首页 > 系统相关 >WebShell流量特征检测_蚁剑篇

WebShell流量特征检测_蚁剑篇

时间:2024-09-03 19:25:03浏览次数:9  
标签:WebShell AntSword 检测 流量 v2.1 ChR 0x69 php 105

80后用菜刀,90后用蚁剑,95后用冰蝎和哥斯拉,以phpshell连接为例,本文主要是对这四款经典的webshell管理工具进行流量分析和检测。

什么是一句话木马?

1、定义 顾名思义就是执行恶意指令的木马,通过技术手段上传到指定服务器并可以正常访问,将我们需要服务器执行的命令上传并执行 2、特点 短小精悍,功能强大,隐蔽性非常好 3、举例 php一句话木马用php语言编写的,运行在php环境中的php文件,例:<?php @eval($_POST['pass']);?> 4、原理 以最为常见的php一句话木马为例,"<?php ?>"为php固定规范写法,"@"在php中含义为后面如果执行错误不会报错,"eval()"函数表示括号里的语句全做代码执行,"$_POST['pass']"表示从页面中以post方式获取变量pass的值

二、蚁剑(AntSword v2.1)

①蚁剑的很多代码源于中国菜刀,所以它的通讯流量与中国菜刀很相似

②内置多种编码器和解码器,用于蚁剑客户端和Shell服务端通信时的编码和加密操作,可用于绕过WAF

③支持HTTP、HTTPS、SOCKS4、SOCKS5四种代理协议

④自定义编码器和解码器

1、AntSword default编码

(1)代码分析

1.输出了当前脚本的目录

2.判断了操作系统

3.获取了当前用户信息

4.在输出首尾加上了随机的字符串

(2)数据包分析

(3)规则总结

['request_body']: =%40ini_set(%22display_errors%22%2C%20%220%22)%3B%40set_time_limit(0)%3B
['User-Agent']: antSword/v2.1 (弱特征)

2、AntSword base64编码

(1)数据包分析

(2)规则总结

['request_body']: =QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwgIjAiKTtAc2V0X3RpbWVfbGltaXQoMCk7
['User-Agent']: antSword/v2.1 (弱特征)
3、AntSword ChR编码

(1)数据包分析

(2)规则总结

['request_body’]: cHr(64).ChR(105).ChR(110).ChR(105).ChR(95).ChR(115).ChR(101).ChR(116).ChR(40).ChR(34).ChR(100).ChR(105).ChR(115).ChR(112).ChR(108).ChR(97).ChR(121).ChR(95).ChR(101).ChR(114).ChR(114).ChR(111).ChR(114).ChR(115).ChR(34).ChR(44).ChR(32).ChR(34).ChR(48).ChR(34).ChR(41).ChR(59).ChR(64).ChR(115).ChR(101).ChR(116).ChR(95).ChR(116).ChR(105).ChR(109).ChR(101).ChR(95).ChR(108).ChR(105).ChR(109).ChR(105).ChR(116).ChR(40).ChR(48).ChR(41).ChR(59)
['User-Agent']: antSword/v2.1 (弱特征)

4、AntSword ChR16编码

(1)数据包分析

(2)规则总结

['request_body’]: cHr(0x40).ChR(0x69).ChR(0x6e).ChR(0x69).ChR(0x5f).ChR(0x73).ChR(0x65).ChR(0x74).ChR(0x28).ChR(0x22).ChR(0x64).ChR(0x69).ChR(0x73).ChR(0x70).ChR(0x6c).ChR(0x61).ChR(0x79).ChR(0x5f).ChR(0x65).ChR(0x72).ChR(0x72).ChR(0x6f).ChR(0x72).ChR(0x73).ChR(0x22).ChR(0x2c).ChR(0x20).ChR(0x22).ChR(0x30).ChR(0x22).ChR(0x29).ChR(0x3b).ChR(0x40).ChR(0x73).ChR(0x65).ChR(0x74).ChR(0x5f).ChR(0x74).ChR(0x69).ChR(0x6d).ChR(0x65).ChR(0x5f).ChR(0x6c).ChR(0x69).ChR(0x6d).ChR(0x69).ChR(0x74).ChR(0x28).ChR(0x30).ChR(0x29).ChR(0x3b)
['User-Agent']: antSword/v2.1 (弱特征)

5、AntSword ROT13编码

(1)数据包分析

(2)规则总结

['request_body']:%40vav_frg(%22qvfcynl_reebef%22%2C%20%220%22)%3B%40frg_gvzr_yvzvg(0)%3B
['User-Agent']: antSword/v2.1(弱特征)

标签:WebShell,AntSword,检测,流量,v2.1,ChR,0x69,php,105
From: https://www.cnblogs.com/congcon/p/18360987

相关文章

  • 新版某数字壳脱壳,过frida检测,及重打包
    目录脱壳寻找特征&fridahook过frida检测修复dex重打包修改smail去签名校验正文大家好,我是小生,这次的app是一个国内某计划app,功能相当全,界面也很美观,很实用,这个app我很欣赏。总共花了有三天晚上加一个白天,抓包分析,脱壳,过检测,手撕smail,调试等,做开发好久了,逆向有......
  • 【机器人学】7-4.六自由度机器人自干涉检测-两圆柱体空间关系【附MATLAB代码】
    目录前言     公式推导MATLAB代码前言             前面介绍了两个圆柱的旋转变换,已将两个圆柱体旋转到了比较好分析的位置,下面将正式分析两个圆柱体的位置关系。会借用投影的思想。 一 根据机械臂的几何数据以及DH参数,确定机械臂等效的圆......
  • 【花雕学编程】Arduino FOC 之步进电机正反转驱动、AS5600编码器信息读取及速度检测
    Arduino是一个开放源码的电子原型平台,它可以让你用简单的硬件和软件来创建各种互动的项目。Arduino的核心是一个微控制器板,它可以通过一系列的引脚来连接各种传感器、执行器、显示器等外部设备。Arduino的编程是基于C/C++语言的,你可以使用ArduinoIDE(集成开发环境)来编写、......
  • 在3D Slicer中使用 Monai Bundle 和 Model Zoo 标注医学影像数据-CT肺结节检测
    在3DSlicer中使用MonaiBundle和ModelZoo标注医学影像数据-CT肺结节检测导读本系列涵盖从3DSlicer医学图像查看器的基础使用到高级自动分割扩展程序的内容(从入门到高阶!),具体包括软件安装、基础使用教程,自动分割扩展(totalsegmentator,monailabel)快速标注数据。在本系列第......
  • PCBA加工首件检测的作用
    在PCBA加工过程中,首件检测是一项至关重要的质量控制措施,其作用贯穿于整个生产流程,对于保证产品质量、提升生产效率、维护客户信任具有深远的意义。一、控制产品质量首件检测是质量控制的第一道防线。在PCBA生产线开始批量生产前,对首批生产出的产品进行全面的检查与测试,能够验证生产......
  • 提升博客流量的10个SEO最佳实践
    想要增加网站的自然搜索流量吗?那么你需要遵循这些博客的SEO最佳实践!毕竟,优化博客文章的SEO是获取更多潜在客户和推动更多转化的最佳方式之一。事实上,通过SEO获取的潜在客户有14.6%的成交率,而60%的营销人员表示,入站策略是他们最高质量的潜在客户来源。更好的是,拥有了这些新客......
  • 论文笔记——流量预测
    [!NOTE]Ctrl+Enter:表格添加一行Shift+Enter:表格内部换行,相当于末尾加\br论文总结GraphWaveNet2019年,IJCAI,GraphWaveNetforDeepSpatial-TemporalGraphModeling,交通流量预测优势及创新点基于实体之间的关系都是预定的(实际上不是),仅通过固定图结构捕获空间依......
  • WebShell流量特征检测_中国菜刀篇
    80后用菜刀,90后用蚁剑,95后用冰蝎和哥斯拉,以phpshell连接为例,本文主要是对这四款经典的webshell管理工具进行流量分析和检测。什么是一句话木马?1、定义顾名思义就是执行恶意指令的木马,通过技术手段上传到指定服务器并可以正常访问,将我们需要服务器执行的命令上传并执行2、特点......
  • 提升博客流量的10个SEO最佳实践
    想要增加网站的自然搜索流量吗?那你就需要遵循这些博客SEO最佳实践!毕竟,优化博客文章以适应SEO是获取更多潜在客户并推动转化的最佳途径之一。事实上,SEO带来的潜在客户具有14.6%的成交率,而60%的营销人员表示,入站策略是他们最优质的潜在客户来源。更好的是,随着这些新的高参与......
  • bqb蓝牙认证需要测试哪些项目?微测检测带您来了解
    在无线通信技术的飞速发展中,蓝牙技术以其独特的短距离无线通信特性,在各行各业得到了广泛应用。然而,为了确保蓝牙设备的性能、兼容性和安全性,蓝牙技术联盟(BluetoothSpecialInterestGroup,简称SIG)制定了一系列严格的认证标准,即bqb(BluetoothQualificationBody)蓝牙认证。那么,bqb蓝......