证券简称:天融信 证券代码:002212
全天候7x24小时服务: 400-777-0777

【干货分享】菜刀、冰蝎、蚁剑、哥斯拉的流量特征-wepoker官网

由于蚁剑中包含了很多加密、绕过插件,所以导致很多流量被加密后无法识别,但是蚁剑混淆加密后还有一个比较明显的特征,即为参数名大多以“_0x.....=”这种形式(下划线可替换为其他)所以,以_0x开头的参数名,后面为加密数据的数据包也可识别为蚁剑的流量特征。
发布时间:2022-08-11
浏览次数:5654
分享:

菜刀流量特征

最开始是明文传输,后来采用base64加密:

php类webshell链接流量

如下:

第一:“eval”,eval函数用于执行传递的攻击payload,这是必不可少的;

第二:(base64_decode($_post[z0])),(base64_decode($_post[z0]))将攻击payload进行base64解码,因为菜刀默认是使用base64编码,以避免被检测;

第三:&z0=qgluav9zzxq...,该部分是传递攻击payload,此参数z0对应$_post[z0]接收到的数据,该参数值是使用base64编码的,所以可以利用base64解码可以看到攻击明文。

注:

1.有少数时候eval方法会被assert方法替代。

2.$_post也会被$_get、$_request替代。

3.z0是菜刀默认的参数,这个地方也有可能被修改为其他参数名。

蚁剑(php用base64加密):

php类webshell链接流量

将蚁剑的正文内容进行url解码后,流量最中明显的特征为@ini_set("display_errors","0");这段代码基本是所有webshell客户端链接php类webshell都有的一种代码,但是有的客户端会将这段编码或者加密,而蚁剑是明文,所以较好发现,同时蚁剑也有eval这种明显的特征。

蚁剑绕过特征流量

由于蚁剑中包含了很多加密、绕过插件,所以导致很多流量被加密后无法识别,但是蚁剑混淆加密后还有一个比较明显的特征,即为参数名大多以“_0x.....=”这种形式(下划线可替换为其他)所以,以_0x开头的参数名,后面为加密数据的数据包也可识别为蚁剑的流量特征。

冰蝎(aes对称加密):

通过http请求特征检测

1、冰蝎数据包总是伴随着大量的content-type:application什么什么,无论get还是post,请求的http中,content-type为application/octet-stream;

2、冰蝎3.0内置的默认内置16个ua(user-agent)头

3、content-length 请求长度,对于上传文件,命令执行来讲,加密的参数不定长。但是对于密钥交互,获取基本信息来讲,payload都为定长

哥斯拉(base64加密):

特征检测

1、发送一段固定代码(payload),http响应为空

2、发送一段固定代码(test),执行结果为固定内容

3、发送一段固定代码(getbacisinfo)

————————————————

wepoker官网入口的版权声明:本文为csdn博主的原创文章,遵循cc 4.0 by-sawepoker官网入口的版权协议,转载请附上原文出处链接及本声明。

原文链接:https://blog.csdn.net/eternitymd/article/details/124492261

关键词标签:
菜刀 哥斯拉 网安工具
在线咨询





在线留言





客户服务热线

400-777-0777
7*24小时服务

联系邮箱

servicing@topsec.com.cn

扫码关注
网站地图