欧美亚洲综合另类成人|亚洲国产夜色在线观看|中文亚字幕无码视频一区|韩国亚洲精品a在线无码|午夜亚洲一区二区亚洲福利|又粗又硬又黄又大免费观看|人妻少妇被猛烈进入中文字幕|超碰国产精品久久国产精品99

您現(xiàn)在的位置是: 熱點(diǎn) > > 正文

當(dāng)前熱點(diǎn)-常見WebShell的流量特征

時(shí)間:2023-06-17 08:29:44 來(lái)源:博客園 發(fā)布者:DN032

常見WebShell的流量特征

菜刀

payload的特征:

  1. php:
  2. asp:<%eval request("caidao")%>
  3. asp.net:<%@Page Language="Jscript"%><%eval(Request.Item["caidao"],"unsafe");%>

數(shù)據(jù)包流量特征:


(資料圖片)

  1. 請(qǐng)求包中:ua頭為百度
  2. 請(qǐng)求體中有eval,base64等特征字符
  3. 請(qǐng)求體中傳遞的payload為base64編碼,并且是固定的

蟻劍

payload的特征:

  1. php中使用assert,eval執(zhí)行
  2. asp使用eval執(zhí)行
  3. jsp中使用的是Java類加載(ClassLoader),同時(shí)會(huì)帶有base64編碼解碼等字符特征

數(shù)據(jù)包流量特征:請(qǐng)求體中一定有@in_set("display_errors","0");@set_time_limit(0)開頭,后面存在base64等字符

冰蝎2.0

payload特征:

先base64加密,再經(jīng)過(guò)AES對(duì)稱加密全部代碼,最后傳輸

1、 Accept字段

Accept是HTTP協(xié)議常用的字段,但冰蝎默認(rèn)的Accept字段的值很特殊,而且存在于冰蝎的任何一個(gè)通訊階段

Accept: text/html,image/gif, image/jpeg, *; q=.2, */*; q=.2
2、 User agent字段

冰蝎內(nèi)置了17種ua頭,每次連接shell都會(huì)隨機(jī)一個(gè)進(jìn)行使用,如果發(fā)現(xiàn)歷史流量中同一個(gè)IP訪問(wèn)URL的時(shí)候,命令了以下列表中的多個(gè)ua頭,可以基本確定為冰蝎

Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/14.0.835.163 Safari/535.1Mozilla/5.0 (Windows NT 6.1; WOW64; rv:6.0) Gecko/20100101 Firefox/6.0Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.50 (KHTML, like Gecko) Version/5.1 Safari/534.50Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.9.168 Version/11.50Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0; .NET CLR 2.0.50727; SLCC2; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3; .NET4.0C; Tablet PC 2.0; .NET4.0E)Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; InfoPath.3)Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB7.0)Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)Mozilla/5.0 (Windows; U; Windows NT 6.1; ) AppleWebKit/534.12 (KHTML, like Gecko) Maxthon/3.0 Safari/534.12Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3; .NET4.0C; .NET4.0E)Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3; .NET4.0C; .NET4.0E; SE 2.X MetaSr 1.0)Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.3 (KHTML, like Gecko) Chrome/6.0.472.33 Safari/534.3 SE 2.X MetaSr 1.0Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3; .NET4.0C; .NET4.0E)Mozilla/5.0 (Windows NT 6.1) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/13.0.782.41 Safari/535.1 QQBrowser/6.9.11079.201

但是用戶可以很容易的修改

3、 長(zhǎng)連接

默認(rèn)情況下,請(qǐng)求頭和響應(yīng)頭里會(huì)有Connection。

Connection: Keep-Alive
4、 密鑰傳遞時(shí)URL參數(shù)

密鑰傳遞的時(shí)候,URI只有一個(gè)key-value型參數(shù),Key是黑客給shell設(shè)置的密碼,一般為10位以下字母和數(shù)字?pass=[三位數(shù)字]

可以使用正則防守

\.(php|jsp|asp|aspx)\?(\w){1,10}=\d{2,3}  HTTP/1.1
5、 傳遞的密鑰

加密所使用的密鑰長(zhǎng)度為16位隨機(jī)字符串,小寫+數(shù)字組成

冰蝎3.0

payload特征:

先base64加密,再經(jīng)過(guò)AES對(duì)稱加密全部代碼,最后傳輸

AES加密的密鑰為webshell連接密碼的MD5的前16位,默認(rèn)連接密碼是"rebeyond"(即密鑰是md5("rebeyond")[0:16]=e45e329feb5d925b)

1、 Accept&Cache-Control

Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2

Cache-Control: no-cache

Pragma: no-cache

User-Agent: java/1.8

2、 User agent字段

冰蝎內(nèi)置了17種ua頭,每次連接shell都會(huì)隨機(jī)一個(gè)進(jìn)行使用,如果發(fā)現(xiàn)歷史流量中同一個(gè)IP訪問(wèn)URL的時(shí)候,命令了以下列表中的多個(gè)ua頭,可以基本確定為冰蝎

Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/14.0.835.163 Safari/535.1Mozilla/5.0 (Windows NT 6.1; WOW64; rv:6.0) Gecko/20100101 Firefox/6.0Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.50 (KHTML, like Gecko) Version/5.1 Safari/534.50Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.9.168 Version/11.50Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0; .NET CLR 2.0.50727; SLCC2; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3; .NET4.0C; Tablet PC 2.0; .NET4.0E)Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; InfoPath.3)Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB7.0)Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)Mozilla/5.0 (Windows; U; Windows NT 6.1; ) AppleWebKit/534.12 (KHTML, like Gecko) Maxthon/3.0 Safari/534.12Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3; .NET4.0C; .NET4.0E)Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3; .NET4.0C; .NET4.0E; SE 2.X MetaSr 1.0)Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.3 (KHTML, like Gecko) Chrome/6.0.472.33 Safari/534.3 SE 2.X MetaSr 1.0Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3; .NET4.0C; .NET4.0E)Mozilla/5.0 (Windows NT 6.1) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/13.0.782.41 Safari/535.1 QQBrowser/6.9.11079.201

但是用戶可以很容易的修改

3、content-type

該請(qǐng)求頭是冰蝎3.0中寫死的部分,除非反編譯,不然很難修改

Content-Type: application/octet-stream

4、 請(qǐng)求中content-length

為5740或5720(可能會(huì)根據(jù)Java版本而改變)

冰蝎4.0

第一階段:密鑰協(xié)商1)攻擊者通過(guò) GET 或者 POST 方法,形如 http://127.0.0.1/shell.aspx?pass=645 的請(qǐng)求服務(wù)器密鑰;2)服務(wù)器使用隨機(jī)數(shù) MD5 的高16位作為密鑰,存儲(chǔ)到會(huì)話的 $_SESSION 變量中,并返回密鑰給攻擊者。第二階段-加密傳輸1)客戶端把待執(zhí)行命令作為輸入,利用 AES 算法或 XOR 運(yùn)算進(jìn)行加密,并發(fā)送至服務(wù)端;2)服務(wù)端接受密文后進(jìn)行 AES 或 XOR 運(yùn)算解密,執(zhí)行相應(yīng)的命令;3)執(zhí)行結(jié)果通過(guò)AES加密后返回給攻擊者。

1、Accept字段
Accept: application/json, text/javascript, */*; q=0.01
2、流量特征Content-Type字段

PHP站點(diǎn):Application/x-www-form-urlencodedASP站點(diǎn):Application/octet-stream

3、流量特征User-agent 字段

冰蝎設(shè)置了10種User-Agent,每次連接shell時(shí)會(huì)隨機(jī)選擇一個(gè)進(jìn)行使用

"Mozilla/5.0 (Macintosh; Intel Mac OS X 11_2_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.114 Safari/537.36","Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:87.0) Gecko/20100101 Firefox/87.0","Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36","Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.74 Safari/537.36 Edg/99.0.1150.55","Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36","Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:98.0) Gecko/20100101 Firefox/98.0","Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36","Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36","Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:79.0) Gecko/20100101 Firefox/79.0","Mozilla/5.0 (Windows NT 6.3; Trident/7.0; rv:11.0) like Gecko"
4、 流量特征長(zhǎng)連接

冰蝎通訊默認(rèn)使用長(zhǎng)連接,避免了頻繁的握手造成的資源開銷。默認(rèn)情況下,請(qǐng)求頭和響應(yīng)頭里會(huì)帶有 Connection。

Connection: Keep-Alive
5、流量特征固定的請(qǐng)求頭和響應(yīng)頭

PHP站點(diǎn)默認(rèn)口令Default_xor_base64協(xié)議加密流量特征,請(qǐng)求字節(jié)頭:dFAXQV1LORcHRQtLRlwMAhwFTAg/M

響應(yīng)字節(jié)頭:TxcWR1NNExZAD0ZaAWMIPAZjH1BFBFtHThcJSlUXWEd

PHP站點(diǎn)默認(rèn)口令Default_aes協(xié)議加密流量特征,請(qǐng)求字節(jié)頭:m7nCS8n4OZG9akdDlxm6OdJevs/jYQ5/IcXK

響應(yīng)字節(jié)頭:mAUYLzmqn5QPDkyI5lvSp6DmrC24FW39Y4YsJhUqS7

JSP站點(diǎn)默認(rèn)口令Default_xor_base64協(xié)議,aes_with_magic協(xié)議,Default_aes協(xié)議,加密流量特征,響應(yīng)字節(jié)頭:QhoVQgMXEUcUCBMHAGFZaQtuHFUVXlkWGhBcF1QVCRJ

6、流量特征連接密碼

默認(rèn)時(shí),所有冰蝎4.* webshell都有“e45e329feb5d925b” 一串密鑰。該密鑰為連接密碼32位md5值的前16位,默認(rèn)連接密碼rebeyond

哥斯拉

哥斯拉(Godzilla)是一款國(guó)內(nèi)流行且優(yōu)秀的紅隊(duì) webshell 權(quán)限管理工具,使用 java 開發(fā)的可視化客戶端,shell 支持 java、php、asp 環(huán)境,通信流量使用 AES 算法加密,具有文件管理、數(shù)據(jù)庫(kù)操作、命令執(zhí)行、內(nèi)存馬、隧道反彈等后門功能。

1、cookie

在Cookie中有一個(gè)很明顯的特征:最后有一個(gè)分號(hào)

2、響應(yīng)體

從代碼中可以看到會(huì)把一個(gè)32位的md5字符串按照一半拆分,分別放在base64編碼的數(shù)據(jù)的前后兩部分

整個(gè)響應(yīng)包的結(jié)構(gòu)體征為:md5前十六位+base64+md5后十六位

72a9c691ccdaab98fL1tMGI4YTljO/5+/PlQm9MGV7lTjFUKUdfQMDL/j64wJ2UwYg==b4c4e1f6ddd2a488

按照這樣我們分開表示:

  1. md5前十六位:72a9c691ccdaab98
  2. base64:fL1tMGI4YTljO/5+/PlQm9MGV7lTjFUKUdfQMDL/j64wJ2UwYg==
  3. md5后十六位:b4c4e1f6ddd2a488

我們可以根據(jù)這個(gè)特征對(duì)其所以的數(shù)據(jù)流量進(jìn)行分析甄別篩查,符合此格式的統(tǒng)統(tǒng)篩選為威脅來(lái)源

3、連接特征
  1. 請(qǐng)求1:發(fā)送一段固定代碼(payload),返回內(nèi)容為空
  2. 請(qǐng)求2:發(fā)送一段固定代碼(test),返回內(nèi)容為固定字符串,如下:72a9c691ccdaab98fL1tMGI4YTljO/79NDQm7r9PZzBiOA==b4c4e1f6ddd2a488,解密后即為ok。如果連接失敗返回內(nèi)容為空,且不發(fā)起請(qǐng)求3
  3. 請(qǐng)求3:發(fā)送一段固定代碼(getBacisInfo),返回內(nèi)容為固定字符串(對(duì)應(yīng)服務(wù)器信息)

標(biāo)簽:

搶先讀

相關(guān)文章

熱文推薦

精彩放送

關(guān)于我們| 聯(lián)系我們| 投稿合作| 法律聲明| 廣告投放

版權(quán)所有© 2011-2023  產(chǎn)業(yè)研究網(wǎng)  www.ty3637.com

所載文章、數(shù)據(jù)僅供參考.本站不作任何非法律允許范圍內(nèi)服務(wù)!

聯(lián)系我們:39 60 29 14 2 @qq.com

皖I(lǐng)CP備2022009963號(hào)-13