流量特征分析--------------- cs、菜刀、蚁剑、冰蝎

本文分析了CS流量与正常HTTP通信的不同特征,包括心跳包定时、域名/IP处理、指令响应方式、数据隐藏以及恶意工具如菜刀、蚁剑和冰蝎的通信行为,特别关注了X-Forwarded-For头伪造、Base64编码和AES加密等安全问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

CS流量特征

对比正常的http流量,CS的http通信流量具有以下几个特征:

一. 心跳包特征

1) 间隔一定时间,均有通信,且流级上的上下行数据长度固定;

二. 域名/IP特征

1) 未走CDN、域前置的,域名及IP暴露

2) 走CDN、域前置的,真实IP会被隐藏;

三. 指令特征

1) 下发指令时,通过心跳包接收指令,这时,server端返回的包更长,甚至包含要加载的dll模块数据。

2) 指令执行完后,client端通过POST请求发送执行的结果数据,body部分通过加密和base64编码。

3) 不同指令,执行的时间间隔不一样,可以通过POST请求和GET请求的间隔进行判断。

四. 数据特征

1) 在请求的返回包中,通信数据均隐藏在jqeury*.js中。

菜刀:

伪造 X-Forwarded-For头,每次利用X-Forwarded-For头都会不同

执行了 base64_decode 函数对 z0 进行 base64 后,经过 eval 函数执行命令

QGluaV9

@ini_set("display_errors"

蚁剑:

如果用默认的蚁剑测试,连接时会请求两次

其请求体只是经过 url 编码

@ini_set("display_errors"

在执行命令,文件操作等地方会有0x开头的参数

冰蝎:

消息体内容采用 AES 加密

流量会以时间的方式生成长度 16 的随机 key

中间结果字符串 assert|eval("phpinfo();") 此数据由冰蝎加载器发出的,已经定义好的

评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值