webshell管理工具的流量特征分析(菜刀、蚁剑、冰蝎、哥斯拉)

原创 已于 2023-05-05 16:46:36 修改 · 3.8k 阅读 · 54 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #系统安全

于 2023-05-05 16:22:02 首次发布
文章介绍了常见的Webshell管理工具如菜刀、蚁剑、冰蝎和哥斯拉的流量特征,强调这些工具的加密方式及其如何绕过安全检测。菜刀和蚁剑使用静态加密,而冰蝎和哥斯拉采用动态加密,更难被检测。文章旨在帮助防守方理解和识别这些工具的网络行为。

目录

写在前面

菜刀

蚁剑 

冰蝎 

冰蝎2.0

冰蝎3.0 

冰蝎4.0 

哥斯拉 

写在前面

菜刀、蚁剑、冰蝎、哥斯拉是常见的webshell管理工具。在攻防演练中,了解其常见webshell管理工具的流量特征对防守方来说十分重要。常见的webshell也在不断发展以绕过安全设备waf的检测,其流量特征也在不断演变,我们应该与时俱进的进行了解分析。简单的来说,菜刀和蚁剑采用静态加密的方式,其流量的攻击特征较为明显,而冰蝎和哥斯拉采用了动态加密的方式,更容易绕过安全设备的检测。

至于为啥要总结这篇文章,原因主要是感觉这几个webshell管理工具的流量特征是hvv和许多安全厂商在流量分析和应急响应的面试中很爱问的问题,而网上的许多资料感觉写的比较凌乱。于是在我看了一些资料后,从准备面试的角度做个总结,其中的内容主要源于网上的资料,如果我写的有不到位的地方,欢迎读者评论区指出或私信,不胜感谢。

菜刀

  1. payload在请求体中,采用url编码+base64编码,payload部分是明文传输。
  2. payload中有eval或assert、base64_decode这样的字符。
  3. payload中有默认固定的&z0=QGluaV9zZXQ...这样base64加密的攻击载荷,参数z0对应$_POST[z0]接收到的数据,且固定为QGluaV9zZXQ开头。进行base64解码后可看到代码:@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);这段意思是首先关闭报错和magic_quotes,接下来去获取主机的信息。

蚁剑 

  1. 请求时可选择多种
最低0.47元/天 解锁文章
常见的webshell流量特征
m0_63944205的博客
09-04 833
3.混淆加密后还有一个比较明显的特征,即为参数名大多以“0x加密后”“这种形式(下划可换》,所以以-0x开头的参数也很可能就是恶意流量。key进行爆破的成功的特征就是,返回包不再出现Set-Cookie:rememberMe=deleteMe.stager其实是一段很简单的加载器,是socketedi协议请求的一段shellcode,它的作用是向。值很长,并且下面伴随着设置密码,和路径的参数,最后请求体出现一个参数,数值是加密的,并且非常长。现实生活中很少有人使用。的长度,后面是shellcode。
冰蝎哥斯拉流量特征
qq_53218512的博客
06-11 5670
webshell管理工具冰蝎哥斯拉流量特征
Java面试基础篇
m0_67392010的博客
07-29 4445
先自我介绍一下,小编13年上师交大毕业,曾经在小公司待过,去过华为OPPO等大厂,18年进入阿里,直到现在。深知大多数初中级java工程师,想要升技能,往往是需要自己摸索成长或是报班学习,但对于培训机构动则近万元的学费,着实压力不小。因此我收集了一份《java开发全套学习资料》送给大家,初衷也很简单,就是希望帮助到想自学又不知道该从何学起的朋友,同时减轻大家的负担。Java的强引用、弱引用、软引用、虚引用。Java语言基础常识。Java12新特性。JavaIO详解。...
菜刀冰蝎哥斯拉流量特征
eternitymd的博客
04-29 2万+
菜刀流量特征(最开始是明文传输,后来采用base64加密):PHP类WebShell链接流量 如下图: 第一:“eval”,eval函数用于执行传递的攻击payload,这是必不可少的; 第二:(base64_decode($_POST[z0]))(base64_decode($_POST[z0]))将攻击payload进行Base64解码,因为菜刀默认是使用Base64编码,以避免被检测; 第三:&z0=QGluaV9zZXQ...,该部分是传递攻击payload,此参数z0对应$_
流量特征分析——菜刀冰蝎哥斯拉
Sgirll的博客
07-22 1万+
通过对这三种常见的网络攻击工具流量特征分析,我们可以更好地了解它们在网络流量中的表现。同时,持续的学习和了解新兴攻击工具的流量特征也是保持网络安全的重要一环。哥斯拉的数据包中包含了特定的标记,如"XORHEAD"和"XORBODY",用于标识该数据包是哥斯拉的控制命令。此外,哥斯拉还使用了一种自定义的二进制协议,在通信中传输各种类型的数据。本文将重点研究菜刀冰蝎这三种常见的网络攻击工具,分析它们在流量中留下的痕迹和特征,以便网络管理员和安全专家能够更好地识别和对抗这些工具所带来的潜在威胁。
最新冰蝎哥斯拉菜刀流量特征分析与检测指南
ai0070411的博客
03-17 2492
近年来,冰蝎(Behinder)、哥斯拉(Godzilla)、(AntSword)、菜刀(ChinaChopper)等工具仍是攻防对抗中的高频武器。本文基于最新样本(截至2024年8月),深度剖析其流量特征,并提供实战检测方法。:攻防对抗持续升级,建议结合流量特征与主机日志进行联动分析。:检测规则库与样本下载。
冰蝎菜刀哥斯拉流量特征
故事讲予风听
07-18 3703
菜刀冰蝎哥斯拉
哥斯拉冰蝎流量特征
congsec的博客
07-14 2494
网络安全攻防中,不同的攻击工具各有其独特的流量特征。本文将深入浅出地介绍哥斯拉冰蝎流量特征,并详细分析菜刀流量特征,帮助基础小白更好地理解这些工具在网络流量中的表现。
Webshell工具的流量特征分析菜刀冰蝎哥斯拉
热门推荐
告白的博客
05-31 3万+
0x00 前言 使用各种的shell工具获取到目标权限,即可进行数据操作,今天来简要分析一下目前常使用的各类shell管理工具的流量特诊,帮助蓝队同学在风险识别上快速初值 0x01 中国菜刀流量分析 0x02 ......
菜刀冰蝎哥斯拉流量特征
2301_76786857的博客
12-24 3289
菜刀冰蝎哥斯拉四大webshell工具的流量特征
webshell客户端流量特征
weixin_46622976的博客
07-08 931
webshell客户端流量特征
哥斯拉菜刀冰蝎(3.0/4.0)流量特征
qq_22792465的博客
07-25 4630
环境搭建:采用php一句话进行测试,可以用bp设置代理进行抓包查看,或使用wireshark进行过滤抓包逐步解析。
常见webshell工具流量特征分析(哥斯拉冰蝎菜刀)
weixin_45971758的博客
06-23 5777
message 是一段超极长的字符串,分析冰蝎请求中的 PHP 代码,发现他就是 content 经过 base64 -> aes 加密后生成的,作用和请求中的 content 一致都是绕过 $Content-Length。冰蝎webshell建立连接的同时,javaw也与目的主机建立tcp连接,每次连接使用本地端口在49700左右,每连接一次,每建立一次新的连接,端口就依次增加。content:“浏览器版本”。流量解密过程: 解AES密钥为(连接密码的MD5的前16位) --> 解base64两次。
菜刀冰蝎哥斯拉流量特征
qq_51550750的博客
07-04 5065
菜刀冰蝎哥斯拉流量特征
webshell使用与流量分析(含数据包)
hackzkaq的博客
04-29 4663
零基础学黑客,搜索公众号:白帽子左一 作者:掌控安全学员-逍遥子 一、菜刀 1.使用方法 菜刀的使用简单,将一句话木马上传到目标,然后直接使用菜刀连接即可,菜刀主要可以对目标进行虚拟终端,文件操作,数据库操作等。 2.流量分析 1.当菜刀和服务器连接后:最开的的两次流量通信,便产生了大量的数据信息。且使用了base64的方式进行编码 2.对数据解码,发现第一的数据是获取设备的信息,第二段数据是写入了一段新的木马,对第二段的base64编码进行转码整理后得到; @ini_set("displa
WebShell 特征分析
sechelper的博客
05-26 2781
关注公众号领取学习路线和资料。​WebShell是黑客经常使用的一种恶意脚本,其目的是获得服务器的执行操作权限,常见的webshell编写语言为aspjspphp。主要用于网站管理,服务器管理,权限管理等操作。使用方法简单,只需要上传一个代码文件,通过网址访问,便可进行很多日常操作,极大地方便了使用者对网站的服务器的管理。正因如此,也有小部分人将代码修改后当作后门程序使用,以达到控制网站服务器的目的,
常见WebShell客户端的流量特征及检测思路
蚁景网安学院
05-28 1万+
01概述开始之前先明确什么是webshell客户端?先问个问题,什么是客户端,什么是服务端?很简单,提供服务的就是服务端,要求被服务的就是客户端。那么回到我们的场景中,如果已经种了后门,...
Webshell流量分析
qq_56414082的博客
11-29 730
Webshell看起来和普通的服务端脚本一样,看起来就像普通的代码。Webshell对本地资源具备一定的操作能力,其操作本地资源的范围取决于解析器的权限。?# 利用方式cmd=ls?# 利用方式?# 利用方式# 上传shell.jpg到同一目录,其中包含代码
菜刀冰蝎哥斯拉连接后门的特征
最新发布
03-26
### 常见 Webshell 后门工具连接特征表现 #### 菜刀 (China Chopper) 菜刀是一款广泛使用的 Webshell 管理工具,其主要特点在于简单易用和支持多种脚本语言(如 PHP、ASP 和 ASP.NET)。然而,由于其流量特征较为明显,现代安全设备通常能够轻松识别其通信模式。例如,菜刀的 HTTP 请求中常带有特定参数名称(如 `pass` 或其他自定义变量),这些参数可以通过网络嗅探工具捕获并分析[^2]。 #### (AntSword) 相较于菜刀更加隐蔽,采用了更复杂的加密机制来隐藏其通信内容。它支持多种编码方式(Base64、AES 加密等),使得传统的基于签名的安全检测方法难以奏效。此外,还提供了丰富的插件扩展功能,允许攻击者动态调整后门行为以规避检测[^3]。 #### 冰蝎 (BeeBox) 冰蝎以其高度隐匿性和灵活性著称。该工具不仅实现了双向数据传输加密,还能模拟正常的浏览器请求头信息,从而进一步降低被发现的概率。另外,冰蝎内置了反调试机制以及进程注入技术,增加了逆向工程难度,这使其成为一种极具挑战性的目标对象对于蓝队人员来说。 #### 哥斯拉 (Godzilla) 哥斯拉同样具备强大的隐身能力,并且拥有独特的混淆算法处理每一次会话中的指令序列号验证逻辑,防止重放攻击的同时也加大了监控系统的解析负担;再加上它可以切换不同的伪装协议(HTTP GET/POST, WebSocket etc.), 更加剧了传统IDS/IPS误报率上升的风险. ### 安全检测建议 为了有效应对上述提到的各种类型的Webshells带来的潜在威胁,可以从以下几个方面着手加强防护措施: 1. **日志审计**: 对服务器上的访问日志进行全面审查寻找异常活动迹象比如非正常时间段内的大量GET或POST请求; 2. **文件完整性监测(FIM)**: 实施定期扫描重要目录下的所有文件校验值变化情况及时察觉新增可疑脚本文件的存在可能性; 3. **入侵检测系统(IDS)/入侵防御系统(IPS)配置优化**: 更新规则库至最新版本以便更好地匹配已知恶意软件家族的行为模式同时考虑引入机器学习模型辅助判断未知样本类别归属关系; 4. **蜜罐部署(Honeypot Setup)**: 设置虚假服务吸引对手进入预设陷阱区域收集更多关于对方战术技巧方面的情报资料供后续研究改进整体网络安全策略所用. ```bash # 使用ClamAV进行病毒查杀示例 sudo freshclam && clamscan -r /var/www/html/ ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Boss_frank

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值