流量特征分析--------------- cs、菜刀、蚁剑、冰蝎

已于 2023-11-24 15:17:35 修改
阅读量3.2k 收藏 18
点赞数 5
CC 4.0 BY-SA版权
文章标签: 前端
于 2023-11-16 17:18:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_63278311/article/details/134446689
本文分析了CS流量与正常HTTP通信的不同特征,包括心跳包定时、域名/IP处理、指令响应方式、数据隐藏以及恶意工具如菜刀、蚁剑和冰蝎的通信行为,特别关注了X-Forwarded-For头伪造、Base64编码和AES加密等安全问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

CS流量特征

对比正常的http流量,CS的http通信流量具有以下几个特征:

一. 心跳包特征

1) 间隔一定时间,均有通信,且流级上的上下行数据长度固定;

二. 域名/IP特征

1) 未走CDN、域前置的,域名及IP暴露

2) 走CDN、域前置的,真实IP会被隐藏;

三. 指令特征

1) 下发指令时,通过心跳包接收指令,这时,server端返回的包更长,甚至包含要加载的dll模块数据。

2) 指令执行完后,client端通过POST请求发送执行的结果数据,body部分通过加密和base64编码。

3) 不同指令,执行的时间间隔不一样,可以通过POST请求和GET请求的间隔进行判断。

四. 数据特征

1) 在请求的返回包中,通信数据均隐藏在jqeury*.js中。

菜刀:

伪造 X-Forwarded-For头,每次利用X-Forwarded-For头都会不同

执行了 base64_decode 函数对 z0 进行 base64 后,经过 eval 函数执行命令

QGluaV9

@ini_set("display_errors"

蚁剑:

如果用默认的蚁剑测试,连接时会请求两次

其请求体只是经过 url 编码

@ini_set("display_errors"

在执行命令,文件操作等地方会有0x开头的参数

冰蝎:

消息体内容采用 AES 加密

流量会以时间的方式生成长度 16 的随机 key

中间结果字符串 assert|eval("phpinfo();") 此数据由冰蝎加载器发出的,已经定义好的

加密 WebShell 过杀软
悦分享
08-03 2448
中国是一款开源的跨平台网站管理工具,它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。中国推崇模块化的开发思想,遵循开源,就要开得漂亮的原则, 致力于为不同层次的人群提供最简单易懂、方便直接的代码展示及 其修改说明,努力让大家可以一起为这个项目贡献出力所能及的点滴,让这款工具真正能让大家用得顺心、舒适,让它能为大家施展出最人性化最适合你的能力!通俗的讲:中国与中国菜刀相比,界面更加美观、功能更加齐全,并且自定义的程度更高且开放源代码。...
【工具及入侵检测篇】网络安全面试
大河之犬的博客
04-08 4933
③如果通过“Welcome Banner”无法确定应用程序版本,那么nmap会再尝试发送其他的探测包(即从nmap-services-probes中挑选合适的probe),将probe得到回复包与数据库中的签名进行对比。注意需要处理一下cs服务器,需要自定义一个profile文件,这是因为,云函数在与teamserver通信的时候会进行一些编码操作,对应的我们cs服务器需要对其相应的解码操作,因此需要创建一个profile文件(处理一下数据),cs服务器才能有命令执行成功的回显。
CS的流量行为特征
门柚的博客
07-26 6525
CS的流量行为特征
【阿一网络安全】CS流量特征
Ayixy的博客
06-26 574
在使用cobalt strike下达指令时,会出现post请求/sumbit.php?id=xxx的特征,该特征可以判断。和操作系统有关,每个操作系统都有固定的值,例如我使用的操作系统为。和操作系统有关,每个操作系统都有固定的值,例如我使用的操作系统为。和操作系统有关,每个操作系统都有固定的值,例如我使用的。以本机为例,抓取本地流量数据包,等网络抓包工具,可以捕获到后门的。通过查看心跳包获取一般。4个数字或者字母组成。
常见Webshell&重大漏洞的流量特征(附解密流量工具)
最新发布
A1_3_9_7的博客
04-27 1041
攻防演练中,经常会看到一些加密的流量,又分不清楚是不是误报,本文总结了一些常见的流量特征,附流量解密工具。
【流量分析-CS-HTTP协议-源码特征】
2301_76261573的博客
05-21 1679
完成了继mfs监听的,又一个基于cs的运行后门和可视化的监听
cs流量特征隐藏
renyizou的博客
11-16 1732
转载mark一下 https://xz.aliyun.com/t/9542https://xz.aliyun.com/t/9542
Cobalt Strike(CS)流量分析
小千安全
04-21 8472
为了识别 Cobalt Strike 生成的 HTTPS 流量,可以收集不同 TLS 实现的 JA3S 值,构建 JA3S 签名库,并结合其他特征和行为进行综合分析和判断。同时,反编译CS的源代码也可以得知,92L对应于x86位的木马,而93L对应于x64位的后门。在 HTTPS 协议的 Client Hello 和 Server Hello 阶段,都包含了 JA3S 值传输过程过程中会有 ja3,这个值在系统上是固定的,win10是一种的 但win11是另一种 他们取决于操作系统。
CS-流量通讯特征修改-端口&store证书&流量通讯规则
金灰的博客
06-25 1489
免责声明:本文仅做技术交流与学习...-解决HTTP/S通讯证书及流量特征被特征标示问题红队进行权限控制,主机开始限制出网,尝试走常见出网协议http/https,结果流量设备入侵检测检测系统发现异常,尝试修改工具指纹特征加密流量防止检测,结果被定位到控制服务器,再次使用CDN,云函数,第三方上线等进行隐藏保证权限维持。
菜刀冰蝎、哥斯拉的流量特征
eternitymd的博客
04-29 2万+
菜刀流量特征(最开始是明文传输,后来采用base64加密):PHP类WebShell链接流量 如下图: 第一:“eval”,eval函数用于执行传递的攻击payload,这是必不可少的; 第二:(base64_decode($_POST[z0])),(base64_decode($_POST[z0]))将攻击payload进行Base64解码,因为菜刀默认是使用Base64编码,以避免被检测; 第三:&z0=QGluaV9zZXQ...,该部分是传递攻击payload,此参数z0对应$_
红队专题-与维持隐匿Privilege Escalation
aming小老弟
10-27 1661
高权限不仅能对更多文件进行增删改查的操作,方便进一步收集主机系统中的敏感信息, system权限也可以提取内存中的密码Hash,为进一步的渗透提供更多信息。权限提升是从初始访问权限(通常是标准用户或应用程序帐户)一直提升到administrator, root甚至SYSTEM访问权限的艺术。常见技术或攻击手段来获得高权限帐户访问权限。用于检测和利用不同权限提升技术的手动方法,但会提到可以完成相同工作并节省您一些时间的自动化工具。 完美,它指向我们的有效负载。 使用net(也是默认安装的)启动此服务以获得
webshell使用与流量分析(含数据包)
hackzkaq的博客
04-29 4560
零基础学黑客,搜索公众号:白帽子左一 作者:掌控安全学员-逍遥子 一、菜刀 1.使用方法 菜刀的使用简单,将一句话木马上传到目标,然后直接使用菜刀连接即可,菜刀主要可以对目标进行虚拟终端,文件操作,数据库操作等。 2.流量分析 1.当菜刀和服务器连接后:最开的的两次流量通信,便产生了大量的数据信息。且使用了base64的方式进行编码 2.对数据解码,发现第一的数据是获取设备的信息,第二段数据是写入了一段新的木马,对第二段的base64编码进行转码整理后得到; @ini_set("displa
CobalStrike(CS)流量分析
热爱学习,喜欢折腾!
10-08 1252
而Cobalt Strike 3.0已经不再使用Metasploit框架而作为一个独立的平台使用,它分为客户端与服务端,服务端是一个,客户端可以有多个,可被团队进行分布式协团操作。Cobalt Strike集成了端口转发、服务扫描,自动化溢出,多模式端口监听,win exe木马生成,win dll木马生成,java木马生成,office宏病毒生成,木马捆绑;仅供学习参考使用,请勿用作违法用途,否则后果自负。
应急响应-CS流量分析&心跳指令&特征提取
SuperherRo的博客
04-13 3594
战后-流量分析-CS
笔记:流量特征分析
02-22 887
笔记:流量特征分析
流量特征分析——菜刀冰蝎、哥斯拉
Sgirll的博客
07-22 1万+
通过对这三种常见的网络攻击工具流量特征分析,我们可以更好地了解它们在网络流量中的表现。同时,持续的学习和了解新兴攻击工具的流量特征也是保持网络安全的重要一环。哥斯拉的数据包中包含了特定的标记,如"XORHEAD"和"XORBODY",用于标识该数据包是哥斯拉的控制命令。此外,哥斯拉还使用了一种自定义的二进制协议,在通信中传输各种类型的数据。本文将重点研究菜刀冰蝎这三种常见的网络攻击工具,分析它们在流量中留下的痕迹和特征,以便网络管理员和安全专家能够更好地识别和对抗这些工具所带来的潜在威胁。
Webshell工具的流量特征分析菜刀冰蝎,哥斯拉)
热门推荐
告白的博客
05-31 3万+
0x00 前言 使用各种的shell工具获取到目标权限,即可进行数据操作,今天来简要分析一下目前常使用的各类shell管理工具的流量特诊,帮助蓝队同学在风险识别上快速初值 0x01 中国菜刀流量分析 0x02 ......
[玄机]流量特征分析-流量分析
网安日记本的博客
07-31 1万+
流量特征分析-流量分析题目做法及思路解析(个人分享)
菜刀流量特征分析
qq_44122254的博客
08-11 2937
菜刀流量分析
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值