菜刀、冰蝎、蚁剑、哥斯拉的流量特征
干货|菜刀、冰蝎、蚁剑、哥斯拉的流量特征
文章目录
- 干货|菜刀、冰蝎、蚁剑、哥斯拉的流量特征
- 菜刀流量特征
- 蚁剑(PHP用base64加密):
- 冰蝎(AES对称加密):
- 哥斯拉(base64加密):
菜刀流量特征
最开始是明文传输,后来采用base64加密:
PHP类WebShell链接流量
如下:
第一:“eval”,eval函数用于执行传递的攻击payload,这是必不可少的;
第二:(base64_decode(POST[z0])),(base64decode(_POST[z0])),(base64_decode(POST[z0])),(base64decode(_POST[z0]))将攻击payload进行Base64解码,因为菜刀默认是使用Base64编码,以避免被检测;
第三:&z0=QGluaV9zZXQ…,该部分是传递攻击payload,此参数z0对应$_POST[z0]接收到的数据,该参数值是使用Base64编码的,所以可以利用base64解码可以看到攻击明文。
注:
1.有少数时候eval方法会被assert方法替代。
2.POST也会被_POST也会被POST也会被_GET、$_REQUEST替代。
3.z0是菜刀默认的参数,这个地方也有可能被修改为其他参数名。
蚁剑(PHP用base64加密):
PHP类WebShell链接流量
将蚁剑的正文内容进行URL解码后,流量最中明显的特征为@ini_set(“display_errors”,“0”);这段代码基本是所有WebShell客户端链接PHP类WebShell都有的一种代码,但是有的客户端会将这段编码或者加密,而蚁剑是明文,所以较好发现,同时蚁剑也有eval这种明显的特征。
蚁剑绕过特征流量
由于蚁剑中包含了很多加密、绕过插件,所以导致很多流量被加密后无法识别,但是蚁剑混淆加密后还有一个比较明显的特征,即为参数名大多以“_0x…=”这种形式(下划线可替换为其他)所以,以_0x开头的参数名,后面为加密数据的数据包也可识别为蚁剑的流量特征。
冰蝎(AES对称加密):
通过HTTP请求特征检测
1、冰蝎数据包总是伴随着大量的content-type:application什么什么,无论GET还是POST,请求的http中,content-type为application/octet-stream;
2、冰蝎3.0内置的默认内置16个ua(user-agent)头
3、content-length 请求长度,对于上传文件,命令执行来讲,加密的参数不定长。但是对于密钥交互,获取基本信息来讲,payload都为定长
哥斯拉(base64加密):
特征检测
1、发送一段固定代码(payload),http响应为空
2、发送一段固定代码(test),执行结果为固定内容
3、发送一段固定代码(getBacisInfo)
菜刀、冰蝎、蚁剑、哥斯拉的流量特征相关推荐
- 渗透测试-菜刀冰蝎蚁剑哥斯拉等webshell工具及特征分析
菜刀冰蝎蚁剑哥斯拉等webshell工具及特征分析 文章目录 菜刀冰蝎蚁剑哥斯拉等webshell工具及特征分析 前言 Webshell简介 中国菜刀 菜刀webshell的静态特征 菜刀webshe ...
- [网络安全自学篇] 八十一.WHUCTF之WEB类解题思路WP(文件上传漏洞、冰蝎蚁剑、反序列化phar)
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步.前文分享了WHUCTF部分题目,包括代码审计.文件包含.过滤绕过.SQL注入.这篇文 ...
- 渗透测试-流量加密之冰蝎蚁剑
文章目录 前言 冰蝎 PHP冰蝎马 通信数据包 冰蝎初体验 冰蝎攻与防 蚁剑 蚁剑的安装 蚁剑初体验 蚁剑编码器 蚁剑攻与防 总结 前言 一句话木马是一般是指一段短小精悍的恶意代码,这段代码可以用作一 ...
- 蚁剑哥斯拉burpsuite流量记录
文章目录 蚁剑 php 测试连接发包编码器 默认设置 base64 chr chr16 rot13 解码后 解码器 base64 rot13 哥斯拉 php EVAL_XOR_BASE64 XOR_B ...
- 菜刀,蚁剑,冰蝎,哥斯拉的流量特征
蚁剑: ini_set ini_set_time ini_set_limit @ini_set("display_errors","0") 部分代码明文传输,较 ...
- 攻防兼备:中国蚁剑使用指南及特征流量
中国蚁剑是菜刀的升级版本,线现下主流的Webshell连接工具之一,有着较广泛的使用,本篇文章会教给大家蚁剑的使用方法以及不同加密方式的流量特征,兼顾攻防两端. 蚁剑下载安装参考:中国蚁剑(antSw ...
- 【每天学习一点新知识】菜刀、冰蝎、蚁剑、哥斯拉webshell工具分析
什么是webshell已经在之前的文章里做过讲解了,这里就不再赘述 附上链接:[每天学一点新知识]getshell???webshell???_RexHarrr的博客-CSDN博客 目录 中国菜刀 菜 ...
- 菜刀、蚁剑、冰蝎、哥斯拉特征码
目录 一.菜刀数据包流量特征 二.蚁剑数据包流量特征 三.冰蝎流量特征(AES加密) 四.哥斯拉(base64加密) 一.菜刀数据包流量特征 1,请求包中:ua头为百度,火狐 2,请求体中存在eavl ...
- 流量特征分析——蚁剑、菜刀、冰蝎
在网络安全领域,了解常见的攻击工具流量特征对于及时发现和应对威胁至关重要.本文将重点研究菜刀.蚁剑和冰蝎这三种常见的网络攻击工具,分析它们在流量中留下的痕迹和特征,以便网络管理员和安全专家能够更好地识 ...
最新文章
- everythingtoolbar.dll”或它的一个依赖项。_ASP.NET Core依赖注入最佳实践、提示和技巧...
- Stimulsoft Reports.Net基础教程(七):创建列式报表①
- 在 ASP.NET Core 中执行租户服务
- LeetCode 2086. 从房屋收集雨水需要的最少水桶数(贪心)
- 表格长度_知道你的成绩单是怎么打印的吗?超长Excel表格1页打印,拯救A4纸
- A Python example for HiveServer2
- 贝叶斯网络python实现_在Python中使用贝叶斯网络的实例
- 【NTC 热敏电阻与 Arduino 读取温度】
- 新一届亚马逊研究奖公布!陈怡然、陈丹琦、杨笛一、吴佳俊等华人学者入选
- 019 Linux tcpdump 抓包案例入门可真简单啊?
- BB8700 bowser net
- C语言两种方法求圆的面积与周长编程
- 网站关键词排名:关键词排名提升的5个方法!
- 英文题面翻译(30)
- nao机器人行走速度_NAO5机器人的一些使用心得
- leetcode_36.有效的数独
- PCA Whitening ZCA Whitening
- 巴别塔——问答平台调研
- CodeSmith 4.1.2 破解收藏
- SpringBoot中属性映射之开启驼峰命名