首页 > 系统相关 >经典webshell流量特征

经典webshell流量特征

时间:2023-06-14 11:45:03浏览次数:45  
标签:webshell 编码器 加密 请求 default 流量 application json 经典

开门见山,不说废话

判断条件

是否符合通信的特征
请求加密的数据和响应包加密的类型一致
是否一直向同一个url路径发送大量符合特征的请求,并且具有同样加密的响应包

一 、蚁剑

特征为带有以下的特殊字段
第一个:@ini_set("display_errors","0");
第二个:eval
在编码器和解码器都是default的状态下,是最容易看出来的一种情况
可以看到在下图中,请求包和返回包都是明文。也就是说一眼就能看出来是蚁剑的流量
实际上在antword中只要编码器为default,那么请求包均为明文。

antword的编码器共有以下几种模式:default、base64、chr、chr16、rot12
在连接php的webshell时,不论编码器处于那种模式,都会出现eval字段

加密为base64:

加密为chr:

加密为chr16:

加密为rot13:

二、冰蝎

总结特征:

Accept: application/json, text/javascript, */*; q=0.01   #q=0.01
最新版本请求包没有content-type,老版本Content-Type: application/octet-stream
返回字符串和请求字符串都是加密,在拥有密钥的情况下可以使用工具解密流量(当然加密也是一种特征)
加密为default_image的时候,具有png的请求头,但是请求包中可能会出现java字样的字符
如果是json加密就是
{
"id":"1",
"body":"{
"user":"加密的payload"
}"
}

加密为default_aes

Accept: application/json, text/javascript, */*; q=0.01

请求相应包都是AES加密

加密为default_image

加密为default_json

json结构

{
"id":"1",
"body":"{
"user":"payload"
}"
}

加密为aes_imagic

三、哥斯拉

探活数据包:
	aes_base64: 请求包POST传参pass,响应包为空
	java_raw: 请求包POST传参raw数据,Content-Type: application/octet-stream,探活数据包为空

cookie的最后面有个 ;

加密为JAVA_AES_BASE64

  • 第一个通信包使用post请求发送pass参数探活,响应包为空

  • 响应包前后有各拆分为一半的大写32位MD5值

加密为JAVA_RAW

  • 探活数据包,响应包为空,请求content-type为Content-Type: application/octet-stream

标签:webshell,编码器,加密,请求,default,流量,application,json,经典
From: https://www.cnblogs.com/k1115h0t/p/17479766.html

相关文章

  • 深入理解 Istio 流量管理的超时时间设置
    环境准备部署httpbin服务:kubectlapply-fsamples/httpbin/httpbin.yaml部署sleep服务:kubectlapply-fsamples/sleep/sleep.yamlhttpbin服务作为接收请求的服务端,sleep服务作为发送请求的客户端。设置超时时间在sleep服务中向httpbin服务发出请求:export......
  • [推荐]ORACLE SQL:经典查询练手第二篇(不懂装懂,永世饭桶!)
    [推荐]ORACLESQL:经典查询练手第二篇(不懂装懂,永世饭桶!)——通过知识共享树立个人品牌。  本文与大家共同讨论与分享ORACLESQL的一些常用经典查询,欢迎大家补充,同时你认为有那些经典的也可分享出来。在本文中,对每一个问题,你要是认为有什么更好的解决方法也欢迎你及时提出。交流与......
  • [推荐]ORACLE SQL:经典查询练手第五篇(不懂装懂,永世饭桶!)
    [推荐]ORACLESQL:经典查询练手第五篇(不懂装懂,永世饭桶!) ——通过知识共享树立个人品牌。 本文与大家共同讨论与分享ORACLESQL的一些常用经典查询,欢迎大家补充,同时你认为有那些经典的也可分享出来。在本文中,对每一个问题,你要是认为有什么更好的解决方法也欢迎你及时提出。交流与......
  • 经典SQL语句大全
    经典SQL语句大全下列语句部分是Mssql语句,不可以在access中使用。SQL分类:DDL—数据定义语言(CREATE,ALTER,DROP,DECLARE)DML—数据操纵语言(SELECT,DELETE,UPDATE,INSERT)DCL—数据控制语言(GRANT,REVOKE,COMMIT,ROLLBACK)首先,简要介绍基础语句:......
  • Facebook如何将QUIC应用于数十亿流量传输
    随着IETF很快完成QUIC标准定稿,越来越多的企业和开发者投入到QUIC开发实现与部署中。阿里巴巴实现了XQUIC;B站、快手在2019年就公开了QUIC的应用实践;Akamai等CDN服务商则很早就开始拥抱QUIC,并提供相应的支持。本文来自Facebook的工程博客,详细介绍了Facebook是如何将其3/4的流量切换到......
  • 直播回顾|走进元服务,携手小强停车探索鸿蒙新流量阵地
    本期直播《“元”来如此,“服务”直达——揭秘鸿蒙新流量阵地》聚焦元服务的商业流量价值,介绍元服务提供的服务直达和卡片动态变化等轻量化服务。网约停车旗舰平台小强停车做客直播间,分享小强停车在HarmonyOS生态中,如何通过元服务为广大用户带来更加便捷易用的线上预约停车体验。快......
  • 直播回顾|走进元服务,携手小强停车探索鸿蒙新流量阵地
    本期直播《“元”来如此,“服务”直达——揭秘鸿蒙新流量阵地》聚焦元服务的商业流量价值,介绍元服务提供的服务直达和卡片动态变化等轻量化服务。网约停车旗舰平台小强停车做客直播间,分享小强停车在HarmonyOS生态中,如何通过元服务为广大用户带来更加便捷易用的线上预约停车体验。快......
  • 常用的webshell管理工具的流量特征 4
    一、菜刀流量特征最开始是明文传输,后来采用base64加密:PHP类WebShell链接流量如下:第一:“eval”,eval函数用于执行传递的攻击payload,这是必不可少的;第二:(base64_decode(POST[z0])),(base64decode(_POST[z0])),(base64_decode(POST[z0])),(base64ecode(_PO......
  • [重读经典论文] ConvNeXt——卷积网络又行了
    参考博客:ConvNeXt网络详解参考视频:13.1ConvNeXt网络讲解ConvNeXt其实就是面向SwinTransformer的架构进行炼丹,最后获得一个比SwinTransformer还要牛逼的网络。 ......
  • 公众号的长尾流量
    编辑导语:近年,微信公众号的分发机制有所改变,抓住长尾流量对创作者而言就变得愈发重要。这篇文章讲述了公众号长尾流量的含义和来源,以及获取长尾流量的5种方法,希望对你有所帮助。公众号这款产品,这几年处境极为尴尬,很多人看衰它。但是无论如何,每天仍然有3.9亿人打开微信公众号,这个数据......