webshell连接工具流量特征

已于 2023-01-17 12:31:50 修改
阅读量503 收藏 5
点赞数 2
文章标签: 安全
于 2023-01-17 11:45:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wojiaoqwe/article/details/128714131
版权

本文仅当作记录使用,方便后期查找。

蚁剑webshell流量分析:

1、cmd为蚁剑webshell连接密码;

2、cmd= 后面内容先进行url解码,若能看到为display_error未经编码就能证明webshell连接工具为蚁剑;

3、后面的大部分内容都为webshell基本功能的执行函数;

4、执行的命令一般需找到 die(); 函数观察其后面的内容,进行base64解码就可看见执行的命令函数。

注:这段内容定义了几个变量,跟混淆字符,混淆字符一般默认为2个去掉混淆字符在进行base64解码;

 

Wireshark流量截图:

 

 菜刀webshell流量分析:

攻击者执行的变量一般z2变量中需进行base64解码

 

 冰蝎webshell流量分析:

请求部分经过AES加密,无法分析;AES加密的密钥为Webshell连接密码的MD5的前16位

 

 AES解码   AES在线解密 AES在线加密 Aes online hex 十六进制密钥 - The X 在线工具

解密后还有一层base64加密(只取base64括号内的内容进行解密)

 

 

Base64解码 cmd定义了执行的命令

执行的命令也需要进行base64解密

 

Base64解码后cmd后为执行的命令  http://www.jsons.cn/base64/

 

Echo_200
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
aes-encrypt-decrypt-burp-extender-plugin-example:POC burp扩展程序插件可无缝解密加密的HTTP网络流量
05-17
自述文件 Burp Extender python插件可即时解密和加密AES加密后的参数。 这只是我用于特定移动应用程序的一个迷你项目,所以请不要尝试判断代码质量。 :D 有关详细信息: :
常见的webshell连接工具流量特征总结
qq_52486507的博客
03-25 1731
1.Accep和Content-Type为弱特征且Content-type:一般为Application/x-www-form-urlencoded,这里可作为辅助特征。1.请求包中会有eval,assert, base64特征字符(这里如果用eval方法就是eval ,如果是assert方法就是assert)1.流量最明显的特征就是会有明文是@ini_set(“display_errors”,“0”)这个函数,也会有eval这个函数。2.在请求包的Cookie中有一个非常致命的特征是会在最后出现分号。
攻防兼备:中国蚁剑使用指南及特征流量
ZL_1618的博客
03-06 1171
蚁剑这款工具流量加密上特征比较明显,而且返回包多是明文,很容易在流量上就被查杀。!!接下来我将给各位同学划分一张学习计划表!
如何利用机器学习技术分析加密流量特征
图幻未来的博客
01-18 369
总之,作为一种新兴的分析方法和工具之一 ,机器学习技术在加密流量特征上的研究与应用的领域还有很大的拓展空间和研究潜力等待我们去探索和实践。未来的发展方向主要包括加强对于新型的攻击策略和技术手段的发现与研究能力;加强对各类加密算法的深度理解并建立更加完善高效的处理机制和方法;同时也需要结合其他相关的技术手段比如大数据云计算平台等进行集成创新以实现更为全面准确的分析和预警效果。
初识CTF Day3 CTFHUBRCE
suxinAL的博客
09-28 2458
前言 今天就开始RCE的探索了 RCE 文件包含 这里eval执行在昨天晚上做过了,所以就不说了,开始文件包含这题 这个题目他给了一个include()函数,他还给了一个写有一句话木马的txt文件 这段代码的大致意思就是,你把哪个我给你的shell.txt文件放到里面去啦 然后照着做就可以了 所以payload就是 ?file=shell.txt 这里直接连接中国蚁剑,密码为ctfhub(可在shell.txt里看到密码) flag在根目录下,本题结束 php://input 身为一个小白,看到这个题目
加密流量分析:破解加密通信,揭示隐藏在网络流量中的威胁
图幻未来的博客
02-20 445
加密通讯的基本原理是将原始数据进行编码(加密)并通过一定的密钥传输给接收方解压缩并还原成明文形式. 常见的加密算法定有对称式和非对称式的加密方法两种类型. 对称密码如AES、DES等使用同一个秘钥进行加密和解密操作;非对称性加密采用公私密钥体系结构确保数据安全, 如RSA 和ECC 等.由于加密的复杂性 ,只有专业安全团队才能完全解析它。但幸运的是,一些开源工具和框架使得非专业人士也可以分析和检测这些复杂的网络活动。**3.1 流分析器:**
中国蚁剑安装使用教程
热门推荐
天天学安全专属博客
03-29 1万+
中国蚁剑安装教程,中国蚁剑是一款开源的跨平台网站管理工具,它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。如上主要包括蚁剑的下载,连接一句话木马,更改木马连接参数,绕过WAF。
关于蚁剑的安装和使用
hanjunhao2002的博客
02-02 930
加载器: https://github.com/AntSwordProject/AntSword-Loader 核心源码: https://github.com/AntSwordProject/antSword 两者都下好之后运行exe文件 发现需要初始化,进行初始化,路径为你下载的源码路径 初始化成功后如下 将小马上传服务器后url地址填写小马的位置 后面两者都选base64 连接密码为小马里面默认的123 添加后连接成功如下 可以轻松控制权限
BUUCTF [极客大挑战 2019]Knife1
Hrain7的博客
09-26 1280
web蚁剑
Webshell 流量特征分析
qq_69775412的博客
09-22 397
主要利用方式:eval函数参数名:z1、z2、z3。z0用于设置环境变量、z1为密码、z2为执行的命令。加密方式: base64加密、url编码User-Agent: 百度的或者是火狐的。其他:下面几个环境变量也可以作为流量特征来进行研判分析。蚁剑目前的流量分析,都是没有使用编码器和解码器的,而蚁剑相比于菜刀的优势就在于这个编码器和解码器,能够更方便的隐藏自己,后面有想进一步了解的小伙伴可以点个关注哟。@ini_set。
webshell连接工具skyscorpionV1.0.beta39.20210126.zip
04-27
webshell连接工具skyscorpionV1.0.beta39.20210126.zip
kingkong:解密哥斯拉webshell管理工具流量
04-16
解密哥斯拉Godzilla-V2.96 webshell管理工具流量 目前只支持jsp类型的webshell流量解密 Usage 获取攻击者上传到服务器的webshell样本 获取wireshark之类的流量包,一般甲方有科来之类的全流量镜像设备,联系运维人员...
中国蚁剑 webshell工具
08-12
中国蚁剑
强大的webshell管理工具-哥斯拉
12-27
只有适合自己的工具,没有好坏之分,拿走不谢。
菜刀webshell流量数据包
08-01
菜刀webshell流量数据包
安全开发实战(4)--whois与子域名爆破
weixin_72543266的博客
04-18 881
安全开发实战(4)--whois与子域名爆破 Whois 查询是一种用于获取有关互联网域名注册信息的公共查询服务。当注册一个域名时,必须提供一些个人或组织信息,例如姓名、电子邮件地址、联系电话等。这些信息通常是公开的,可以通过 Whois 查询来获取。在渗透测试中,Whois 查询可以我们收集目标组织的关键信息。组织联系信息:包括名称、地址、电话号码和电子邮件地址。这些信息可以用于建立联系、进行社会工程攻击或者其他类型的攻击。域名到期日期:了解域名何时到期可以帮助我们预测目标可能面临的安全风险。
维护网络安全的途径有哪些?
wanhengwangluo的博客
04-22 528
使用正规可靠的防病毒软件和防火墙软件来保护计算机和网络不会受到恶意软件和恶意的网络攻击,同时也要及时的安装相关软件和系统的更新补丁,对于应用系统定期的检测和维护,修复已知的安全漏洞。对于未知的陌生IP访问要进行有效的避免和防护,不去点击可疑的链接或者是提供个人信息,对于重要的数据信息进行加密技术的保护,为了防止数据丢失和被篡改,进行定期的备份。对于网络安全的维护,用户和企业可以设置一些比较复杂且独特的密码,可以包含一些字母、数字和符号进行组合,设置加密程度比较强的密码,并且定期进行更换密码。
网站内容下载软件有哪些 网站内容下载软件推荐 网站内容下载软件安全吗 idm是啥软件 idm网络下载免费
最新发布
软妹子的博客
04-25 634
它可以帮你解锁大半个互联网的下载工作(剩下那小半个,法律不允许解锁),突破速度限制、避开资源审查、绕过会员门槛,带给你前所未有的下载体验。在手机上打开一段想要下载的短视频,点击“分享”按钮,选择“复制链接”(注意这里不要点击“下载”按钮,不然下载的视频是带有抖音官方水印的)。将刚才复制的链接用浏览器打开,在视频加载完成后,idm的下载按钮就会自动弹出,点击“下载该视频”。这时候,选择下载分类为“音乐”,点击“开始下载”。在新弹出的下载信息窗口中,选择短视频下载的分类和保存路径,点击“开始下载”。
webshell管理工具流量特征
08-25
- *2* *3* [Webshell工具流量特征分析](https://blog.csdn.net/Chales123/article/details/131135315)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值