攻防_WebShell_常见webshell工具流量特征

最新推荐文章于 2025-04-29 23:45:56 发布
最新推荐文章于 2025-04-29 23:45:56 发布
阅读量985 收藏 20
点赞数 16
分类专栏: 攻防 文章标签: webshell工具 蚁剑 菜刀 冰蝎
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/redglare/article/details/137828075
版权

常见webshell工具

蚁剑
菜刀
冰蝎

流量特征

  菜刀
  中国菜刀 (Chopper) 是一款经典的网站连接工具支持的服务端脚本有 PHP、ASP、ASPX,具有文件管理数据库管理、虚拟终端等功能。它的流量特征较为明显国内主流防病毒软件/终端安全类软件都将中国菜刀视为黑客类工具进而加入病毒特征库隔离,因此大多都会报毒。
在这里插入图片描述
1:payload在请求体中,采用url编码+base64编码,payload部分是明文传输。
2:payload中有eval或assert、base64_decode这样的字符。
3:payload中有默认固定的&z0=QGluaV9zZXQ…这样base64加密的攻击载荷,参数z0对应$_POST[z0]接收到的数据,且固定为QGluaV9zZXQ开头。进行base64解码后可看到代码:@ini_set(“display_errors”,“0”);@set_time_limit(0);@set_magic_quotes_runtime(0);这段意思是首先关闭报错和magic_quotes,接下来去获取主机的信息。
在这里插入图片描述

最低0.47元/天 解锁文章
网络攻击之-Webshell流量告警运营分析篇
村中少年的专栏
01-01 1798
通过流量数据包从webshell上传,webshell注入,webshell连接通信,Webshell工具利用的角度进行阐述Webshell的防御,告警研判以及处置建议
WEBSHELL管理工具流量特征——基础篇
ALLEN'Blog
01-17 1871
今天给大家带来了WEBSHELL管理工具流量特征基础篇,简单介绍了菜刀这两个比较简单的流量特征,之后也会给大家带来别的WEBSHELL管理工具流量分析,如果夏欢本文希望可以一键三连支持一下。
常见webshell工具流量特征
m0_66458291的博客
01-19 3894
常见webshell工具流量的简单分析(菜刀冰蝎、哥斯拉)
常见webshell工具流量特征
weixin_75158417的博客
03-03 1020
使用AES加密+base64编码,AES使用动态密钥对通信进行加密,进行请求时内置了十几个U-A头,每次请求时会随机选择其中一个。因此当发现一个IP的请求头中的u-a头在不断的发生变化,就有可能是冰蝎。因此当发现一个ip的请求头中的u-a在频繁变换,就可能是冰蝎。3.0连接jsp的webshell的请求数据包中的content-type字段常见为application/octet-stream。使用AES加密+base64编码,取消了2.0的动态获取密钥,使用固定的连接密钥,随机数 结果 随机数。
常见webshell工具流量分析
m0_74013263的博客
03-19 904
如i=A,
webshell客户端流量特征
buffedon的博客
07-14 5085
webshell客户端流量特征概述:1. 冰蝎2. 中国菜刀2011,2014版本2016版本3. Cknife4. 5. 哥斯拉 webshell客户端 用于webshell后门和攻击者之间的通信程序,我们可以通过webshell客户端的流量来判断服务器上是否存在Webshell后门。 概述: 中国菜刀流量特征比较明显,2011,2014版本中,流量中有的php代码,asp代码是明文形式,jsp代码有固定格式,容易被检测出来。2016版本隐蔽性增强,对php,asp代码增加了混淆,还对ASP代码进行
常见WebShell客户端的流量特征
m0_49025459的博客
04-18 3217
以下的全是我在各个大佬哪里看文章做的总结-相当于我的笔记。
webshell工具流量特征
qq_52973916的博客
08-11 434
这段代码基本是所有WebShell客户端链接PHP类WebShell都有的一种代码,但是有的客户端会将这段编码或者加密,而是明文,所以较好发现,同时也有eval这种明显的特征。冰蝎webshell建立连接的同时,javaw也与目的主机建立tcp连接,每次连接使用本地端口在49700左右,每连接一次,每建立一次新的连接,端口就依次增加。由于中包含了很多加密、绕过插件,所以导致很多流量被加密后无法识别,但是混淆加密后还有一个比较明显的特征,即为参数名大多以。冰蝎中,任何请求,最终都会调用。
webshell 攻与防kill_webshell_detect-master.zip
07-25
了一套自己的方法论,本篇内容会给出我的思考方式,包括针对webshell文件 多种检测手段的攻防总结,而不会直接给- -个通用的webshell,因为没有意义,授人以渔更加重要。 最近一段时间,也看了很多认知方面的书,...
渗透测试攻防webshell大合集.zip
07-26
超千个实战webshell: 138shell antSword antSword-shells AntSwordProject asp aspx b4tm4n-toolz Backdoor Dev Shells webshellpub等等,太多了,不一一列举了,需要的下载使用。
AWD攻防比赛 webshell
04-01
webshell,通过网页获取主机资源
常见webshell连接工具流量特征总结
qq_52486507的博客
03-25 2394
1.Accep和Content-Type为弱特征且Content-type:一般为Application/x-www-form-urlencoded,这里可作为辅助特征。1.请求包中会有eval,assert, base64的特征字符(这里如果用eval方法就是eval ,如果是assert方法就是assert)1.流量最明显的特征就是会有明文是@ini_set(“display_errors”,“0”)这个函数,也会有eval这个函数。2.在请求包的Cookie中有一个非常致命的特征是会在最后出现分号。
常见Webshell&重大漏洞的流量特征(附解密流量工具
Python_0011的博客
11-10 8109
攻防演练中,经常会看到一些加密的流量,又分不清楚是不是误报,本文总结了一些常见流量特征,附流量解密工具
webshell连接工具工具流量特征
weixin_62512865的博客
11-25 526
UA弱特征所有的请求中都有:Accept:text/html,application/xhtml+xml,application/xml;所有响应中都有:Cache-Control: no-store, no-cache, must-revalidate,同时在所有请求中Cookie中后面都存在特征。
常见webshell流量分析
学生
06-27 2060
鐜鍙橀噺:
webshell流量特征
ka_ka11的博客
03-28 1194
webshell
Webshell流量特征
weixin_63180964的博客
12-22 1793
q=0.01冰蝎设置了10种User-Agent,每次连接shell时会随机选择一个进行使用。
webshell流量分析
qq_61740845的博客
11-28 1290
冰蝎内置了17种ua头,每次连接shell都会随机一个进行使用,如果发现历史流量中同一个IP访问URL的时候,命令了以下列表中的多个ua头,可以基本确定为冰蝎。(img-1eSYCSDC-1732796753166)]\TP\image-20241128195740195.png)2)服务器使用随机数 MD5 的高16位作为密钥,存储到会话的 $_SESSION 变量中,并返回密钥给攻击者。1)客户端把待执行命令作为输入,利用 AES 算法或 XOR 运算进行加密,并发送至服务端;
Webshell管理工具流量特征
最新发布
w2361734601的博客
04-29 1420
Webshell流量特征工具而异,但通常包含加密、固定参数或异常协议等行为。通过结合特征检测和行为分析,可有效识别攻击。防御需多层联动,从流量监控到文件管理,形成完整防护体系。​​防御核心​​:早发现、早阻断、早溯源。
webshell攻防之道与TSRC青藤云检测技术详解
从文件标题可以看出,本文档主要聚焦于webshell攻击与防御技术,并提供了名为"kill_webshell_detect-master"的压缩包文件,该文件可能包含与webshell检测相关的脚本、工具或代码。文档内容结合了作者在webshell检测...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

赤年

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值