首页 > 系统相关 >WebShell流量特征检测_中国菜刀篇

WebShell流量特征检测_中国菜刀篇

时间:2024-09-03 15:47:50浏览次数:11  
标签:WebShell body QGluaV9zZXQo 流量 菜刀 webshell php response

80后用菜刀,90后用蚁剑,95后用冰蝎和哥斯拉,以phpshell连接为例,本文主要是对这四款经典的webshell管理工具进行流量分析和检测。

什么是一句话木马?

1、定义 顾名思义就是执行恶意指令的木马,通过技术手段上传到指定服务器并可以正常访问,将我们需要服务器执行的命令上传并执行 2、特点 短小精悍,功能强大,隐蔽性非常好 3、举例 php一句话木马用php语言编写的,运行在php环境中的php文件,例:<?php @eval($_POST['pass']);?> 4、原理 以最为常见的php一句话木马为例,"<?php ?>"为php固定规范写法,"@"在php中含义为后面如果执行错误不会报错,"eval()"函数表示括号里的语句全做代码执行,"$_POST['pass']"表示从页面中以post方式获取变量pass的值

中国菜刀

中国菜刀是一款c/s型的webshell管理工具,它不像传统的asp恶意脚本或php恶意脚本上传到网站上可以直接打开,它有自己的服务端程序,但是这个服务端程序却极小,只有一句代码,因此保证了webshell的隐蔽性,可以用来对目标网站进行渗透获取目标系统的文件系统,对目标系统的文件系统进行管理同时也可以对获取系统的shell进行操作命令执行操作,同时可以对目标系统进行数据库操作

1、2011版本菜刀

(1)代码分析

进入网站的根目录,获取网站目录下的文件夹和文件的大小修改时间以及权限等信息

(2)数据包分析

(3)规则总结

['request_body'] : eval.*QGluaV9zZXQo
['response_code'] : 200
['response_body'] : ->\|((.*\n)+|.*)\←

2、2014版本菜刀

(1)数据包分析

(2)规则总结

['request_body']: $xx.*chr\(.*QGluaV9zZXQo
['response_code']: 200
['response_body']: ->\|((.*\n)+|.*)\|<-

3、2016版本菜刀

(1)数据包分析

(2)规则总结

['request_body']: array_map.*QGluaV9zZXQo
['response_code']: 200
['response_body']: ^X@Y((.*\n)+|.*)X@Y$
4、全版本菜刀规则总结 可以看到三个版本的菜刀都有这一串字符QGluaV9zZXQo,我们在对蚁剑连接webshell的流量进行分析时也会见到这一串字符,其实不止这么短,但是对规则而言已经足够了。蚁剑的核心源代码有很多都是借鉴菜刀的。
['request_body']: QGluaV9zZXQo
['response_code']: 200
['response_body']:(->\|((.*\n)+|.*)\|<-)|(^X@Y((.*\n)+|.*)X@Y$)

标签:WebShell,body,QGluaV9zZXQo,流量,菜刀,webshell,php,response
From: https://www.cnblogs.com/congcon/p/18360894

相关文章

  • 提升博客流量的10个SEO最佳实践
    想要增加网站的自然搜索流量吗?那你就需要遵循这些博客SEO最佳实践!毕竟,优化博客文章以适应SEO是获取更多潜在客户并推动转化的最佳途径之一。事实上,SEO带来的潜在客户具有14.6%的成交率,而60%的营销人员表示,入站策略是他们最优质的潜在客户来源。更好的是,随着这些新的高参与......
  • 记一次学习--HIDS-phpwebshell绕过
    目录第一个样本代码分析结果第二个样本代码分析结果第三个样本 结果第四个样本结果 第五个样本结果第六个样本结果 第七个样本结果第八个样本(通过session绕过)第九个样本第十个样本第十一个样本(自己改变自己)第十二个样本结果第十三个样本(优先队列......
  • 艾体宝干货丨如何使用IOTA进行远程流量数据采集分析​
    一、问题描述在许多情况下,网络故障不会直接发生在有专业人员进行网络分析的地方。同时,前往偏远地区既费时又费钱。这意味着网络故障排除人员必须能够进行远程记录,最好还能进行远程分析。然而,这也给网络技术带来了挑战,因为传统的VPN技术需要输入防火墙规则,必要时还需要端口转发。此......
  • Proxyless的多活流量和微服务治理
    1.引言1.1项目的背景及意义在当今的微服务架构中,应用程序通常被拆分成多个独立的服务,这些服务通过网络进行通信。这种架构的优势在于可以提高系统的可扩展性和灵活性,但也带来了新的挑战,比如:服务间通信的复杂性:不同服务之间需要进行可靠的通信,处理失败重试、负载均衡等问......
  • 玄机蓝队靶场_应急响应_03:流量特征分析-蚁剑流量
    感觉拿到流量先自行分析,分析完了再去跟着步骤提示提交flag,这样练习效果比较好。分析:因为包的数量比较少,大多是,只有六对http报文,过滤一下把POST请求的主要内容复制下来:并且自己生成了一下中国蚁剑的shell,发现和样本格式不太一样。我没看出连接密码,不熟悉蚁剑流量,自己生成一......
  • 时空图卷积网络:用于交通流量预测的深度学习框架-1
    摘要准确的交通预测对于城市交通控制和引导至关重要。由于交通流的高度非线性和复杂性,传统方法无法满足中长期预测任务的需求,且往往忽略了空间和时间的依赖关系。本文提出一种新的深度学习框架——时空图卷积网络(STGCN)来解决交通领域的时间序列预测问题。本文没有应用常规的......
  • 私域流量如何去做转化变现?
    在当前竞争激烈的电商市场中,私域流量的价值逐渐凸显,而朋友圈作为这一流量的核心来源,发挥着至关重要的作用。朋友圈不仅拥有庞大的用户基础和较少的限制,还能有效帮助品牌和商家实现转化。01用户基数庞大,限制相对较少根据微信朋友圈广告数据,朋友圈月活跃用户达到12亿,日活跃用户7.5亿......
  • 网络安全公开数据集Maple-IDS,恶意流量检测数据集开放使用!
    MapleDataset枫叶数据集MapleDataset枫叶数据集由东北林业大学网络安全实验室(https://maple.nefu.edu.cn/lab/)公开发布,是用于入侵检测评估的数据集,其目的在于提升异常基础入侵检测系统(IDS)以及入侵预防系统(IPS)的性能与可靠性。在网络攻击愈发复杂的当下,拥有一个可靠且紧跟时代的......
  • 流量卡申请攻略
    这几天有很多客户找过来,有的是申请了卡但审核不通过,也有的是在选卡的过程中比较茫然,不知道选什么套餐好。 所以,打算写一篇关于流量卡申请详解以及如何选择适合自己的套餐的文章。希望给那些办卡的小伙伴进一步的扫盲,如果觉得本文对你有用的,不妨收藏下。 1、流量卡申请的......
  • 关于流量卡的激活和首充
    继7月份电信发文宣布所有线上卡产品从135G下降至80G后(4月份已经从185G降至135G),这个月,联通和移动也出台了同样政策和发文,这意味着三大运营商都正式进入80G时代,大流量时代已落下帷幕。 这些天,店铺内所有超过135G产品也在陆续下架,这几天很多小伙伴都希望能赶上这135G的最后末......