菜刀流量特征
最最先是明文传输,,,,,厥后接纳base64加密:
PHP类WebShell链接流量
如下:
第一:“eval”,,,,,eval函数用于执行转达的攻击payload,,,,,这是必不可少的;;;;;;
第二:(base64_decode($_POST[z0])),,,,,(base64_decode($_POST[z0]))将攻击payload举行Base64解码,,,,,由于菜刀默认是使用Base64编码,,,,,以阻止被检测;;;;;;
第三:&z0=QGluaV9zZXQ...,,,,,该部分是转达攻击payload,,,,,此参数z0对应$_POST[z0]吸收到的数据,,,,,该参数值是使用Base64编码的,,,,,以是可以使用base64解码可以看到攻击明文。。。。。。
注:
1.有少数时间eval要体会被assert要领替换。。。。。。
2.$_POST也会被$_GET、$_REQUEST替换。。。。。。
3.z0是菜刀默认的参数,,,,,这个地方也有可能被修改为其他参数名。。。。。。
蚁剑(PHP用base64加密):
PHP类WebShell链接流量
将蚁剑的正文内容举行URL解码后,,,,,流量最中显着的特征为@ini_set("display_errors","0");这段代码基本是所有WebShell客户端链接PHP类WebShell都有的一种代码,,,,,可是有的客户端会将这段编码或者加密,,,,,而蚁剑是明文,,,,,以是较好发明,,,,,同时蚁剑也有eval这种显着的特征。。。。。。
蚁剑绕过特征流量
由于蚁剑中包括了许多加密、绕过插件,,,,,以是导致许多流量被加密后无法识别,,,,,可是蚁;;;;;;煜用芎笊杏幸桓鼋狭肯宰诺奶卣,,,,,即为参数名大多以“_0x.....=”这种形式(下划线可替换为其他)以是,,,,,以_0x开头的参数名,,,,,后面为加密数据的数据包也可识别为蚁剑的流量特征。。。。。。
冰蝎(AES对称加密):
通过HTTP请求特征检测
1、冰蝎数据包总是陪同着大宗的content-type:application什么什么,,,,,无论GET照旧POST,,,,,请求的http中,,,,,content-type为application/octet-stream;;;;;;
2、冰蝎3.0内置的默认内置16个ua(user-agent)头
3、content-length 请求长度,,,,,关于上传文件,,,,,下令执行来讲,,,,,加密的参数未必长。。。。。。可是关于密钥交互,,,,,获取基本信息来讲,,,,,payload都为定长
哥斯拉(base64加密):
特征检测
1、发送一段牢靠代码(payload),,,,,http响应为空
2、发送一段牢靠代码(test),,,,,执行效果为牢靠内容
3、发送一段牢靠代码(getBacisInfo)
————————————————
版权声明:本文为CSDN博主的原创文章,,,,,遵照CC 4.0 BY-SA版权协议,,,,,转载请附上原文来由链接及本声明。。。。。。
原文链接:https://blog.csdn.net/eternitymd/article/details/124492261
- 要害词标签:
- 菜刀 哥斯拉 网安工具

京公网安备 11010802026257号