蚁剑、冰蝎、哥斯拉流量特征分析

原创 已于 2024-08-21 11:14:54 修改 · 1k 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络

于 2024-08-19 18:54:53 首次发布

蚁剑:

1.使用了AES加密算法对数据进行加密,同时还使用了自定义的二进制协议,存在eval这种明显的特征
2.默认的USER-agent请求头 是 antsword xxx,但是 可以通过修改:/modules/request.js 文件中 请求UA绕过
3.最明显的特征为@ini_set(“display_errors”,“0”);这段代码基本是所有webshell客户端链接PHP类Webshell都有的一种代码
4.蚁剑混淆加密后还有一个比较明显的特征,即为参数名大多以"_0x"这种形式,所以以_0x开头的参数也很可能就是恶意流量。

冰蝎:

冰蝎2.0:

2.0的话一般是是随机秘钥的每次请求都是随机的秘钥的、并且是AES对称加解密的、怎么个随机法、可以这样理解:

1、冰蝎2默认Accept字段的值很特殊,而且每个阶段都一样

Accept: te/html, ima/gif, ima/jpeg, *; q=.2, /**; q=.2

2、Content-Length

Content-Length: 16, 16就是冰蝎2连接的特征

3、流量特征共分为两次get请求,第一次请求服务端产生密钥写入session,第二次请求用于获取key、然后通过每次获取的key进行aes加密再base64传输、特征的话就是每次请求都是不同的Accept、如果发现同一ip多次不同Accept就可能有问题了、

冰蝎3.0:

冰蝎3.0变了、变成固定秘钥了、变成默认的秘钥rebeyond了、但是也可以改的、并且秘钥是拿MD5(rebeyond)的MD5值的前16位作为AES的秘钥进行加密再base64传输、特征的话就是每次请求都是不同的Accept、如果发现同一ip多次不同Accept就可能有问题了、

冰蝎4.0:

冰蝎4.0就变了、是自定义传输协议的、因为传输的内容含有key:vul

最低0.47元/天 解锁文章
yggcwhat
关注
冰蝎哥斯拉流量特征
qq_53218512的博客
06-11 5676
webshell管理工具,冰蝎哥斯拉流量特征
哥斯拉冰蝎流量特征
congsec的博客
07-14 2538
网络安全攻防中,不同的攻击工具各有其独特的流量特征。本文将深入浅出地介绍哥斯拉冰蝎流量特征,并详细分析菜刀的流量特征,帮助基础小白更好地理解这些工具在网络流量中的表现。
菜刀、冰蝎哥斯拉流量特征
eternitymd的博客
04-29 2万+
菜刀流量特征(最开始是明文传输,后来采用base64加密):PHP类WebShell链接流量 如下图: 第一:“eval”,eval函数用于执行传递的攻击payload,这是必不可少的; 第二:(base64_decode($_POST[z0])),(base64_decode($_POST[z0]))将攻击payload进行Base64解码,因为菜刀默认是使用Base64编码,以避免被检测; 第三:&z0=QGluaV9zZXQ...,该部分是传递攻击payload,此参数z0对应$_
流量特征分析——、菜刀、冰蝎哥斯拉
Sgirll的博客
07-22 1万+
通过对这三种常见的网络攻击工具流量特征分析,我们可以更好地了解它们在网络流量中的表现。同时,持续的学习和了解新兴攻击工具的流量特征也是保持网络安全的重要一环。哥斯拉的数据包中包含了特定的标记,如"XORHEAD"和"XORBODY",用于标识该数据包是哥斯拉的控制命令。此外,哥斯拉还使用了一种自定义的二进制协议,在通信中传输各种类型的数据。本文将重点研究菜刀、冰蝎这三种常见的网络攻击工具,分析它们在流量中留下的痕迹和特征,以便网络管理员和安全专家能够更好地识别和对抗这些工具所带来的潜在威胁。
(菜刀,冰蝎哥斯拉流量特征分析总结
weixin_54603520的博客
05-15 5466
在红蓝攻防的过程中,webshell工具的流量特征分析一直时蓝队成员需要关注的重点。
菜刀,冰蝎哥斯拉流量特征
2301_76786857的博客
12-24 3296
菜刀,冰蝎哥斯拉四大webshell工具的流量特征
最新冰蝎哥斯拉,菜刀流量特征分析与检测指南
ai0070411的博客
03-17 2517
近年来,冰蝎(Behinder)、哥斯拉(Godzilla)、(AntSword)、菜刀(ChinaChopper)等工具仍是攻防对抗中的高频武器。本文基于最新样本(截至2024年8月),深度剖析其流量特征,并提供实战检测方法。:攻防对抗持续升级,建议结合流量特征与主机日志进行联动分析。:检测规则库与样本下载。
冰蝎、菜刀、哥斯拉流量特征
故事讲予风听
07-18 3707
菜刀,冰蝎哥斯拉
Webshell工具的流量特征分析(菜刀,冰蝎哥斯拉
热门推荐
告白的博客
05-31 3万+
0x00 前言 使用各种的shell工具获取到目标权限,即可进行数据操作,今天来简要分析一下目前常使用的各类shell管理工具的流量特诊,帮助蓝队同学在风险识别上快速初值 0x01 中国菜刀流量分析 0x02 ......
哥斯拉流量分析特征
m0_69185470的博客
04-10 648
我们在看哥斯拉最好还是要看此类的返回包更好的分析特点就在于他的16位md5值与base64和16位md5值,着重要注意因为加载器的不同会变成相应的值,但是哥斯拉的第三次连接,返回包会产生大量的数据,虽然第二次和第三次发送的数据包是一样的,但是只有第三回才会返回这么多数值,原因也很简单因为最后一回连接就是直接进入终端数据量会变大,注意根据加密的不同可能是多种加密。再后来我发现了当每一次命令执行的时候哥斯拉都会发送类似的请求,服务器会返回密文与之前的方式一样故此我们可以通过这个判断他的工具。
玄机-哥斯拉4.0流量分析
m0_73481504的博客
10-29 1936
首先要了解哥斯拉的特征弱特征:pass字段(哥斯拉必须通过某个参数来传入数据,默认为pass)、Accept字段、UA、以based64传输数据(若选择raw方式则不会有此特征)强特征:1.首次请求的固定三个数据包,不论哪种类型的shell哥斯拉在刚开始都会发起这三个请求。(第一个请求包数据很大,响应包空并设置sessionid;第二个与第三个请求都会携带cookie且有响应数据);2.cookie后分号;
菜刀,冰蝎哥斯拉流量特征
qq_51550750的博客
07-04 5066
菜刀,冰蝎哥斯拉流量特征
流量分析-哥斯拉
mrx56的博客
08-04 1265
所以特征也类似,除了raw形式传输的类型弱特征:pass字段、Accept字段、UA、以based64传输数据(若选择raw方式则不会有此特征)强特征:1.首次请求的固定三个数据包,不论哪种类型的shell哥斯拉在刚开始都会发起这三个请求。(第一个请求包数据很大,响应包空并设置sessionid;第二个与第三个请求都会携带cookie且有响应数据);2.cookie后分号;
哥斯拉v4.0流量分析
热爱学习,喜欢折腾!
10-09 1579
哥斯拉(Godzilla)是一款国内流行且优秀的红队 webshell 权限管理工具,使用 java 开发的可视化客户端,shell 支持 java、php、asp 环境,通信流量使用 AES 算法加密,具有文件管理、数据库操作、命令执行、内存马、隧道反弹等后门功能。“pass=”起始。请求包较长 响应包为0一个tcp包里面有三个http。
30-1 webshell 流量分析 - 哥斯拉
weixin_43263566的博客
03-24 685
响应包:Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0。请求包:Accept-Language: zh-CN,zh;我这里的操作是在之前已经有链接的基础上,如果是刚创建就在这个地方设置代理。链接我直接用之前的,这里我就改一下代理。
WebShell流量特征检测_哥斯拉
徐徐徐的博客
09-05 2214
XOR运算在逻辑运算之中,除了AND和OR,还有一种XOR运算,中文称为"异或运算"。它的定义是:两个值相同时,返回false,否则返回true。也就是说,XOR可以用来判断两个值是否不同。JavaScript语言的二进制运算,有一个专门的 XOR 运算符,写作^。上面代码中,如果两个二进制位相同,就返回0,表示false;否则返回1,表示true。XOR加密XOR运算有一个很奇妙的特点:如果对一个值连续做两次 XOR,会返回这个值本身。
玄机靶场 | 哥斯拉4.0流量分析
最新发布
WayneJH的博客
08-04 3574
哥斯拉4.0流量分析详解
哥斯拉流量特征已经检测思路
buffedon的博客
12-25 8754
哥斯拉流量特征已经检测思路WebShell上传特征WebShell通信特征1.User-Agent (弱特征)2.Accept(弱特征)3.Cookie (强特征)4.请求体特征 (较强特征)5.响应体特征 (强特征) 近日,网上发布了一款名为“哥斯拉”的webshell管理工具。与冰蝎类似,哥斯拉也采用了加密流量通信来躲避WAF等安全设备的检测,另外该工具自带了一些插件模块,实现了写内存webshell、与Meterpreter联动、bypass open_basedir等功能。由于哥斯拉实现了众多强大的
webshell工具-冰蝎流量特征和加密方式
qq_40898302的博客
05-25 2824
冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端,由于通信流量被加密,传统的WAF、IDS 设备难以检测,给威胁狩猎带来较大挑战。冰蝎其最大特点就是对交互流量进行对称加密,且加密密钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测。而老牌的如中国菜刀因为其流量特征太过明显,从而使用的场景越来越少。
冰蝎哥斯拉流量特征
04-23
嗯,用户想了解冰蝎哥斯拉这些WebShell工具的流量特征,可能用于安全分析或检测规则制定。首先,我需要回忆一下之前学过的相关知识,并结合提供的引用内容来整理答案。 首先,用户提到的三个工具:、冰...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值