Webshell管理工具,即用来管理Webshell的工具,其功能类似于木马的控制端程序,它集成了许多实用的小工具,方便攻击者对Webshell进行管理。
1、中国菜刀(Chopper)
加密:base64加密
特征:
主要在 body 中,base64-encode 默认参数为 z0,对其进行 base64 解密 之后会发现脚本用于传递 payload 的函 数,比如 php 的 eval 和 assert,asp 中 的 execute,后面的版本 body 中部分 字符被 unicode 编码替换混淆,常见%u 00
2、中国蚁剑(AntSword)
加密:base64加密、AES加密
流量特征:
User-Agent: antSword/v2.1
@ini_set("display_errors", "0");
出现缓冲区的函数
Base64最后的一个字段解密是当前目录
3、哥斯拉(Godzilla)
加密:AES加密
流量特征 :
PHP 连接特征请求都含有"pass**="第一个包第二个包,jsp连接特征与php
请求一样都含有"pass="而且发起连接时服务器返回的 Content-Length 是 0
4、冰蝎(Behinder)
加密 :AES加密
冰蝎1特征:Content-Type:application/octet-stream
冰蝎2特征:Content-Length:16
冰蝎3特征:Content-Type:application/octet-stream
冰蝎4特征:
(1)Accept字段
Accept: application/json, text/javascript, */*; q=0.01
(2)Content-Type
Content-type: Application/x-www-form-urlencoded
(3)User-agent 字段
冰蝎设置了10种User-Agent,每次连接shell时会随机选择一个进行使用。
(4)端口
冰蝎与webshell建立连接的同时,javaw也与目的主机建立tcp连接,每次连接使用本地端口在49700左右,每连接一次,每建立一次新的连接,端口就依次增加。
(5)PHP webshell 中存在固定代码
$post=Decrypt(file_get_contents("php://input"));
eval($post);
content字段中,将eval($post)作为流量特征纳入。
(6)长连接
冰蝎通讯默认使用长连接,避免了频繁的握手造成的资源开销。默认情况下,请求头和响应头里会带有 Connection。
Connection: Keep-Alive
(7)固定的请求头和响应头
请求字节头:
dFAXQV1LORcHRQtLRlwMAhwFTAg/M
响应字节头:
TxcWR1NNExZAD0ZaAWMIPAZjH1BFBFtHThcJSlUXWEd
(8)连接密码
默认时,所有冰蝎4.0 webshell都有“e45e329feb5d925b” 一串密钥。该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond