首页 > 系统相关 >常用的webshell管理工具的流量特征 4

常用的webshell管理工具的流量特征 4

时间:2023-06-12 12:55:49浏览次数:49  
标签:webshell 加密 base64 管理工具 流量 POST z0 payload

一、菜刀流量特征
最开始是明文传输,后来采用base64加密:

PHP类WebShell链接流量

如下:

第一:“eval”,eval函数用于执行传递的攻击payload,这是必不可少的;

第二:(base64_decode(P O S T [ z 0 ] ) ) , ( b a s e 6 4 d e c o d e ( _POST[z0])),(base64_decode(POST[z0])),(base64 ecode(_POST[z0]))将攻击payload进行Base64解码,因为菜刀默认是使用Base64编码,以避免被检测;

第三:&z0=QGluaV9zZXQ…,该部分是传递攻击payload,此参数z0对应$_POST[z0]接收到的数据,该参数值是使用Base64编码的,所以可以利用base64解码可以看到攻击明文。

注:

1.有少数时候eval方法会被assert方法替代。

2.P O S T 也会被 _POST也会被、POST也会被_GET、$_REQUEST替代。
3.z0是菜刀默认的参数,这个地方也有可能被修改为其他参数名。

 

 

二、蚁剑(PHP用base64加密)
PHP类WebShell链接流量

将蚁剑的正文内容进行URL解码后,流量最中明显的特征为@ini_set(“display_errors”,“0”);这段代码基本是所有WebShell客户端链接PHP类WebShell都有的一种代码,但是有的客户端会将这段编码或者加密,而蚁剑是明文,所以较好发现,同时蚁剑也有eval这种明显的特征。

蚁剑绕过特征流量

由于蚁剑中包含了很多加密、绕过插件,所以导致很多流量被加密后无法识别,但是蚁剑混淆加密后还有一个比较明显的特征,即为参数名大多以“_0x…=”这种形式(下划线可替换为其他)所以,以_0x开头的参数名,后面为加密数据的数据包也可识别为蚁剑的流量特征。

 

 

三、冰蝎(AES对称加密)
通过HTTP请求特征检测

1、冰蝎数据包总是伴随着大量的content-type:application什么什么,无论GET还是POST,请求的http中,content-type为application/octet-stream。

2、冰蝎3.0内置的默认内置16个ua(user-agent)头。

3、content-length 请求长度,对于上传文件,命令执行来讲,加密的参数不定长。但是对于密钥交互,获取基本信息来讲,payload都为定长。

 

 

四、哥斯拉(base64加密)

特征:

1、发送一段固定代码(payload),http响应为空

2、发送一段固定代码(test),执行结果为固定内容

3、发送一段固定代码(getBacisInfo)

标签:webshell,加密,base64,管理工具,流量,POST,z0,payload
From: https://www.cnblogs.com/rxrxrx/p/17474735.html

相关文章

  • 公众号的长尾流量
    编辑导语:近年,微信公众号的分发机制有所改变,抓住长尾流量对创作者而言就变得愈发重要。这篇文章讲述了公众号长尾流量的含义和来源,以及获取长尾流量的5种方法,希望对你有所帮助。公众号这款产品,这几年处境极为尴尬,很多人看衰它。但是无论如何,每天仍然有3.9亿人打开微信公众号,这个数据......
  • 冰蝎、蚁剑、哥斯拉的流量特征
    冰蝎、蚁剑、哥斯拉的流量特征1.蚁剑流量特征1.1蚁剑webshell静态特征蚁剑中php使用assert、eval执行;asp只有eval执行;在jsp使用的是Java类加载(ClassLoader),同时会带有base64编码解码等字符特征。1.2蚁剑webshell动态特征我们使用一句话木马上传webshell,抓包后会发现每个......
  • nginx流量带宽等请求状态统计( ngx_req_status)
    介绍ngx_req_status用来展示nginx请求状态信息,类似于apache的status,nginx自带的模块只能显示连接数等等信息,我们并不能知道到底有哪些请求、以及各url域名所消耗的带宽是多少。ngx_req_status提供了这些功能.功能特性按域名、url、ip等等统计信息统计总流量统计当前带宽\峰值带宽统......
  • Nginx流量复制/AB测试/协程
    在实际开发中经常涉及到项目的升级,而该升级不能简单的上线就完事了,需要验证该升级是否兼容老的上线,因此可能需要并行运行两个项目一段时间进行数据比对和校验,待没问题后再进行上线。这其实就需要进行流量复制,把流量复制到其他服务器上,一种方式是使用如tcpcopy引流;另外我们还可以使......
  • 机构设计之高流量QPS微服务分布式设计
    1,系统设计原则及技术指标系统-技术设计原则好系统是迭代出来的。先解决核心的问题,预测未来可能出现的问题。第一版1000人,所以单机。不要过度复杂化系统。先行的规划和设计。对现有的问题有方案,对未来系统有预案。无状态原则:无状态:对单词请求的处理,不依赖于其他的请求。......
  • 流量传感器-使用部署
    天眼-流量传感器目录天眼-流量传感器1.设备简介2.部署拓扑3.标品3.1S52产品配置4.一体化4.1一体化硬件配置5.功能介绍5.1状态监听5.2网页漏洞利用5.3规则配置5.4自定义威胁情报5.5威胁检测5.6流量记录5.7文件还原5.8抓包检测5.9常规配置5.10网络管理5.11传输设......
  • 流量削峰
    浪涌洪峰流量。第一秒流量涌入的问题。使用平滑的方式过度掉,使系统性能平滑提升。 普通的下单:下单接口会被脚本不停刷,脚本会比用户手速快秒杀验证逻辑和秒杀下单接口强关联,代码冗余度高 秒杀令牌秒杀接口需要依靠令牌才能进入令牌由秒杀活动产生秒杀活动对令牌管理......
  • linux窗口管理工具 screen
    linux窗口管理工具-screen简明教程前言screen是一个用于命令行终端切换的自由软件。用户可以通过该软件同时连接多个本地或远程的命令行会话,并在其间自由切换。其操作非常简洁易懂,这里简要记录一下基本的使用方法。背景介绍GNUScreen是一款由GNU计划开发的用于命令行终......
  • 项目管理工具----普加项目管理中间件(PlusProject )入门教程(2):如何初始化
    普加项目管理中间件是用于跨浏览器和跨平台应用程序的功能齐全的Gantt图表,可满足项目管理应用程序的所有需求,是最完善的甘特图图表库。要在页面上显示基本甘特图,请执行1. 在页面上包含PlusProject代码文件。2. 在页面上创建一个3. 使用new方法在新创建的容器中初始化PlusProje......
  • 武汉星起航揭秘亚马逊新品上架的秘籍!快速获取流量和曝光
    在亚马逊这个竞争激烈的电商平台上架新品,如何快速获取流量和曝光,成为了卖家们最为关注的话题。毕竟,流量和曝光是销售成功的关键要素。今天,武汉星起航将揭秘亚马逊卖家上架新品的热门秘籍,帮助卖家快速获得大量流量和广泛曝光,助您事业腾飞!优化产品标题和关键词产品标题是吸引买家点击......