webshell客户端流量特征

webshell客户端流量特征

      • 概述:
      • 1. 冰蝎
      • 2. 中国菜刀
        • 2011,2014版本
        • 2016版本
      • 3. Cknife
      • 4. 蚁剑
      • 5. 哥斯拉

webshell客户端 用于webshell后门和攻击者之间的通信程序,我们可以通过webshell客户端的流量来判断服务器上是否存在Webshell后门。

概述:

中国菜刀流量特征比较明显,2011,2014版本中,流量中有的php代码,asp代码是明文形式,jsp代码有固定格式,容易被检测出来。2016版本隐蔽性增强,对php,asp代码增加了混淆,还对ASP代码进行了unicode编码

CknifeCknife流量的特征就是在body部分的参数值均为base64编码,将该部分进行base64解码后,其流量特征同中国菜刀一致

蚁剑可以对流量进行加密、混淆。但是有些关键代码没有被加密,如:PHP中的ini_set;ASP中的OnError,response等

冰蝎是一款动态二进制加密网站管理客户端。主要用于配合服务端shell的动态二进制加密通信,适用于WAF拦截回显等场景,客户端的流量无法检测。

哥斯拉:是基于流量、HTTP全加密的webshell工具。哥斯拉全部类型的shell 能绕过市面所有静态查杀;哥斯拉流量加密 能绕过市面全部流量waf。

注:以下图片较少,可以在webshell上设置代理,结合brupsuite抓包的方式进行流量的抓取,进行流量特征的比对

1. 冰蝎

是一款动态二进制加密网站管理客户端。主要用于配合服务端shell的动态二进制加密通信,适用于WAF拦截回显等场景,客户端的流量无法检测。

冰蝎3.0 取消动态密钥获取,目前很多waf等设备都做了冰蝎2.0的流量特征分析。所以3.0取消了动态密钥获取

冰蝎3.0新增了无动态密钥交互。只有在无动态密钥交互失败后,才会进入常规的密钥交互阶段。密钥生成可以看出,使用密码的md5结果的前16位

冰蝎3.0强特征

  1. content-type
  2. Accept&Cache-Control
  3. 内置16个ua头
  4. content-length请求长度

2. 中国菜刀

总结:流量特征比较明显,2011,2014版本中,流量中有的php代码,asp代码是明文形式,jsp代码有固定格式,容易被检测出来。2016版本隐蔽性增强,对php,asp代码增加了混淆,还对ASP代码进行了unicode编码

2011,2014版本

php流量特征

webshell客户端流量特征_第1张图片

url解码:

webshell客户端流量特征_第2张图片

php流量特征分析:

  1. eval执行php代码
  2. base64_decode($POST[z0]) ; 设置payload的编码方式
  3. &z0=… 是攻击载荷

上面这些关键代码没有被加密,容易被识别

jsp流量特征

流量的格式 i=A&z0=…

  1. i=A 指定操作
  2. &z0=GB2312 指定编码

ASP流量特征

  1. excute
  2. OnError ResumeNext
  3. Response.Write和Response.End是必有的,是来完善整个操作的

上述关键字没有被加密,通过流量中的这些关键代码,识别是ASP流量

2016版本

在隐蔽性上进行了增强,流量中加入了混淆

php流量特征

@eval @ev"."al

“Ba”.“SE6”.“4_dEc”.“OdE” 这部分是将base64解码打断使用 . 来连接

JSP流量特征

i=A&z0=GB2312&Z1=&Z2=

  1. i=A 指定操作
  2. &z0=GB2312 指定编码
  3. z1,z2后面是payload

ASP流量特征

body中部分字符被Unicode编码替换混淆

3. Cknife

只要支持动态脚本的网站,都可以用中国菜刀进行管理

Cknife流量的特征就是在body部分的参数值均为base64编码,将该部分进行base64解码后,其流量特征同中国菜刀一致,所以不再另行展开分析

4. 蚁剑

可以对流量进行加密、混淆。但是有些关键代码没有被加密,如:PHP中的ini_set;ASP中的OnError,response等

蚁剑PHP类WebShell链接流量

对php中的某些代码没有加密,例如ini_set,set_time_limit。比较容易被识别

蚁剑ASP类WebShell

OnError ResumeNext,response等没有被加密,是明文的形式,比较容易识别

execute在蚁剑中被打断混淆了,变成了拼接形式Ex"&cHr(101)&"cute

蚁剑绕过特征流量

蚁剑混淆加密后还有一个比较明显的特征,即为参数名大多以“_0x…=”这种形式

5. 哥斯拉

是基于流量、HTTP全加密的webshell工具

哥斯拉全部类型的shell 能绕过市面所有静态查杀

哥斯拉流量加密 能绕过市面全部流量waf

你可能感兴趣的:(工具专区)