常见Webshell&重大漏洞的流量特征(附解密流量工具)

最新推荐文章于 2025-04-29 23:45:56 发布
原创 最新推荐文章于 2025-04-29 23:45:56 发布 · 1.2k 阅读 · 20 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #web安全 #开发语言 #运维 #linux

0x01 前言

攻防演练中,经常会看到一些加密的流量,又分不清楚是不是误报,本文总结了一些常见的流量特征,附流量解密工具。

0x02 正文

远控C2

cs流量特征:

1,基础特征:心跳包

2,请求特征:下发的指令,url路径,老版本固定的ua头

3,源码特征:checksum8 (92L 93L)

如果进行二开魔改后的cs,可提取样本

MSF流量特征:

1,端口号:msf默认使用4444端口作为反向连接端口

2,数据内容:msf数据包通常包含特定字符串:("meterpreter"、"revshell"等)

webshell:

主要需要鉴别一些高危的函数,比如eval,assert

蚁剑:

特征:

请求中的User-Agent值是:antSword/*

也有可能是:Mozilla/5.0 (Windows NT ) AppleWebKit/ (KHTML, like Gecko) Chrome/* Safari/

请求中可以检测到的关键字:“eval””eVAL”

请求体存在@ini_set("display_errors", "0");@set_time_limit(0);(开头可能是菜刀或者是蚁剑)

加密后的明显参数多数是0x......=这种形式所以0x开头的参数名,以及dirname、get_current_user函数的字眼(需要讲请求内容解密后判断),后面为加密数据的数据包可以鉴定为蚁剑的流量特征

在命令执行时有目录标记[S]、[E]、[R]、[D]、等,说明已经拿到shell了(在执行系统命令)

payload特征

php assert、eval关键字执行,

asp eval在jsp使用

Java 同时会带有base64编码解码等字符特征

菜刀:

老版本采用明文传输,非常好辨认新版本采用base64加密,检测思路就是分析流量包,发现大量的base64加密密文就需要注意

请求头中

User-Agent存在百度或者火狐

请求体中

会存在QGluaV9zZXQ攻击的开头部分后面的部分需要base64解码

z0(也会修改)跟随后面的payload的base64的数据。z0是菜刀的默认参数

eval也会替换成assert的方式(可能是拼接)

("ass"."ert",....

固定的

QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtpZihQSFBfVkVSU0lPTjwnNS4zLjAnKXtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO307ZWNobygiWEBZIik7J

冰蝎:

冰蝎1:冰蝎1有一个密钥协商过程,这个过程是明文传输,并且有两次流量,用来校验冰蝎2:因为内置了很多的UA头,所以当某一个相同IP重复请求,但是UA头不一样的时候就需要注意了冰蝎3:因为省去了协商过程,所以流量上可以绕过很多,但是其他特征依旧保留,比如ua头冰蝎数据包总是伴随着大量的content-type:application什么什么,无论GET还是POST,请求的http中,content-type为application/octet-stream还有他们的accept之类的长度总是等长,正常的根据应用场景和不同文件,长度是不同的

冰蝎4:

1.UserAgent字段:

Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Mozilla/5.0 (Windows; U;
最低0.47元/天 解锁文章
Cobalt Strike(CS)流量分析
小千安全
04-21 8951
为了识别 Cobalt Strike 生成的 HTTPS 流量,可以收集不同 TLS 实现的 JA3S 值,构建 JA3S 签名库,并结合其他特征和行为进行综合分析和判断。同时,反编译CS的源代码也可以得知,92L对应于x86位的木马,而93L对应于x64位的后门。在 HTTPS 协议的 Client Hello 和 Server Hello 阶段,都包含了 JA3S 值传输过程过程中会有 ja3,这个值在系统上是固定的,win10是一种的 但win11是另一种 他们取决于操作系统。
朔源反制:cs流量分析
wuqingsix的博客
02-19 1518
弱特征:url headers format 这些需要自己更改配置文件在控制端temview的时候配置文件profile参数。强特征:TCP数据包中含有ja3,ja3s中的值为强特征 C hello S hello。wireshrk 筛选出符合本机通信与木马通信端的TLSv1的协议。进行wireshrk抓包筛选http 可获得一些cs独有的特征。测试http上线检测:eth0为监听的网卡 yaml为规则。强特征:请求含有checksum8规则的路径。基础特征:魔改的基本都会改。
【阿一网络安全】CS流量特征
Ayixy的博客
06-26 643
在使用cobalt strike下达指令时,会出现post请求/sumbit.php?id=xxx的特征,该特征可以判断。和操作系统有关,每个操作系统都有固定的值,例如我使用的操作系统为。和操作系统有关,每个操作系统都有固定的值,例如我使用的操作系统为。和操作系统有关,每个操作系统都有固定的值,例如我使用的。以本机为例,抓取本地流量数据包,等网络抓包工具,可以捕获到后门的。通过查看心跳包获取一般。4个数字或者字母组成。
常见Webshell&重大漏洞流量特征解密流量工具),从零基础到精通,收藏这篇就够了!
leah126的博客
04-16 1050
实战攻防,流量分析绝对是绕不开的坎。但说实话,满屏加密流量,是救命稻草还是误报陷阱,真不好说。这篇文章,咱们就来扒一扒那些年我们追过的“加密流量”,顺便分享几个解密工具,希望能帮你拨开云雾见月明。
【企业安全】:有效防御Webshell-Bypass的最佳实践策略
Webshell-Bypass是一种针对Web应用程序的攻击技术,旨在绕过安全防护措施,执行未授权的恶意代码。这种威胁对任何在线服务来说都是严重的问题,因为它可能让攻击者完全控制服务器,窃取敏感数据,或发动进一步的恶意...
渗透测试入门—— 常见术语概述
weixin_46694260的博客
12-26 9792
00x1 前言 刚入门小白,收集了一些渗透术语,废话不多说。 00x2 渗透术语 1.脚本 动态网站(如:asp,php,jsp)linux, python 2.网站 2.1静态网站:与后台交互比较少,如html) 2.2动态网站:使用动态脚本编写 如:asp,php,jsp,交互方便但是安全性不高,如果代码过滤不严格可能会导致漏洞最终导致后台linux被别人随意操作 3.http协议 http(HyperText Transfer Protocol),超文本传输协议。是因特网上应用最为广泛的一种网络传
网络攻击与防范—术语和工具介绍
qq_50860232的博客
12-29 5744
DDOS/sql注入/DDL注入/Script kiddie/肉鸡/蠕虫病毒/跨站XSS/渗透测试/提权/爆破/ARP欺骗/域名劫持/撞库/外挂/................
DAws:跨平台安全系统绕过的高级Web Shell
Shellshock是Bash的一个重大安全漏洞(CVE-2014-6271),该漏洞允许攻击者通过注入恶意代码到环境变量来远程执行命令。这个漏洞在2014年被发现,由于其严重性,成为了关注的焦点。 #### 7. XOR加密 异或(XOR)是一...
webshell流量特征
ka_ka11的博客
03-28 1327
webshell
Webshell流量特征
weixin_63180964的博客
12-22 1971
q=0.01冰蝎设置了10种User-Agent,每次连接shell时会随机选择一个进行使用。
webshell工具流量特征
qq_52973916的博客
08-11 570
这段代码基本是所有WebShell客户端链接PHP类WebShell都有的一种代码,但是有的客户端会将这段编码或者加密,而蚁剑是明文,所以较好发现,同时蚁剑也有eval这种明显的特征。冰蝎与webshell建立连接的同时,javaw也与目的主机建立tcp连接,每次连接使用本地端口在49700左右,每连接一次,每建立一次新的连接,端口就依次增加。由于蚁剑中包含了很多加密、绕过插件,所以导致很多流量被加密后无法识别,但是蚁剑混淆加密后还有一个比较明显的特征,即为参数名大多以。冰蝎中,任何请求,最终都会调用。
Webshell管理工具流量特征
w2361734601的博客
04-29 2708
Webshell流量特征工具而异,但通常包含加密、固定参数或异常协议等行为。通过结合特征检测和行为分析,可有效识别攻击。防御需多层联动,从流量监控到文件管理,形成完整防护体系。​​防御核心​​:早发现、早阻断、早溯源。
webshell流量分析
qq_61740845的博客
11-28 1483
冰蝎内置了17种ua头,每次连接shell都会随机一个进行使用,如果发现历史流量中同一个IP访问URL的时候,命令了以下列表中的多个ua头,可以基本确定为冰蝎。(img-1eSYCSDC-1732796753166)]\TP\image-20241128195740195.png)2)服务器使用随机数 MD5 的高16位作为密钥,存储到会话的 $_SESSION 变量中,并返回密钥给攻击者。1)客户端把待执行命令作为输入,利用 AES 算法或 XOR 运算进行加密,并发送至服务端;
Webshell 流量特征分析
qq_69775412的博客
09-22 1693
主要利用方式:eval函数参数名:z1、z2、z3。z0用于设置环境变量、z1为密码、z2为执行的命令。加密方式: base64加密、url编码User-Agent: 百度的或者是火狐的。其他:下面几个环境变量也可以作为流量特征来进行研判分析。蚁剑目前的流量分析,都是没有使用编码器和解码器的,而蚁剑相比于菜刀的优势就在于这个编码器和解码器,能够更方便的隐藏自己,后面有想进一步了解的小伙伴可以点个关注哟。@ini_set。
Webshell工具流量特征分析(菜刀,蚁剑,冰蝎,哥斯拉)
热门推荐
告白的博客
05-31 3万+
0x00 前言 使用各种的shell工具获取到目标权限,即可进行数据操作,今天来简要分析一下目前常使用的各类shell管理工具流量特诊,帮助蓝队同学在风险识别上快速初值 0x01 中国菜刀流量分析 0x02 ......
webshell客户端流量特征
buffedon的博客
07-14 5272
webshell客户端流量特征概述:1. 冰蝎2. 中国菜刀2011,2014版本2016版本3. Cknife4. 蚁剑5. 哥斯拉 webshell客户端 用于webshell后门和攻击者之间的通信程序,我们可以通过webshell客户端的流量来判断服务器上是否存在Webshell后门。 概述: 中国菜刀:流量特征比较明显,2011,2014版本中,流量中有的php代码,asp代码是明文形式,jsp代码有固定格式,容易被检测出来。2016版本隐蔽性增强,对php,asp代码增加了混淆,还对ASP代码进行
常见漏洞流量特征
m0_62207482的博客
02-28 3034
如果url上有大量的../../../../../../关键字符就有可能攻击者利用目录遍历来攻击,也要结合../后面是什么目录,若是敏感目录或者文件(例如:/etc/passwd、php后缀、conf后缀等)就要着重看一下,或者url上是各种编码,要进行解码进行查看内容。例 http://127.0.0.1/pikachu/vul/ssrf/ssrf_curl.php?()、load_file()、seelp()、length()、exp()、group by()、substr()、and、or等函数。
蓝队必知秘诀-Webshell流量特征
He1lOeCho的博客
03-10 2054
临近Hw最近又开始大批量招收一次性蓝队成员了,笔者准备蹭一下这波流量,特意整理了这篇webshell流量特征的文章希望对大家有所帮助,祝大家找到价格高,结款快的机构。
常见webshell工具流量特征
最新发布
05-30
常见WebShell工具流量特征 - **ASP类WebShell流量特征** 蚁剑(AntSword)与菜刀等工具在ASP类WebShell流量中表现出相似性。例如,常用的函数如`OnError ResumeNext`、`Response.End`、`Response.Write`等经常...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

AI小模型

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值