suricata识别菜刀流量

菜刀流量识别与Web壳攻击特征分析
最新推荐文章于 2025-10-07 13:08:52 发布
原创 最新推荐文章于 2025-10-07 13:08:52 发布 · 1.2k 阅读 · 19 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #安全 #安全威胁分析

本文详细描述了菜刀流量的特征,包括PHP、ASP和ASP.NET中的payload示例,以及数据包的特征如ua头、eavl和base64编码。文章提供规则来识别菜刀流量的响应模式和编码形式,用于Webshell攻击检测。

一、捕获菜刀流量

payload特征:

PHP: <?php @eval($_POST['caidao']);?>
​
ASP: <%eval request(“caidao”)%>
​
ASP.NET: <%@ Page
Language=“Jscript”%><%eval(Request.Item[“caidao”],“unsafe”);%>

数据包流量特征:

1、请求包中:ua头为百度,火狐

2、请求体中存在eavl,base64等特征字符

3、请求体中传递的payload为base64编码,并且存在固定的QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtpZihQSFBfVkVSU0lPTjwnNS4zLjAnKXtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO307ZWNobygiWEBZIik7J,解码出来是@ini_set("display_errors","0");@set_time_limit(0);if(PHP_VERSION<'5.3.0'){@set_magic_quotes_runtime(0);};echo("X@Y");

响应文的格式为

X@Y 结果 X@Y

二、分析特征

菜刀的流量由于没有进行加密,所以各类特征非常明显,以下规则均可以将菜刀进行识别

(1)响应里面存在->|作为响应正文的开头,响应的末尾以|<-结束

(2)请求正文部分至少存在@eavl(base64_decode($_POST[z0]));可以用来识别

(3)z0参数

最低0.47元/天 解锁文章
网络攻击之-Webshell流量告警运营分析
村中少年的专栏
01-01 2174
通过流量数据包从webshell上传,webshell注入,webshell连接通信,Webshell工具利用的角度进行阐述Webshell的防御,告警研判以及处置建议
网络安全方向相关课题和材料
全网120W+关注AI拉呱,专注人工智能以及科技前沿!
10-30 1721
搜集大量网络安全行业开源项目一个是关注互联网企业/团队的安全开源项目,经企业内部实践,这些最佳实践值得借鉴。一个是来自企业安全能力建设的需求,根据需求分类,如WAF、HIDS、Git监控等。这个收集是一个长期的过程,我在GitHub创建了这个项目,专门用来收集一些优秀的甲方安全项目。还有很多很好的免费开源项目可供选择,下面列出的还只是其中很少的一部分,我将持续更新这个项目,欢迎Star。
菜刀流量特征分析
qq_44122254的博客
08-11 3064
菜刀流量分析
菜刀,蚁剑,冰蝎,哥斯拉流量特征
2301_76786857的博客
12-24 3280
菜刀,蚁剑,冰蝎,哥斯拉四大webshell工具的流量特征。
护网日薪高达2000+?真的假的?
最新发布
zz96405784848的博客
10-07 937
【摘要】网络安全行业"护网行动"薪资神话破灭,2024年常态化运营后日薪大幅缩水。文章揭露曾有艺术生12天赚3万发小红书引发行业整顿,如今日薪降至600-1000元且需12小时值班。作者吐槽零基础求职者妄想日薪2000的现象,并详细对比中国菜刀、蚁剑、冰蝎三种黑客工具的流量特征与防御策略,指出当前护网岗位要求已从" Printable("高薪")"转向专业技能考核。文末提供网络安全学习资料,强调行业正回归理性发展。(149字)
网络入侵检测系统之Suricata(七)--DDOS流量检测模型
诗酒趁年华
03-08 1615
大量变源变端口的UDP Flood会导致依靠会话转发的网络设备,性能降低甚至会话耗尽,从而导致网络瘫痪。针对 Web 服务在第七层协议发起的攻击,正常的有效的数据包 不断发出针对不同资源和页面的 HTTP 请求,并尽可能请求无法被缓存的资源(DB查询等),这样就极大加重了服务器的计算和IO资源,从而导致瘫痪。攻击者截取IP数据包后,把偏移字段设置成不正确的值,接收端在收到这些分拆的数据包后,就不能按数据包中的偏移字段值正确组合出被拆分的数据包,这样,接收端会不停的尝试,以至操作系统因资源耗尽而崩溃。
29-5 webshell 流量分析 - 菜刀
2401_83974087的博客
04-11 1222
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!一些笔者自己买的、其他平台白嫖不到的视频教程。
菜刀,蚁剑,冰蝎,哥斯拉)流量特征分析总结
weixin_54603520的博客
05-15 5448
在红蓝攻防的过程中,webshell工具的流量特征分析一直时蓝队成员需要关注的重点。
suricata如何识别蚁剑加密流量
05-25
Suricata是一个开源的入侵检测系统,它可以通过规则匹配、协议解析等方式来检测网络流量中的恶意行为。蚁剑是一款流行的中国菜刀变种,它使用了加密算法来保护控制流量,使得传统的入侵检测系统难以检测。 Suricata...
最新冰蝎,哥斯拉,蚁剑,菜刀流量特征分析与检测指南
ai0070411的博客
03-17 2467
近年来,冰蝎(Behinder)、哥斯拉(Godzilla)、蚁剑(AntSword)、菜刀(ChinaChopper)等工具仍是攻防对抗中的高频武器。本文基于最新样本(截至2024年8月),深度剖析其流量特征,并提供实战检测方法。:攻防对抗持续升级,建议结合流量特征与主机日志进行联动分析。:检测规则库与样本下载。
NIDS——suricata(二)
weixin_58666006的博客
09-11 983
利用suricata识别常用的攻击程序的流量,如蚁剑、冰蝎、菜刀
流量特征分析——蚁剑、菜刀、冰蝎、哥斯拉
Sgirll的博客
07-22 1万+
通过对这三种常见的网络攻击工具流量特征的分析,我们可以更好地了解它们在网络流量中的表现。同时,持续的学习和了解新兴攻击工具的流量特征也是保持网络安全的重要一环。哥斯拉的数据包中包含了特定的标记,如"XORHEAD"和"XORBODY",用于标识该数据包是哥斯拉的控制命令。此外,哥斯拉还使用了一种自定义的二进制协议,在通信中传输各种类型的数据。本文将重点研究菜刀、蚁剑和冰蝎这三种常见的网络攻击工具,分析它们在流量中留下的痕迹和特征,以便网络管理员和安全专家能够更好地识别和对抗这些工具所带来的潜在威胁。
冰蝎、菜刀、蚁剑、哥斯拉流量特征
故事讲予风听
07-18 3700
菜刀,蚁剑,冰蝎,哥斯拉
Suricata + Wireshark离线流量日志分析
weixin_51525416的博客
10-06 2808
Suricata + Wireshark离线流量日志分析
菜刀、冰蝎、蚁剑、哥斯拉的流量特征
热门推荐
eternitymd的博客
04-29 2万+
菜刀流量特征(最开始是明文传输,后来采用base64加密):PHP类WebShell链接流量 如下图: 第一:“eval”,eval函数用于执行传递的攻击payload,这是必不可少的; 第二:(base64_decode($_POST[z0])),(base64_decode($_POST[z0]))将攻击payload进行Base64解码,因为菜刀默认是使用Base64编码,以避免被检测; 第三:&z0=QGluaV9zZXQ...,该部分是传递攻击payload,此参数z0对应$_
菜刀、蚁剑、冰蝎、哥斯拉特征码
single_g_l的博客
08-04 3102
3,请求体中传递的payload为base64编码,并且存在固定的QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtpZihQSFBfVkVSU0lPTjwnNS4zLjAnKXtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO307ZWNobygiWEBZIik7J。2,请求体中存在eavl,base64等特征字符。1,请求包中:ua头为百度,火狐。...
wireshark流量分析
weixin_44414845的博客
11-23 1892
wireshark流量分析一、wireshark捕获过滤器二、显示过滤器三、跟踪TCP流四、导出HTTP对象五、统计模块使用六、HTTP状态码七、菜刀通讯特征1.通过POST方式发送攻击者的控制指令2.菜刀流量的简单分析3.通过回显判断菜刀执行的操作八、提数wireshark数据中的文件1.提取zip文件2.提取 doc文件 一、wireshark捕获过滤器 捕获过滤器就是一个表达式,配置与抓包之...
Hvv常见流量特征(通俗易懂好记)
2201_75341517的博客
06-03 2207
webshell流量特征,冰蝎,蚁剑,哥斯拉,菜刀流量特征,hw
流量分析与NIDS系统之Suricata检测TCP和ICMP
没有网络安全就没有国家安全
03-21 1143
流量分析与NIDS系统之Suricata检测TCP和ICMP
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值