兵临城下丨Webshell管理工具流量检测研究

最新推荐文章于 2024-11-28 20:37:10 发布
原创 最新推荐文章于 2024-11-28 20:37:10 发布 · 844 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #网络安全

本文详细比较了菜刀、蚁剑、冰蝎和哥斯拉这四个主流的webshell工具,探讨了它们的特征、加密方式和绕过检测的方法,适合对网络安全感兴趣的读者。

引言

俗话说得好,80后用菜刀,90后用蚁剑,95后用冰蝎和哥斯拉。本文主要是对这四个主流的并具有跨时代意义的webshell管理工具进行流量分析和检测。

注:本文均以phpshell连接为例进行研究分析,毕竟“php是世界上最好的语言”

① 中国菜刀(chopper)

中国菜刀是一款专业的网站管理软件,用途广泛,使用方便,小巧实用。只要支持动态脚本的网站,都可以用中国菜刀来进行管理。主流有2011版本,2014版本和2016版本。

2011和2014版本:

特征:

a(密码)参数:值为执行的函数加上对pyload的base64解

Z0参数:base64加密的payload,

Z1参数:shell存在的位置

识别:

(1)执行函数:@eval,@assert 等;

(2)base64_decode($_POST[Z0]),$_GET,$_REQUEST

(3)截取参数z0,进行base64_decode后 ,

@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0)等

2016版本:

较于早版本做了一些混淆

识别"ass"."ert" "ev"."Al  "Ba"."SE6"."4_dEc"."OdE

② 蚁剑4.0.3

中国蚁剑是一款开源的跨平台网站管理工具,它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。是一款非常优秀的webshell管理工具。开发版本针对有一定编程基础的开发者,你可以根据阅读文档或者分析源码了解熟悉整个应用的执行流程,然后便可随意对代码进行修改增强个性化自定义,真正打造出属于自己的一把宝剑!

PHP WEBSHELL基本操作连接所发的包如下:

传输的内容为:

主要获取了服务端当前目录、根目录、系统和当前用户名等信息,输入到缓冲区再由$output变量接收,通过随机字符作为开始结束符定位变量输出位置。

默认使用的情况下data仅进行url编码,特征很明显,data中含有@ini_set("display_errors", "0");@set_time_limit(0);  header中含有antSword字眼,由于蚁剑的源码是和菜刀的一样,所以在默认情况下特征十分明显。但是蚁剑的个性化十分的明显,可以对其进行改造。

PHP WEBSHELL基本操作连接所发的包如下:

2.1 自带的编码器和解码器

自带的编码器和解码器,编码器的作用是传输的时候加密,解码器的作用是使返回的包带的值也是加密的

自带编码器发出的包:格式为:pwd=编码方式['x

最低0.47元/天 解锁文章
29-4 webshell 流量分析-蚁剑
weixin_43263566的博客
03-22 600
上传木马到靶场之前讲过很多次了,这里就不多说了,使用蚁剑连接木马。
PHP WebShell 免杀
悦分享
08-01 7498
一般的,利用能够执行系统命令、加载代码的函数,或者组合一些普通函数,完成一些高级间谍功能的网站后门的脚本,叫做Webshell。而php做为一门动态语言,其灵活性很高,因此一直以来Webshell的绕过与检测之间不断的产生着化学反应。Webshell绕过的本质其实是针对不同的检测给予不同的绕过方式,因此首先要了解Webshell是如何检测的。...
webshell使用与流量分析(含数据包)
hackzkaq的博客
04-29 4662
零基础学黑客,搜索公众号:白帽子左一 作者:掌控安全学员-逍遥子 一、菜刀 1.使用方法 菜刀的使用简单,将一句话木马上传到目标,然后直接使用菜刀连接即可,菜刀主要可以对目标进行虚拟终端,文件操作,数据库操作等。 2.流量分析 1.当菜刀和服务器连接后:最开的的两次流量通信,便产生了大量的数据信息。且使用了base64的方式进行编码 2.对数据解码,发现第一的数据是获取设备的信息,第二段数据是写入了一段新的木马,对第二段的base64编码进行转码整理后得到; @ini_set("displa
php webshell 下载(目前功能强大齐全的php版webshell
11-09
声明:本PHP-webshell仅供学习交流以及网站安全检测之用,功能过于强大,请不要用过非法用途,否则一切后果由使用者本人承担! 使用方法:上传至网站任意目录连接即可,其中 $admin['pass'] = "admin"; 后面引号里的admin为连接密码,可自由修改此密码。 网络上ASP的webshell很多,但是发现PHP webshell少了很多,好不容易找到这功能齐全的php版的webshell,给大家分享一下,省得大家到处找。顺便在这里赚点积分,呵呵。。
webshell流量分析
qq_61740845的博客
11-28 1479
冰蝎内置了17种ua头,每次连接shell都会随机一个进行使用,如果发现历史流量中同一个IP访问URL的时候,命令了以下列表中的多个ua头,可以基本确定为冰蝎。(img-1eSYCSDC-1732796753166)]\TP\image-20241128195740195.png)2)服务器使用随机数 MD5 的高16位作为密钥,存储到会话的 $_SESSION 变量中,并返回密钥给攻击者。1)客户端把待执行命令作为输入,利用 AES 算法或 XOR 运算进行加密,并发送至服务端;
WebShell流量特征检测_哥斯拉篇
weixin_42230607的博客
09-12 538
80后用菜刀,90后用蚁剑,95后用冰蝎和哥斯拉,以phpshell连接为例,本文主要是对这四款经典的webshell管理工具进行流量分析和检测。 什么是一句话木马? 1、定义 顾名思义就是执行恶意指令的木马,通过技术手段上传到指定服务器并可以正常访问,将我们需要服务器执行的命令上传并执行 2、特点 短小精悍,功能强大,隐蔽性非常好 3、举例 php一句话木马用php语言编写的,运行在php环境...
kingkong:解密哥斯拉webshell管理工具流量
04-16
解密哥斯拉Godzilla-V2.96 webshell管理工具流量 目前只支持jsp类型的webshell流量解密 Usage 获取攻击者上传到服务器的webshell样本 获取wireshark之类的流量包,一般甲方有科来之类的全流量镜像设备,联系运维人员...
强大的webshell管理工具-哥斯拉
12-27
哥斯拉工具则为安全研究人员或系统管理员提供了一个合法的途径,来检测、管理和清除这些潜在的恶意Webshell,从而提高网络安全。 哥斯拉的主要功能可能包括但不限于以下几点: 1. **扫描与检测**:能够对目标网站...
蚁剑-一款强大的Webshell管理工具
08-12
蚁剑工具的主要功能涵盖了对Webshell的上传、管理、检测、清理等多个方面。通过蚁剑,安全专家可以快速上传Webshell到服务器,实现对服务器的远程控制。同时,蚁剑也支持对服务器进行扫描,以发现已存在的Webshell,...
Godzilla-一款强大的WebShell管理工具
最新发布
08-13
Godzilla是一款强大的WebShell管理工具,它在web安全领域中扮演着重要的角色。WebShell是一种通过浏览器访问服务器的后门程序,通常被黑客利用来进行非法操作,如盗取数据、修改网页内容等。因此,对于网站管理员来...
流量分析】常见webshell流量分析
金灰的博客
11-16 1378
免责声明:本文仅作分享!对于常见的webshell工具,就要;的执行导致webshell的连接,对于默认的脚本要了解,才能更清晰,更方便应对。(这里仅针对部分后门代码进行流量分析)瑕疵处,请提出您宝贵的意见~
强大的webshell管理工具——蚁剑
12-26
中国蚁剑,免费拿走,自己踩过的坑,不想别人再踩
python脚本实现查找webshell的方法
12-25
本文讲述了一个python查找 webshell脚本的代码,除了查找webshell功能之外还具有白名单功能,以及发现恶意代码发送邮件报警等功能,感兴趣的朋友可以自己测试一下看看效果。 具体的功能代码如下: #!/usr/bin/env python #-*- coding: utf-8 -*- import os import sys import re import smtplib #设定邮件 fromaddr = "smtp.qq.com" toaddrs = ["voilet@qq.com"] username = "voilet" password = "xxxxxx" #设置白名
nDPI深度流量检测|opendpi
03-25
OPENDPI的开源项目 可以提供多种API,更多内容看doc下文档。 源码地址:https://svn.ntop.org/svn/ntop/trunk/nDPI/
常见webshell流量分析
学生
06-27 2357
鐜鍙橀噺:
常见的webshell流量特征和检测思路
weixin_45585955的博客
04-11 8423
所以分析如上:该流量WebShell链接流量的第一段链接流量,其中特征主要在i=A&z0=GB2312,菜刀链接JSP木马时,第一个参数定义操作,其中参数值为A-Q,如i=A,第二个参数指定编码,其参数值为编码,如z0=GB2312,有时候z0后面还会接着又z1=、z2=参数用来加入攻击载荷。最后传给cmd的这些流量字符中有自己的特征,1、都是系统命令;2、必须以分号结尾;至此,冰蝎成为了一个完美的开箱即用的工具,本体内存马免杀,流量免杀,功能齐全,兼容性好,在连续几年的攻防演练中,成为最热门的工具。
PHPwebshell2022免杀bypass阿里云盾等所有安全设备
qq_37561898的博客
12-09 1219
使用反序列化,外加php原生类绕过检测,到达webshell免杀。已经提过了长亭的牧云webshell检测平台,所以直接开源。使用加密器反序列化控制类名,以及参数,达到命令执行的效果。关键代码 echo new $sizeclass(可正常执行代码截图 / 命令的截图。绕过代码(POST 密码为a)关键类:Exception。
webshell工具流量特征:
qq_52973916的博客
08-11 563
这段代码基本是所有WebShell客户端链接PHP类WebShell都有的一种代码,但是有的客户端会将这段编码或者加密,而蚁剑是明文,所以较好发现,同时蚁剑也有eval这种明显的特征。冰蝎与webshell建立连接的同时,javaw也与目的主机建立tcp连接,每次连接使用本地端口在49700左右,每连接一次,每建立一次新的连接,端口就依次增加。由于蚁剑中包含了很多加密、绕过插件,所以导致很多流量被加密后无法识别,但是蚁剑混淆加密后还有一个比较明显的特征,即为参数名大多以。冰蝎中,任何请求,最终都会调用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值