首页 > 其他分享 >冰蝎、蚁剑、哥斯拉的流量特征

冰蝎、蚁剑、哥斯拉的流量特征

时间:2023-06-11 20:23:22浏览次数:40  
标签:加密 请求 特征 哥斯拉 base64 流量 冰蝎

冰蝎、蚁剑、哥斯拉的流量特征

1. 蚁剑流量特征

1.1 蚁剑webshell静态特征

蚁剑中php使用assert、eval执行;asp只有eval执行;在jsp使用的是Java类加载(ClassLoader),同时会带有base64编码解码等字符特征。

1.2 蚁剑webshell动态特征

我们使用一句话木马上传webshell,抓包后会发现每个请求体都存在以@ini_set("display_errors","0");@set_time_limit(0)开头。并且响应体的返回结果是base64编码发混淆字符,格式为:随机数 结果 随机数

去除混淆字符(随机数)后进行base64解码,解码后响应体的返回结果的格式为:随机数 解码后的结果 随机数。观察payload可以发现攻击行为。

另外,蚁剑混淆加密后还有一个比较明显的特征,即为参数名大多以“_0x.....=”这种形式(下划线可替换为其他)所以,以_0x开头的参数名,后面为加密数据的数据包也可识别为蚁剑的流量特征。

2. 冰蝎流量特征

2.1 冰蝎2.0

使用```AES加密 + base64编码```,AES使用动态密钥对通信进行加密,进行请求时内置了十几个User-Agent头,每次请求时会随机选择其中的一个。因此当发现一个ip的请求头中的user-agent在频繁变换,就可能是冰蝎。 

2.2 冰蝎3.0

使用AES加密 + base64编码,取消了2.0的动态获取密钥,使用固定的连接密钥,AES加密的密钥为webshell连接密码的MD5的前16位,默认连接密码是"rebeyond"(即密钥是md5('rebeyond')[0:16]=e45e329feb5d925b)。进行请求时内置了十几个User-Agent头,每次请求时会随机选择其中的一个。因此当发现一个ip的请求头中的user-agent在频繁变换,就可能是冰蝎。

3.0连接jsp的webshell的请求数据包中的content-type字段常见为application/octet-stream。

2.3 冰蝎4.0

  • 提供了传输协议自定义的功能,让用户对流量的加密和解密进行自定义,实现流量加解密协议的去中心化。v4.0版本不再有连接密码的概念,自定义传输协议的算法就是连接密码。
  • Accept字段(弱特征),通常是Accept: application/json, text/javascript, /; q=0.01 意思是浏览器可接受任何文件,但最倾向application/json 和 text/javascript。
  • Content-Type字段(弱特征),通常是Content-type: Application/x-www-form-urlencoded
  • 与冰蝎的前述版本相似,进行请求时内置了十几个User-Agent头,每次请求时会随机选择其中的一个。
  • 连接的端口有一定的特征,冰蝎与webshell建立连接的同时,java也与目的主机建立tcp连接,每次连接使用本地端口在49700左右(就是比较大的端口),每连接一次,每建立一次新的连接,端口就依次增加。
  • 使用长连接,避免了频繁的握手造成的资源开销。默认情况下,请求头和响应头里会带有 Connection:Keep-Alive
  • 有固定的请求头和响应头,请求字节头:dFAXQV1LORcHRQtLRlwMAhwFTAg/M ,响应字节头:TxcWR1NNExZAD0ZaAWMIPAZjH1BFBFtHThcJSlUXWEd
  • 默认时,冰蝎 webshell都有“e45e329feb5d925b” 一串密钥,与冰蝎3.0相同。

3. 哥斯拉流量特征

哥斯拉支持多种加密方式,采用了和冰蝎 2.0 类似的密钥交换方式。它的webshell需要动态生成,可以根据需求选择不同的加密方式。

3.1 哥斯拉静态特征

在默认脚本编码的情况下,jsp会出现xc、pass字符和Java反射(ClassLoader,getClass().getClassLoader()),base64加解码等特征。

3.2 哥斯拉动态特征

  • User-Agent字段(弱特征),如果采用默认的情况,会暴露使用的jdk信息。不过哥斯拉支持自定义HTTP头部,这个默认特征是可以很容易去除的。
  • Accept字段(弱特征),默认是Accept:text/html, image/gif, image/jpeg, *; q=.2, /; q=.2。同上,这个也可修改,只能作为辅助检测的特征。
  • Cookie中有一个非常关键的特征,最后会有个分号。估计后续的版本会修复。
  • 响应体的数据有一定特征,哥斯拉会把一个32位的md5字符串按照一半拆分,分别放在base64编码的数据的前后两部分。整个响应包的结构体征为:md5前十六位+base64+md5后十六位。

4. 菜刀流量特征

4.1 菜刀静态特征

菜刀使用一句话木马,特征十分明显,在PHP、ASP、ASP.NET的网站都可以:

PHP:  <?php @eval([$_post['test']]); ?>
ASP:  <% eval request("test")%>
ASP.NET:  <%@ Page Language="Javascript"%><% eval(Request.Item["test"],"unsafe");%>

4.2 菜刀动态特征

  • payload在请求体中,采用url编码+base64编码,payload部分是明文传输。
  • payload中有eval或assert、base64_decode这样的字符。
  • payload中有默认固定的&z0=QGluaV9zZXQ...这样base64加密的攻击载荷,参数z0对应$_POST[z0]接收到的数据,且固定为QGluaV9zZXQ开头。进行base64解码后可看到代码:@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);这段意思是首先关闭报错和magic_quotes,接下来去获取主机的信息。

以上内容,部分转载自https://blog.csdn.net/Bossfrank/article/details/130502488

标签:加密,请求,特征,哥斯拉,base64,流量,冰蝎
From: https://www.cnblogs.com/-andrea/p/17473499.html

相关文章

  • nginx流量带宽等请求状态统计( ngx_req_status)
    介绍ngx_req_status用来展示nginx请求状态信息,类似于apache的status,nginx自带的模块只能显示连接数等等信息,我们并不能知道到底有哪些请求、以及各url域名所消耗的带宽是多少。ngx_req_status提供了这些功能.功能特性按域名、url、ip等等统计信息统计总流量统计当前带宽\峰值带宽统......
  • Nginx流量复制/AB测试/协程
    在实际开发中经常涉及到项目的升级,而该升级不能简单的上线就完事了,需要验证该升级是否兼容老的上线,因此可能需要并行运行两个项目一段时间进行数据比对和校验,待没问题后再进行上线。这其实就需要进行流量复制,把流量复制到其他服务器上,一种方式是使用如tcpcopy引流;另外我们还可以使......
  • 机构设计之高流量QPS微服务分布式设计
    1,系统设计原则及技术指标系统-技术设计原则好系统是迭代出来的。先解决核心的问题,预测未来可能出现的问题。第一版1000人,所以单机。不要过度复杂化系统。先行的规划和设计。对现有的问题有方案,对未来系统有预案。无状态原则:无状态:对单词请求的处理,不依赖于其他的请求。......
  • 流量传感器-使用部署
    天眼-流量传感器目录天眼-流量传感器1.设备简介2.部署拓扑3.标品3.1S52产品配置4.一体化4.1一体化硬件配置5.功能介绍5.1状态监听5.2网页漏洞利用5.3规则配置5.4自定义威胁情报5.5威胁检测5.6流量记录5.7文件还原5.8抓包检测5.9常规配置5.10网络管理5.11传输设......
  • 流量削峰
    浪涌洪峰流量。第一秒流量涌入的问题。使用平滑的方式过度掉,使系统性能平滑提升。 普通的下单:下单接口会被脚本不停刷,脚本会比用户手速快秒杀验证逻辑和秒杀下单接口强关联,代码冗余度高 秒杀令牌秒杀接口需要依靠令牌才能进入令牌由秒杀活动产生秒杀活动对令牌管理......
  • 武汉星起航揭秘亚马逊新品上架的秘籍!快速获取流量和曝光
    在亚马逊这个竞争激烈的电商平台上架新品,如何快速获取流量和曝光,成为了卖家们最为关注的话题。毕竟,流量和曝光是销售成功的关键要素。今天,武汉星起航将揭秘亚马逊卖家上架新品的热门秘籍,帮助卖家快速获得大量流量和广泛曝光,助您事业腾飞!优化产品标题和关键词产品标题是吸引买家点击......
  • 瞄准流量红利,武汉星起航揭秘快速获取曝光的秘密武器!
    亚马逊作为全球最大的电商平台之一,吸引了数以百万计的卖家竞相入驻,而在如此激烈的市场竞争中,如何快速获取流量和曝光成为卖家们最迫切的需求。今天,武汉星起航将揭秘亚马逊卖家快速获取曝光的秘密武器,助力卖家迎来销售业绩的爆发增长!关键词是买家搜索产品的关键,而优化关键词和产品标......
  • wsexplorer——windows下的抓包工具 可以直接抓进程对应的网络流量
    软件标签:WSExplorer抓包工具  wsexplorer1.5版本是一款非常实用的抓包工具,用户能够直接通过软件直接获取更多的数据,同时还设计了选择功能,只需挑选自己需要的数据,需要的用户快来绿色资源网下载吧!wsexplorer抓包工具简介:wsexplorer是最好用的抓包工具,1.5版本添加新功能,分离二进......
  • 1.7Mininet多数据中心网络拓扑流量带宽实验
    Mininet多数据中心网络拓扑流量带宽实验实验目的1、掌握多数据中心网络拓扑的构建。2、熟悉网络性能测试工具Iperf,根据实验测试SDN网络的性能。实验环境Mininet多数据中心网络拓扑流量带宽实验的拓扑如下图所示。设备名称软件环境硬件环境主机Ubuntu14.04桌面......
  • 流量劫持 —— GZIP 页面零开销注入 JS
    前言HTTP代理给页面注入JS是很常见的需求。由于上游服务器返回的页面可能是压缩状态的,因此需解压才能注入,同时为了节省流量,返回下游时还得再压缩。为了注入一小段代码,却将整个页面的流量解压再压缩,白白浪费大量性能。是否有高效的解决方案?本文从注入位置、压缩格式、校验算法......