渗透测试-菜刀冰蝎蚁剑哥斯拉等webshell工具及特征分析
菜刀冰蝎蚁剑哥斯拉等webshell工具及特征分析
文章目录
- 菜刀冰蝎蚁剑哥斯拉等webshell工具及特征分析
- 前言
- Webshell简介
- 中国菜刀
- 菜刀webshell的静态特征
- 菜刀webshell的动态特征
- 蚁剑
- 蚁剑webshell静态特征
- 蚁剑webshell动态特征
- 默认编码连接时
- 使用base64编码器和解码器时
- 冰蝎
- 冰蝎webshell木马静态特征
- 冰蝎2.0 webshell木马动态特征
- 冰蝎3.0 webshell木马动态特征
- 哥斯拉
- 哥斯拉webshell木马静态特征
前言
在测试过程中,我们经常会运到各种webshell管理工具,这里我介绍几种常见的webshell工具给大家。
Webshell简介
webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。使用方法简单,只需上传一个代码文件,通过网址访问,便可进行很多日常操作,极大地方便了使用者对网站和服务器的管理。
最普通的一句话木马:
- <?php @eval($_POST['shell']);?>
- <?php system($_REQUEST['cmd']);>
中国菜刀
中国菜刀(Chopper)是一款经典的网站管理工具,具有文件管理、数据库管理、虚拟终端等功能。
它的流量特征十分明显,现如今的安全设备基本上都可以识别到菜刀的流量。现在的菜刀基本都是在安全教学中使用。
github项目地址:https://github.com/raddyfiy/caidao-official-version
由于菜刀官方网站已关闭,现存的可能存在后门最好在虚拟机运行,上面项目已经进行了md5对比没有问题。
菜刀webshell的静态特征
菜刀使用的webshell为一句话木马,特征十分明显
常见一句话(Eval):
PHP, ASP, ASP.NET 的网站都可以:
PHP: <?php @eval($_POST['caidao']);?>
ASP: <%eval request(“caidao”)%>
ASP.NET: <%@ Page Language=“Jscript”%><%eval(Request.Item[“caidao”],“unsafe”);%>
菜刀webshell的动态特征
请求包中:
ua头为百度爬虫
请求体中存在eavl,base64等特征字符
请求体中传递的payload为base64编码,并且存在固定的QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtpZihQSFBfVkVSU0lPTjwnNS4zLjAnKXtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO307ZWNobygiWEBZIik7J
请求体中执行结果响应为明文,格式为X@Y 结果 X@Y之中
蚁剑
AntSword(蚁剑)是一个开放源代码,跨平台的网站管理工具,旨在满足渗透测试人员以及具有权限和/或授权的安全研究人员以及网站管理员的需求。
github项目地址:https://github.com/AntSwordProject/antSword
蚁剑webshell静态特征
https://github.com/AntSwordProject/AwesomeScript蚁剑官方为我们提供了制作好的后门,官方的脚本均做了不同程度“变异”,蚁剑的核心代码是由菜刀修改而来的,所有普通的一句话木马也可以使用。
Php中使用assert,eval执行, asp 使用eval ,在jsp使用的是Java类加载(ClassLoader),同时会带有base64编码解码等字符特征
蚁剑webshell动态特征
默认编码连接时
这里我们直接使用菜刀的一句话webshell
每个请求体都存在@ini_set(“display_errors”, “0”);@set_time_limit(0)开头。并且存在base64等字符
响应包的结果返回格式为 随机数 结果 随机数
使用base64编码器和解码器时
蚁剑会随机生成一个参数传入base64编码后的代码,密码参数的值是通过POST获取随机参数的值然后进行base64解码后使用eval执行
响应包的结果返回格式为 随机数 编码后的结果 随机数
冰蝎
冰蝎是一款动态二进制加密网站管理客户端。
github地址:https://github.com/rebeyond/Behinder
冰蝎文件夹中,server 文件中存放了各种类型的木马文件
冰蝎webshell木马静态特征
这里主要分析3.0版本的
采用采用预共享密钥,密钥格式为md5(“admin”)[0:16], 所以在各种语言的webshell中都会存在16位数的连接密码,默认变量为k。
在PHP中会判断是否开启openssl采用不同的加密算法,在代码中同样会存在eval或assert等字符特征
在aps中会在for循环进行一段异或处理
在jsp中则利用java的反射,所以会存在ClassLoader,getClass().getClassLoader()等字符特征
冰蝎2.0 webshell木马动态特征
在了解冰蝎3.0之前,先看看2.0是怎么交互等
2.0中采用协商密钥机制。第一阶段请求中返回包状态码为200,返回内容必定是16位的密钥
Accept: text/html, image/gif, image/jpeg, *; q=.2, /; q=.2
建立连接后 所有请求 Cookie的格式都为: Cookie: PHPSESSID=; path=/;
冰蝎3.0 webshell木马动态特征
在3.0中改了,去除了动态密钥协商机制,采用预共享密钥,全程无明文交互,密钥格式为md5(“admin”)[0:16],但还是会存在一些特征
在使用命令执行功能时,请求包中content-length 为5740或5720(可能会根据Java版本而改变)
每一个请求头中存在Pragma: no-cache,Cache-Control: no-cache
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,/;q=0.8,application/signed-exchange;v=b3;q=0.9
哥斯拉
哥斯拉继菜刀、蚁剑、冰蝎之后具有更多优点的Webshell管理工具
github地址:https://github.com/BeichenDream/Godzilla
哥斯拉的webshell需要动态生成,可以根据需求选择各种不同的加密方式
哥斯拉webshell木马静态特征
选择默认脚本编码生成的情况下,jsp会出现xc,pass字符和Java反射(ClassLoader,getClass().getClassLoader()),base64加解码等特征
php,asp则为普通的一句话木马
哥斯拉webshell动态特征
所有请求中Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,/;q=0.8
所有响应中Cache-Control: no-store, no-cache, must-revalidate,
以上两个只能作为弱特征参考
同时在所有请求中Cookie中后面都存在;特征
渗透测试-菜刀冰蝎蚁剑哥斯拉等webshell工具及特征分析相关推荐
- [网络安全自学篇] 八十一.WHUCTF之WEB类解题思路WP(文件上传漏洞、冰蝎蚁剑、反序列化phar)
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步.前文分享了WHUCTF部分题目,包括代码审计.文件包含.过滤绕过.SQL注入.这篇文 ...
- 渗透测试-流量加密之冰蝎蚁剑
文章目录 前言 冰蝎 PHP冰蝎马 通信数据包 冰蝎初体验 冰蝎攻与防 蚁剑 蚁剑的安装 蚁剑初体验 蚁剑编码器 蚁剑攻与防 总结 前言 一句话木马是一般是指一段短小精悍的恶意代码,这段代码可以用作一 ...
- 蚁剑哥斯拉burpsuite流量记录
文章目录 蚁剑 php 测试连接发包编码器 默认设置 base64 chr chr16 rot13 解码后 解码器 base64 rot13 哥斯拉 php EVAL_XOR_BASE64 XOR_B ...
- [网络安全自学篇] 六十三.hack the box渗透之OpenAdmin题目及蚁剑管理员提权(四)
在撰写这篇文章之前,我先简单分享下hack the box实验感受.hack the box是一个在线渗透平台,模拟了真实环境且难度较大,各种Web渗透工具及操作串联在一起,挺有意思的.本文详细讲解了 ...
- 网络安全-《黑客秘笈渗透测试实用指南(第2版)》工具安装部分
后门制造工厂 ● Patch PE, ELF, Mach-O 二进制文件注入shellcode git clone https://github.com/secretsquirrel/the-back ...
- 【每天学习一点新知识】菜刀、冰蝎、蚁剑、哥斯拉webshell工具分析
什么是webshell已经在之前的文章里做过讲解了,这里就不再赘述 附上链接:[每天学一点新知识]getshell???webshell???_RexHarrr的博客-CSDN博客 目录 中国菜刀 菜 ...
- DVWA-文件上传全等级绕过(一句话木马+中国菜刀+蚁剑)
DVWA文件上传 前言 一.low级别 1.1 一句话木马 1.2 中国菜刀使用 1.3 蚁剑 二.Medium级别 三.High级别 四.Impossible级别 前言 文件上传漏洞是对于上传文件的 ...
- 蚁剑的下载、安装与使用
今天继续给大家介绍渗透测试相关知识,本文主要内容是蚁剑的下载.安装与使用. 免责声明: 本文所介绍的内容仅做学习交流使用,严禁利用文中技术进行非法行为,否则造成一切严重后果自负! 再次强调:严禁对未授 ...
- 菜刀、冰蝎、蚁剑、哥斯拉的流量特征
干货|菜刀.冰蝎.蚁剑.哥斯拉的流量特征 文章目录 干货|菜刀.冰蝎.蚁剑.哥斯拉的流量特征 菜刀流量特征 蚁剑(PHP用base64加密): 冰蝎(AES对称加密): 哥斯拉(base64加密): ...
最新文章
- java soap协议头_java – 服务器无法识别HTTP标头“SOAPAction”的值
- Oracle CDC配置案例
- python 的* 代表元组 和**代表字典用法
- chocolatey的使用
- VTK:相交线用法实战
- 利用Simple-RTMP-Server搭建RTMP和HLS直播服务(上)
- 关于js渲染网页时爬取数据的思路和全过程(附源码)
- 统计百度网盘文件个数 V3
- javaweb应用开发与实践pdf_基于阿里云打造「云原生」Web应用——「懒猪行」Web应用开发实践...
- Caused by: java.lang.NoClassDefFoundError: net/sf/ezmorph/Morpher
- H3C 路由过滤与路由引入
- 一个td里 两个div重叠
- Delphi中WebBrowser(或者EmbeddedWebBrowser)控件打开部分网站报“Invalid floating point operation”异常的解决方法...
- 不到100行代码搞定Python做OCR识别身份证,文字等各种字体
- FreePiano下载与使用
- HTML5生日快乐代码 (烟花蛋糕+3D相册) HTML+CSS+JavaScript
- java加锁_JAVA最好的加锁方法是什么
- 执着女股民:20年炒一只股票 翻几十倍很轻松
- CentOS 出现 No packages marked for update
- 使用Arduino连接一个LCD显示屏