0x01 开场白:流量分析,安全狗的"照妖镜"还是"放大镜"?
实战攻防,流量分析绝对是绕不开的坎。但说实话,满屏加密流量,是救命稻草还是误报陷阱,真不好说。这篇文章,咱们就来扒一扒那些年我们追过的“加密流量”,顺便分享几个解密小工具,希望能帮你拨开云雾见月明。
0x02 正戏开锣:流量里的秘密,远控C2和 Webshell 的 “爱恨情仇”
远控C2:"幽灵舰队"的信号与密码
Cobalt Strike (CS):"影子经纪人"的流量暗语
- 心跳包: 这玩意儿就像间谍的定期汇报,没它,指挥部怎么知道你还活着?
- URL路径和User-Agent: 路径藏指令,UA露马脚。老版本CS那固定的UA头,简直就是"我是CS,快来抓我"的活招牌。
- Checksum8 (92L 93L): CS源码里的"指纹",改都没改就上线,也太不拿安全研究员当回事了吧?
魔改CS? 没问题,提取样本,反编译走起。只要是程序,就必然留下痕迹。
Metasploit Framework (MSF):"老牌特工"的经典套路
- 默认端口4444: 多少次渗透测试,倒在了修改默认端口这一步上…
- 特征字符串: “meterpreter”、“revshell”,这些词儿一冒头,八成就是MSF在搞事情。
Webshell:"后门艺术家"的隐身术
Webshell的检测,核心在于那些“高危函数”,比如eval、assert。这些家伙,一不小心就能把服务器变成黑客的游乐场。
蚁剑:"加密狂魔"的流量迷踪
- UA头:
antSword/*,或者伪装成 Chrome/Safari。但假的真不了,总有露馅的时候。 - “eval”、“eVAL”: 大小写混用,试图蒙混过关?太天真了!
@ini_set("display_errors", "0");@set_time_limit(0);: 经典开头,不是菜刀就是蚁剑。_0x...参数名: 这种命名方式,一看就是加密流量,解开看看,说不定有惊喜。[S]、[E]、[R]、[D]: 拿到shell的标志,已经开始执行系统命令了。
Payload特征: PHP用assert、eval,ASP在JSP里用eval,Java离不开Base64。
菜刀:"过气网红"的加密与伪装
老版本明文传输,现在都用Base64加密了。但万变不离其宗,抓住这几点:
- UA头: 百度或火狐,伪装得还挺像。
QGluaV9zZXQ: 攻击的"起手式",解码后见真章。- z0: 默认参数,虽然可以改,但懒人黑客太多了。
eval变assert: 换汤不换药,本质没变。
那段"经典代码",背下来,看到就报警!
QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtpZihQSFBfVkVSU0lPTjwnNS4zLjAnKXtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO307ZWNobygiWEBZIik7J
冰蝎:"UA收藏家"的流量伪装术
冰蝎1: 明文密钥协商,两次流量交互。这年头,谁还用明文?
冰蝎2: UA头多到眼花缭乱。同一个IP,UA头却一直变,肯定有问题。
冰蝎3: 省略协商过程,但UA头还在。
冰蝎4:
- User-Agent: 各种UA,"致敬"经典浏览器。
- Content-Type:
application/x-www-form-urlencoded。 - Connection:
Keep-Alive,长连接是标配。 - Accept:
application/json、text/javascript,乱七八糟,啥都想要。
流量特征: Content-Type: application/octet-stream,Accept长度一致。
端口: javaw建立TCP连接,端口号在49700左右。
PHP Webshell固定代码:
$post=Decrypt(file_get_contents("php://input"));
eval($post);
请求头:
dFAXQV1LORcHRQtLRlwMAhwFTAg/M
冰蝎3 vs 冰蝎4: 密钥处理方式不同。
哥斯拉:"Cookie怪兽"的流量足迹
- Cookie: 最后一个Cookie值以
;结尾。 - Accept:
text/html、application/xhtml+xml,啥都接受。 - Payload: JSP用xc、pass、Java反射,PHP/ASP用一句话木马。
- 响应: 三次响应,长连接。
- Cache-Control:
no-store, no-cache, must-revalidate。
Webshell检测:见招拆招,"猫鼠游戏"永不停歇
- 静态检测: 匹配特征码、危险函数。优点是快,缺点是容易被绕过。
- 动态检测: 监控进程、HTTP请求。优点是能发现未知webshell,缺点是部署成本高。
- 日志检测: 分析HTTP日志,寻找异常访问。优点是简单,缺点是容易被绕过。
Webshell防御:魔高一尺,道高一丈
- 上传目录的文件,解析成其他类型。
- 设置脚本类型文件无法读取和操作。
- 上传到单独的二级域名,禁止解析脚本。
内存马:藏在"灵魂深处"的恶意代码
原理: 修改或动态注册中间件组件,插入恶意shellcode。
判断:
- Web日志:查找可疑的Web访问日志。
- URL请求:大量相同URL、不同参数,或者页面不存在但返回200。
- Error日志:排查中间件错误日志,查找代码执行漏洞。
- 对比Web目录:返回200的URL,Web目录里却找不到对应文件?八成是内存马。
清除:
- 条件竞争改写/清除shell内容。
- 重启服务。
- 提前占用目录名。
重大漏洞:"流量照妖镜"下的原形毕露
Fastjson:JSON反序列化的"潘多拉魔盒"
原理: 恶意JSON payload,利用@type字段,传入恶意的TemplatesImpl类,执行构造函数。
不出网打法:
org.apache.tomcat.dbcp.dbcp2.BasicDataSource
com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl
流量特征: commit值为true。
Log4j:日志里的"惊天漏洞"
原理: ${jndi:rmi,远程代码执行。
Struts2:输入验证的"阿喀琉斯之踵"
原理: 构造恶意请求,绕过Struts2的控制机制。
流量特征: URL解码后查看总体含义。
Redis未授权访问:6379端口的"不设防地带"
原理: 默认配置,端口暴露在公网,跳过登陆验证,写入shell。
ThinkPHP 5.x:路由解析的"美丽陷阱"
Weblogic:T3协议反序列化的"噩梦"
Shiro:RememberMe Cookie的"甜蜜陷阱"
利用过程:
- 检索RememberMe Cookie。
- Base64解码。
- AES解密。
- 反序列化。
- 构造恶意序列化对象,伪造Cookie。
Shiro550 vs Shiro721:
- Shiro550:已知密钥碰撞。
- Shiro721:需爆破正确的key值。
流量特征:
- rememberme字段长度异常。
- Cookie中存在AES+Base64加密的Java反序列化代码。
- 返回包中存在Base64加密数据。
网络安全学习资源分享:
给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
因篇幅有限,仅展示部分资料,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,需要点击下方链接即可前往获取
读者福利 | 优快云大礼包:《网络安全入门&进阶学习资源包》免费分享 (安全链接,放心点击)
👉1.成长路线图&学习规划👈
要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
👉2.网安入门到进阶视频教程👈
很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。(全套教程文末领取哈)
👉3.SRC&黑客文档👈
大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录
SRC技术文籍:
黑客资料由于是敏感资源,这里不能直接展示哦!(全套教程文末领取哈)
👉4.护网行动资料👈
其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!
👉5.黑客必读书单👈
👉6.网络安全岗面试题合集👈
当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
所有资料共282G,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,可以扫描下方二维码或链接免费领取~
读者福利 | 优快云大礼包:《网络安全入门&进阶学习资源包》免费分享 (安全链接,放心点击)
扫一扫
1851
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
