
webshell管理工具,蚁剑、冰蝎哥斯拉的流量特征
流量特征分析——蚁剑、菜刀、冰蝎
Sgirll的博客
07-22 5662
通过对这种常见的网络攻击工具流量特征分析,我们可以更好地了解它们在网络流量中的表现。网络管理员和安全专家可以根据这些特征来识别和监测潜在的攻击活动,并及时采取相应的防护措施。同时,持续的学习和了解新兴攻击工具的流量特征也是保持网络安全的重要一环。本文将重点研究菜刀、蚁剑和冰蝎种常见的网络攻击工具,分析它们在流量中留下的痕迹和特征,以便网络管理员和安全专家能够更好地识别和对抗这些工具所带来的潜在威胁。蚁剑(AntSword)是一款功能强大的跨平台渗透测试工具,被广泛用于攻击和渗透测试活动。
冰蝎4.0流量解密
热爱学习,喜欢折腾!
08-16 2677
在2022.7.25 v4.0 更新Behinder_v4.0,增加了诸多功能。本文以PHP为例4.0提供了种方式异或、异或Base64、AES种方式。总体来说4.0的流量解密和3.0流量解密差不多。
冰蝎3.0流量简单分析
道路且长 行则将至
03-08 909
思路 工具编写思路 配合系统tshark将冰蝎的POST流量进行导出, 对shell文件进行url解码和base解码,得到aes的key密钥 再使用key对数据进行解密,值得关注的是数据转换的格式很有趣,转为utf-8则乱码 现阶段困难点 由于无法过滤出原始的数据流导致无法最终服务器回显的数据 本来是想写成自动化的,有时间的话后期应该会完善
冰蝎、菜刀、蚁剑、哥斯拉的流量特征
05-20
冰蝎、菜刀、蚁剑、哥斯拉都是常见的远程控制工具(RAT),它们的流量特征略有不同: 1. 冰蝎冰蝎是一种基于Java编写的远程控制工具,它的流量特征主要表现在数据中的特殊标记和传输的数据类型。冰蝎的数据含了特定的标记,如"flag=0x52415631",用于标识该数据冰蝎的控制命令。此外,冰蝎还使用了一种自定义的二进制协议,在通信中传输各种类型的数据。 2. 菜刀:菜刀是一种常见的ASP语言编写的远程控制工具,其流量特征主要表现在HTTP协议上。菜刀使用HTTP协议通信,控制命令和数据都通过POST请求传输。因此,可以通过HTTP请求头中的User-Agent、Referer等信息进行识别。 3. 蚁剑:蚁剑是一种基于Java编写的远程控制工具,其流量特征主要表现在数据的加密方式和数据类型。蚁剑使用了AES加密算法对数据进行加密,同时还使用了自定义的二进制协议,在通信中传输各种类型的数据。 4. 哥斯拉:哥斯拉是一种基于C#编写的远程控制工具,其流量特征主要表现在数据的特殊标记和数据类型。哥斯拉的数据含了特定的标记,如"XORHEAD"和"XORBODY",用于标识该数据是哥斯拉的控制命令。此外,哥斯拉还使用了一种自定义的二进制协议,在通信中传输各种类型的数据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值