常见Webshell&重大漏洞的流量特征(附解密流量工具)

最新推荐文章于 2025-04-29 23:45:56 发布
原创 最新推荐文章于 2025-04-29 23:45:56 发布 · 1.2k 阅读 · 20 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #web安全 #开发语言 #运维 #linux

0x01 前言

攻防演练中,经常会看到一些加密的流量,又分不清楚是不是误报,本文总结了一些常见的流量特征,附流量解密工具。

0x02 正文

远控C2

cs流量特征:

1,基础特征:心跳包

2,请求特征:下发的指令,url路径,老版本固定的ua头

3,源码特征:checksum8 (92L 93L)

如果进行二开魔改后的cs,可提取样本

MSF流量特征:

1,端口号:msf默认使用4444端口作为反向连接端口

2,数据内容:msf数据包通常包含特定字符串:("meterpreter"、"revshell"等)

webshell:

主要需要鉴别一些高危的函数,比如eval,assert

蚁剑:

特征:

请求中的User-Agent值是:antSword/*

也有可能是:Mozilla/5.0 (Windows NT ) AppleWebKit/ (KHTML, like Gecko) Chrome/* Safari/

请求中可以检测到的关键字:“eval””eVAL”

请求体存在@ini_set("display_errors", "0");@set_time_limit(0);(开头可能是菜刀或者是蚁剑)

加密后的明显参数多数是0x......=这种形式所以0x开头的参数名,以及dirname、get_current_user函数的字眼(需要讲请求内容解密后判断),后面为加密数据的数据包可以鉴定为蚁剑的流量特征

在命令执行时有目录标记[S]、[E]、[R]、[D]、等,说明已经拿到shell了(在执行系统命令)

payload特征

php assert、eval关键字执行,

asp eval在jsp使用

Java 同时会带有base64编码解码等字符特征

菜刀:

老版本采用明文传输,非常好辨认新版本采用base64加密,检测思路就是分析流量包,发现大量的base64加密密文就需要注意

请求头中

User-Agent存在百度或者火狐

请求体中

会存在QGluaV9zZXQ攻击的开头部分后面的部分需要base64解码

z0(也会修改)跟随后面的payload的base64的数据。z0是菜刀的默认参数

eval也会替换成assert的方式(可能是拼接)

("ass"."ert",....

固定的

QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtpZihQSFBfVkVSU0lPTjwnNS4zLjAnKXtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO307ZWNobygiWEBZIik7J

冰蝎:

冰蝎1:冰蝎1有一个密钥协商过程,这个过程是明文传输,并且有两次流量,用来校验冰蝎2:因为内置了很多的UA头,所以当某一个相同IP重复请求,但是UA头不一样的时候就需要注意了冰蝎3:因为省去了协商过程,所以流量上可以绕过很多,但是其他特征依旧保留,比如ua头冰蝎数据包总是伴随着大量的content-type:application什么什么,无论GET还是POST,请求的http中,content-type为application/octet-stream还有他们的accept之类的长度总是等长,正常的根据应用场景和不同文件,长度是不同的

冰蝎4:

1.UserAgent字段:

Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Mozilla/5.0 (Windows; U;
最低0.47元/天 解锁文章
Cobalt Strike(CS)流量分析
小千安全
04-21 8952
为了识别 Cobalt Strike 生成的 HTTPS 流量,可以收集不同 TLS 实现的 JA3S 值,构建 JA3S 签名库,并结合其他特征和行为进行综合分析和判断。同时,反编译CS的源代码也可以得知,92L对应于x86位的木马,而93L对应于x64位的后门。在 HTTPS 协议的 Client Hello 和 Server Hello 阶段,都包含了 JA3S 值传输过程过程中会有 ja3,这个值在系统上是固定的,win10是一种的 但win11是另一种 他们取决于操作系统。
朔源反制:cs流量分析
wuqingsix的博客
02-19 1518
弱特征:url headers format 这些需要自己更改配置文件在控制端temview的时候配置文件profile参数。强特征:TCP数据包中含有ja3,ja3s中的值为强特征 C hello S hello。wireshrk 筛选出符合本机通信与木马通信端的TLSv1的协议。进行wireshrk抓包筛选http 可获得一些cs独有的特征。测试http上线检测:eth0为监听的网卡 yaml为规则。强特征:请求含有checksum8规则的路径。基础特征:魔改的基本都会改。
【阿一网络安全】CS流量特征
Ayixy的博客
06-26 643
在使用cobalt strike下达指令时,会出现post请求/sumbit.php?id=xxx的特征,该特征可以判断。和操作系统有关,每个操作系统都有固定的值,例如我使用的操作系统为。和操作系统有关,每个操作系统都有固定的值,例如我使用的操作系统为。和操作系统有关,每个操作系统都有固定的值,例如我使用的。以本机为例,抓取本地流量数据包,等网络抓包工具,可以捕获到后门的。通过查看心跳包获取一般。4个数字或者字母组成。
常见Webshell&重大漏洞流量特征解密流量工具),从零基础到精通,收藏这篇就够了!
leah126的博客
04-16 1050
实战攻防,流量分析绝对是绕不开的坎。但说实话,满屏加密流量,是救命稻草还是误报陷阱,真不好说。这篇文章,咱们就来扒一扒那些年我们追过的“加密流量”,顺便分享几个解密工具,希望能帮你拨开云雾见月明。
【企业安全】:有效防御Webshell-Bypass的最佳实践策略
Webshell-Bypass是一种针对Web应用程序的攻击技术,旨在绕过安全防护措施,执行未授权的恶意代码。这种威胁对任何在线服务来说都是严重的问题,因为它可能让攻击者完全控制服务器,窃取敏感数据,或发动进一步的恶意...
渗透测试入门—— 常见术语概述
weixin_46694260的博客
12-26 9793
00x1 前言 刚入门小白,收集了一些渗透术语,废话不多说。 00x2 渗透术语 1.脚本 动态网站(如:asp,php,jsp)linux, python 2.网站 2.1静态网站:与后台交互比较少,如html) 2.2动态网站:使用动态脚本编写 如:asp,php,jsp,交互方便但是安全性不高,如果代码过滤不严格可能会导致漏洞最终导致后台linux被别人随意操作 3.http协议 http(HyperText Transfer Protocol),超文本传输协议。是因特网上应用最为广泛的一种网络传
网络攻击与防范—术语和工具介绍
qq_50860232的博客
12-29 5744
DDOS/sql注入/DDL注入/Script kiddie/肉鸡/蠕虫病毒/跨站XSS/渗透测试/提权/爆破/ARP欺骗/域名劫持/撞库/外挂/................
DAws:跨平台安全系统绕过的高级Web Shell
Shellshock是Bash的一个重大安全漏洞(CVE-2014-6271),该漏洞允许攻击者通过注入恶意代码到环境变量来远程执行命令。这个漏洞在2014年被发现,由于其严重性,成为了关注的焦点。 #### 7. XOR加密 异或(XOR)是一...
webshell流量特征
ka_ka11的博客
03-28 1327
webshell
Webshell流量特征
weixin_63180964的博客
12-22 1971
q=0.01冰蝎设置了10种User-Agent,每次连接shell时会随机选择一个进行使用。
webshell工具流量特征
qq_52973916的博客
08-11 570
这段代码基本是所有WebShell客户端链接PHP类WebShell都有的一种代码,但是有的客户端会将这段编码或者加密,而蚁剑是明文,所以较好发现,同时蚁剑也有eval这种明显的特征。冰蝎与webshell建立连接的同时,javaw也与目的主机建立tcp连接,每次连接使用本地端口在49700左右,每连接一次,每建立一次新的连接,端口就依次增加。由于蚁剑中包含了很多加密、绕过插件,所以导致很多流量被加密后无法识别,但是蚁剑混淆加密后还有一个比较明显的特征,即为参数名大多以。冰蝎中,任何请求,最终都会调用。
Webshell管理工具流量特征
w2361734601的博客
04-29 2708
Webshell流量特征工具而异,但通常包含加密、固定参数或异常协议等行为。通过结合特征检测和行为分析,可有效识别攻击。防御需多层联动,从流量监控到文件管理,形成完整防护体系。​​防御核心​​:早发现、早阻断、早溯源。
webshell流量分析
qq_61740845的博客
11-28 1483
冰蝎内置了17种ua头,每次连接shell都会随机一个进行使用,如果发现历史流量中同一个IP访问URL的时候,命令了以下列表中的多个ua头,可以基本确定为冰蝎。(img-1eSYCSDC-1732796753166)]\TP\image-20241128195740195.png)2)服务器使用随机数 MD5 的高16位作为密钥,存储到会话的 $_SESSION 变量中,并返回密钥给攻击者。1)客户端把待执行命令作为输入,利用 AES 算法或 XOR 运算进行加密,并发送至服务端;
Webshell 流量特征分析
qq_69775412的博客
09-22 1693
主要利用方式:eval函数参数名:z1、z2、z3。z0用于设置环境变量、z1为密码、z2为执行的命令。加密方式: base64加密、url编码User-Agent: 百度的或者是火狐的。其他:下面几个环境变量也可以作为流量特征来进行研判分析。蚁剑目前的流量分析,都是没有使用编码器和解码器的,而蚁剑相比于菜刀的优势就在于这个编码器和解码器,能够更方便的隐藏自己,后面有想进一步了解的小伙伴可以点个关注哟。@ini_set。
Webshell工具流量特征分析(菜刀,蚁剑,冰蝎,哥斯拉)
热门推荐
告白的博客
05-31 3万+
0x00 前言 使用各种的shell工具获取到目标权限,即可进行数据操作,今天来简要分析一下目前常使用的各类shell管理工具流量特诊,帮助蓝队同学在风险识别上快速初值 0x01 中国菜刀流量分析 0x02 ......
webshell客户端流量特征
buffedon的博客
07-14 5272
webshell客户端流量特征概述:1. 冰蝎2. 中国菜刀2011,2014版本2016版本3. Cknife4. 蚁剑5. 哥斯拉 webshell客户端 用于webshell后门和攻击者之间的通信程序,我们可以通过webshell客户端的流量来判断服务器上是否存在Webshell后门。 概述: 中国菜刀:流量特征比较明显,2011,2014版本中,流量中有的php代码,asp代码是明文形式,jsp代码有固定格式,容易被检测出来。2016版本隐蔽性增强,对php,asp代码增加了混淆,还对ASP代码进行
常见漏洞流量特征
m0_62207482的博客
02-28 3034
如果url上有大量的../../../../../../关键字符就有可能攻击者利用目录遍历来攻击,也要结合../后面是什么目录,若是敏感目录或者文件(例如:/etc/passwd、php后缀、conf后缀等)就要着重看一下,或者url上是各种编码,要进行解码进行查看内容。例 http://127.0.0.1/pikachu/vul/ssrf/ssrf_curl.php?()、load_file()、seelp()、length()、exp()、group by()、substr()、and、or等函数。
蓝队必知秘诀-Webshell流量特征
He1lOeCho的博客
03-10 2054
临近Hw最近又开始大批量招收一次性蓝队成员了,笔者准备蹭一下这波流量,特意整理了这篇webshell流量特征的文章希望对大家有所帮助,祝大家找到价格高,结款快的机构。
常见webshell工具流量特征
最新发布
05-30
### WebShell工具流量特征分析及检测方法 WebShell工具是一种常见的后门程序,攻击者通过其可以对目标服务器进行远程控制。WebShell工具的网络流量特征和检测方法可以从多个角度进行分析。 #### 1. 常见WebShell工具流量特征 - **ASP类WebShell流量特征** 蚁剑(AntSword)与菜刀等工具在ASP类WebShell流量中表现出相似性。例如,常用的函数如`OnError ResumeNext`、`Response.End`、`Response.Write`等经常出现在流量中[^1]。此外,蚁剑通过混淆技术将某些关键字分割为拼接形式,例如`Ex"&cHr(101)&"cute`,以绕过简单的正则匹配规则。同时,`eval`参数也常被用作执行动态代码的关键手段。 - **加密与混淆** 蚁剑具备良好的扩展性,支持对流量进行加密和混淆处理,以规避检测。例如,它可以将敏感函数或字符串分段发送,并在目标服务器上重新组合[^3]。这种行为增加了检测的难度。 - **分段发送** 攻击者可以通过将特征流量分段发送来绕过基于正则表达式的检测系统。例如,在POST请求中插入额外的数据片段,使检测引擎无法直接匹配完整的恶意模式[^2]。 #### 2. WebShell工具的检测方法 - **基于正则匹配的检测** 正则匹配是最早期且最简单的检测方法之一。它通过预定义的恶意模式库来识别可疑流量。然而,这种方法容易被加密、编码或分段等技术绕过,因此仅适用于基础的开源工具或低质量的项目。 - **基于行为分析的检测** 行为分析不依赖于具体的代码内容,而是关注代码的实际运行行为。例如,检测是否尝试执行危险操作(如文件读写、命令执行等),或者是否存在异常的网络通信模式。商业级检测工具通常采用行为分析技术,因为它能够更有效地识别经过混淆或加密的恶意流量。 - **基于机器学习的检测** 机器学习方法通过训练模型来识别正常流量与恶意流量之间的差异。这种方法的优势在于能够适应不断变化的攻击模式,并具有较高的检测精度。然而,实现高质量的机器学习检测需要大量的标注数据和计算资源[^2]。 #### 3. 检测平台分类 根据检测技术的不同,WebShell工具的检测平台可以分为以下几类: - **WAF(Web应用防火墙)** WAF主要用于实时拦截恶意流量,但其检测能力通常依赖于规则集,因此可能无法应对高级攻击。 - **入侵检测平台** 入侵检测平台结合了多种检测技术,包括规则匹配、行为分析和机器学习,能够提供更全面的防护[^2]。 - **威胁感知平台** 威胁感知平台专注于长期监控和分析,能够发现潜在的高级持续性威胁(APT)。这类平台通常集成大数据分析和人工智能技术[^2]。 ```python # 示例:检测POST请求中是否存在分段特征 import re def detect_segmented_payload(post_data): # 定义常见分段特征的正则表达式 pattern = r"(?i)(chr\(|eval\(|execute\()(&|&)|(&|&)chr\(" if re.search(pattern, post_data): return True return False post_data = "Ex\"&cHr(101)&\"cute" if detect_segmented_payload(post_data): print("Detected segmented payload") else: print("No segmented payload detected") ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

AI小模型

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值