当前位置: 首页> 财经> 金融 > webshell工具流量特征

webshell工具流量特征

时间:2025/7/11 14:19:03来源:https://blog.csdn.net/2301_82000839/article/details/139476448 浏览次数:0次

一、蚁剑(PHP用base64加密

将蚁剑的正文内容进行URL解码后,流量最中明显的特征为@ini_set("display_errors","0");这段代码基本是所有WebShell客户端链接PHP类WebShell都有的一种代码,但是有的客户端会将这段编码或者加密,而蚁剑是明文,所以较好发现,同时蚁剑也有eval这种明显的特征。

由于蚁剑中包含了很多加密、绕过插件,所以导致很多流量被加密后无法识别,但是蚁剑混淆加密后还有一个比较明显的特征,即为参数名大多以“_0x.....=”这种形式(下划线可替换为其他)所以,以_0x开头的参数名,后面为加密数据的数据包也可识别为蚁剑的流量特征。

二、冰蝎(AES对称加密

2.0

第一阶段返回包密钥16

请求包:*q=.2, \*/*; q=.2*

3.0

请求头存在:Cache-Control: no-cache Pragma: no-cache

三、哥斯拉

请求cookie最后都存在;

第一次发送大量数据不包含cookie;响应无数据,会自动设置PHPSESSID

第二次发送一段固定代码,执行结果为固定内容

第三次发送一段固定代码

四、菜刀

最开始是明文传输,后来采用base64加密:

PHP类WebShell链接流量

如下:

第一:“eval”,eval函数用于执行传递的攻击payload,这是必不可少的;

第二:(base64_decode( P O S T [ z 0 ] ) ) , ( b a s e 6 4 d e c o d e ( _POST[z0])),(base64_decode( POST[z0]))(base64decode(_POST[z0]))将攻击payload进行Base64解码,因为菜刀默认是使用Base64编码,以避免被检测;

第三:&z0=QGluaV9zZXQ…,该部分是传递攻击payload,此参数z0对应$_POST[z0]接收到的数据,该参数值是使用Base64编码的,所以可以利用base64解码可以看到攻击明文。

注:

1.有少数时候eval方法会被assert方法替代。

2. P O S T 也会被 _POST也会被 POST也会被_GET、$_REQUEST替代。

3.z0是菜刀默认的参数,这个地方也有可能被修改为其他参数名。

关键字:webshell工具流量特征

版权声明:

本网仅为发布的内容提供存储空间,不对发表、转载的内容提供任何形式的保证。凡本网注明“来源:XXX网络”的作品,均转载自其它媒体,著作权归作者所有,商业转载请联系作者获得授权,非商业转载请注明出处。

我们尊重并感谢每一位作者,均已注明文章来源和作者。如因作品内容、版权或其它问题,请及时与我们联系,联系邮箱:809451989@qq.com,投稿邮箱:809451989@qq.com

责任编辑: