首页 > 系统相关 >webshell工具流量特征

webshell工具流量特征

时间:2024-06-05 17:15:52浏览次数:29  
标签:webshell 加密 base64 流量 eval 工具 z0 POST

一、蚁剑(PHP用base64加密

将蚁剑的正文内容进行URL解码后,流量最中明显的特征为@ini_set("display_errors","0");这段代码基本是所有WebShell客户端链接PHP类WebShell都有的一种代码,但是有的客户端会将这段编码或者加密,而蚁剑是明文,所以较好发现,同时蚁剑也有eval这种明显的特征。

由于蚁剑中包含了很多加密、绕过插件,所以导致很多流量被加密后无法识别,但是蚁剑混淆加密后还有一个比较明显的特征,即为参数名大多以“_0x.....=”这种形式(下划线可替换为其他)所以,以_0x开头的参数名,后面为加密数据的数据包也可识别为蚁剑的流量特征。

二、冰蝎(AES对称加密

2.0

第一阶段返回包密钥16

请求包:*q=.2, \*/*; q=.2*

3.0

请求头存在:Cache-Control: no-cache Pragma: no-cache

三、哥斯拉

请求cookie最后都存在;

第一次发送大量数据不包含cookie;响应无数据,会自动设置PHPSESSID

第二次发送一段固定代码,执行结果为固定内容

第三次发送一段固定代码

四、菜刀

最开始是明文传输,后来采用base64加密:

PHP类WebShell链接流量

如下:

第一:“eval”,eval函数用于执行传递的攻击payload,这是必不可少的;

第二:(base64_decode(\(_POST[z0])),(base64_decode(\)_POST[z0]))将攻击payload进行Base64解码,因为菜刀默认是使用Base64编码,以避免被检测;

第三:&z0=QGluaV9zZXQ...,该部分是传递攻击payload,此参数z0对应$_POST[z0]接收到的数据,该参数值是使用Base64编码的,所以可以利用base64解码可以看到攻击明文。

注:

1.有少数时候eval方法会被assert方法替代。

2.\(_POST也会被\)_GET、$_REQUEST替代。

3.z0是菜刀默认的参数,这个地方也有可能被修改为其他参数名。

标签:webshell,加密,base64,流量,eval,工具,z0,POST
From: https://www.cnblogs.com/guangen/p/18233336

相关文章

  • 简化stream流等工具类(函数式编程的应用案例)
    操作集合publicclassCollectionUtils{publicstaticbooleancontainsAny(Objectsource,Object...targets){returnasList(targets).contains(source);}publicstaticbooleanisAnyEmpty(Collection<?>...collections){retu......
  • 基于阿里云服务网格流量泳道的全链路流量管理(三):无侵入式的宽松模式泳道
    作者:尹航在前文《基于阿里云服务网格流量泳道的全链路流量管理(一):严格模式流量泳道》、《基于阿里云服务网格流量泳道的全链路流量管理(二):宽松模式流量泳道》中,我们介绍了流量泳道的概念、使用流量泳道进行全链路灰度管理的方案,以及阿里云服务网格ASM提供的严格模式与宽松模式的......
  • Git客户端工具:SourceTree for Mac v 4.1.5中文特别版
    SourceTree是一款由Atlassian公司推出的免费的Git和Mercurial版本控制系统的可视化客户端工具。它提供了一种简单易用的方式来管理和查看代码的版本历史,以及进行代码的比较、合并和提交等操作。用户可以通过SourceTree轻松地管理多个代码仓库,并且可以直观地查看代码的变化和提......
  • 绘创科技AI工具
    绘创科技是一家致力于发展人工智能技术的公司,他们开发了多种AI工具,可以应用于不同领域。图像识别工具:绘创科技的图像识别工具可以识别和分类图像中的对象,例如识别人脸、车辆、动物等。它可以应用于智能安防、车辆管理和物体识别等场景。语音识别工具:该工具可以将语音转换......
  • 日志工具类之“根据标记的注解进行指定的字段日志记录-在展示方式上会美观一些”
    一、使用方法在添加、编辑等操作功能时可以使用该方案,在需要记录日志的实体类字段中进行注解标注。并标明对应的字段名二、代码1.使用LoggerUtils工具类生成日志publicJsonResultsavePrice(Priceprice){if(price.getId()!=null){String......
  • 打卡信奥刷题(52)用Scratch图形化工具信奥P7909 [普及组] [CSP-J 2021] 分糖果
    [CSP-J2021]分糖果题目背景红太阳幼儿园的小朋友们开始分糖果啦!题目描述红太阳幼儿园有nnn个小朋友,你是其中之一。保证......
  • 使用Shell脚本实现批量执行工具
            能够实现自动化运维的有很多,比如Ansible,Puppet,SaltStack,那么今天给大家分享的是我自己用Shell实现的一个可以批量远程执行的工具,写着玩的,供大家参考学习,欢迎大家多提建议。注意:该脚本使用了expect,所以需要提前安装[root@localhost~]#catremote-group-comm......
  • DIYGW UniApp低代码可视化开发工具:构建移动应用的高效利器
    ​随着移动互联网的飞速发展,移动应用开发已成为当今技术领域的热点之一。然而,传统的移动应用开发方式需要编写大量的代码,这不仅提高了开发门槛,也延长了开发周期。为了解决这一问题,DIYGWUniApp低代码可视化开发工具应运而生,成为高效构建移动应用的利器。本文将详细介绍DIYGWUn......
  • uniapp 2.0可视化开发工具:引领前端开发新潮流
    引言在移动互联网时代,跨平台应用开发成为前端开发者面临的重要挑战。uniapp作为一款优秀的跨平台应用框架,以其强大的功能和易用性赢得了广大开发者的青睐。特别是uniapp2.0版本的发布,伴随着可视化开发工具的出现,更是为前端开发带来了革命性的变革。本文将深入探讨uniapp2.0......
  • Linux系统之Nmap工具结果可视化教程
    Linux系统之Nmap工具结果可视化教程一、Nmap介绍1.1Nmap简介1.2Nmap特点1.3nmap-did-what介绍二、本地环境介绍2.1本地环境规划2.2本次实践介绍四、安装python环境4.1安装python4.2检查python版本4.3创建部署目录五、使用Nmap命令5.1......