当前热点-常见WebShell的流量特征
常见WebShell的流量特征
菜刀
payload的特征:
- php:
- asp:<%eval request("caidao")%>
- asp.net:<%@Page Language="Jscript"%><%eval(Request.Item["caidao"],"unsafe");%>
数据包流量特征:
(资料图片)
- 请求包中:ua头为百度
- 请求体中有eval,base64等特征字符
- 请求体中传递的payload为base64编码,并且是固定的
蚁剑
payload的特征:
- php中使用assert,eval执行
- asp使用eval执行
- jsp中使用的是Java类加载(ClassLoader),同时会带有base64编码解码等字符特征
数据包流量特征:请求体中一定有@in_set("display_errors","0");@set_time_limit(0)开头,后面存在base64等字符
冰蝎2.0
payload特征:
先base64加密,再经过AES对称加密全部代码,最后传输
1、 Accept字段
Accept是HTTP协议常用的字段,但冰蝎默认的Accept字段的值很特殊,而且存在于冰蝎的任何一个通讯阶段
Accept: text/html,image/gif, image/jpeg, *; q=.2, */*; q=.2
2、 User agent字段
冰蝎内置了17种ua头,每次连接shell都会随机一个进行使用,如果发现历史流量中同一个IP访问URL的时候,命令了以下列表中的多个ua头,可以基本确定为冰蝎
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/14.0.835.163 Safari/535.1Mozilla/5.0 (Windows NT 6.1; WOW64; rv:6.0) Gecko/20100101 Firefox/6.0Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.50 (KHTML, like Gecko) Version/5.1 Safari/534.50Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.9.168 Version/11.50Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0; .NET CLR 2.0.50727; SLCC2; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3; .NET4.0C; Tablet PC 2.0; .NET4.0E)Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; InfoPath.3)Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB7.0)Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)Mozilla/5.0 (Windows; U; Windows NT 6.1; ) AppleWebKit/534.12 (KHTML, like Gecko) Maxthon/3.0 Safari/534.12Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3; .NET4.0C; .NET4.0E)Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3; .NET4.0C; .NET4.0E; SE 2.X MetaSr 1.0)Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.3 (KHTML, like Gecko) Chrome/6.0.472.33 Safari/534.3 SE 2.X MetaSr 1.0Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3; .NET4.0C; .NET4.0E)Mozilla/5.0 (Windows NT 6.1) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/13.0.782.41 Safari/535.1 QQBrowser/6.9.11079.201
但是用户可以很容易的修改
3、 长连接
默认情况下,请求头和响应头里会有Connection。
Connection: Keep-Alive
4、 密钥传递时URL参数
密钥传递的时候,URI只有一个key-value型参数,Key是黑客给shell设置的密码,一般为10位以下字母和数字?pass=[三位数字]
可以使用正则防守
\.(php|jsp|asp|aspx)\?(\w){1,10}=\d{2,3} HTTP/1.1
5、 传递的密钥
加密所使用的密钥长度为16位随机字符串,小写+数字组成
冰蝎3.0
payload特征:
先base64加密,再经过AES对称加密全部代码,最后传输
AES加密的密钥为webshell连接密码的MD5的前16位,默认连接密码是"rebeyond"(即密钥是md5("rebeyond")[0:16]=e45e329feb5d925b)
1、 Accept&Cache-Control
Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2
Cache-Control: no-cache
Pragma: no-cache
User-Agent: java/1.8
2、 User agent字段
冰蝎内置了17种ua头,每次连接shell都会随机一个进行使用,如果发现历史流量中同一个IP访问URL的时候,命令了以下列表中的多个ua头,可以基本确定为冰蝎
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/14.0.835.163 Safari/535.1Mozilla/5.0 (Windows NT 6.1; WOW64; rv:6.0) Gecko/20100101 Firefox/6.0Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.50 (KHTML, like Gecko) Version/5.1 Safari/534.50Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.9.168 Version/11.50Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0; .NET CLR 2.0.50727; SLCC2; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3; .NET4.0C; Tablet PC 2.0; .NET4.0E)Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; InfoPath.3)Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB7.0)Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)Mozilla/5.0 (Windows; U; Windows NT 6.1; ) AppleWebKit/534.12 (KHTML, like Gecko) Maxthon/3.0 Safari/534.12Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3; .NET4.0C; .NET4.0E)Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3; .NET4.0C; .NET4.0E; SE 2.X MetaSr 1.0)Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.3 (KHTML, like Gecko) Chrome/6.0.472.33 Safari/534.3 SE 2.X MetaSr 1.0Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3; .NET4.0C; .NET4.0E)Mozilla/5.0 (Windows NT 6.1) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/13.0.782.41 Safari/535.1 QQBrowser/6.9.11079.201
但是用户可以很容易的修改
3、content-type
该请求头是冰蝎3.0中写死的部分,除非反编译,不然很难修改
Content-Type: application/octet-stream
4、 请求中content-length
为5740或5720(可能会根据Java版本而改变)
冰蝎4.0
第一阶段:密钥协商1)攻击者通过 GET 或者 POST 方法,形如 http://127.0.0.1/shell.aspx?pass=645 的请求服务器密钥;2)服务器使用随机数 MD5 的高16位作为密钥,存储到会话的 $_SESSION 变量中,并返回密钥给攻击者。第二阶段-加密传输1)客户端把待执行命令作为输入,利用 AES 算法或 XOR 运算进行加密,并发送至服务端;2)服务端接受密文后进行 AES 或 XOR 运算解密,执行相应的命令;3)执行结果通过AES加密后返回给攻击者。
1、Accept字段
Accept: application/json, text/javascript, */*; q=0.01
2、流量特征Content-Type字段
PHP站点:Application/x-www-form-urlencodedASP站点:Application/octet-stream
3、流量特征User-agent 字段
冰蝎设置了10种User-Agent,每次连接shell时会随机选择一个进行使用
"Mozilla/5.0 (Macintosh; Intel Mac OS X 11_2_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.114 Safari/537.36","Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:87.0) Gecko/20100101 Firefox/87.0","Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36","Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.74 Safari/537.36 Edg/99.0.1150.55","Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36","Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:98.0) Gecko/20100101 Firefox/98.0","Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36","Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36","Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:79.0) Gecko/20100101 Firefox/79.0","Mozilla/5.0 (Windows NT 6.3; Trident/7.0; rv:11.0) like Gecko"
4、 流量特征长连接
冰蝎通讯默认使用长连接,避免了频繁的握手造成的资源开销。默认情况下,请求头和响应头里会带有 Connection。
Connection: Keep-Alive
5、流量特征固定的请求头和响应头
PHP站点默认口令Default_xor_base64协议加密流量特征,请求字节头:dFAXQV1LORcHRQtLRlwMAhwFTAg/M
响应字节头:TxcWR1NNExZAD0ZaAWMIPAZjH1BFBFtHThcJSlUXWEd
PHP站点默认口令Default_aes协议加密流量特征,请求字节头:m7nCS8n4OZG9akdDlxm6OdJevs/jYQ5/IcXK
响应字节头:mAUYLzmqn5QPDkyI5lvSp6DmrC24FW39Y4YsJhUqS7
JSP站点默认口令Default_xor_base64协议,aes_with_magic协议,Default_aes协议,加密流量特征,响应字节头:QhoVQgMXEUcUCBMHAGFZaQtuHFUVXlkWGhBcF1QVCRJ
6、流量特征连接密码
默认时,所有冰蝎4.* webshell都有“e45e329feb5d925b” 一串密钥。该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond
哥斯拉
哥斯拉(Godzilla)是一款国内流行且优秀的红队 webshell 权限管理工具,使用 java 开发的可视化客户端,shell 支持 java、php、asp 环境,通信流量使用 AES 算法加密,具有文件管理、数据库操作、命令执行、内存马、隧道反弹等后门功能。
1、cookie
在Cookie中有一个很明显的特征:最后有一个分号
2、响应体
从代码中可以看到会把一个32位的md5字符串按照一半拆分,分别放在base64编码的数据的前后两部分
整个响应包的结构体征为:md5前十六位+base64+md5后十六位
72a9c691ccdaab98fL1tMGI4YTljO/5+/PlQm9MGV7lTjFUKUdfQMDL/j64wJ2UwYg==b4c4e1f6ddd2a488
按照这样我们分开表示:
- md5前十六位:72a9c691ccdaab98
- base64:fL1tMGI4YTljO/5+/PlQm9MGV7lTjFUKUdfQMDL/j64wJ2UwYg==
- md5后十六位:b4c4e1f6ddd2a488
我们可以根据这个特征对其所以的数据流量进行分析甄别筛查,符合此格式的统统筛选为威胁来源
3、连接特征
- 请求1:发送一段固定代码(payload),返回内容为空
- 请求2:发送一段固定代码(test),返回内容为固定字符串,如下:
72a9c691ccdaab98fL1tMGI4YTljO/79NDQm7r9PZzBiOA==b4c4e1f6ddd2a488
,解密后即为ok。如果连接失败返回内容为空,且不发起请求3 - 请求3:发送一段固定代码(getBacisInfo),返回内容为固定字符串(对应服务器信息)
标签:
抢先读
- 一路走好!7天8位名人相继去世,有4人未满40岁,最年轻者仅21岁 全球滚动
- 欧盟机构:6月初全球平均气温创纪录
- 当前热讯:漫威多部影片宣布改档 包括《美队4》《复联5》等
- 当前速读:18家AI头部企业、高校与科研机构联合发布首个AI框架生态倡议
- 世界视讯!“环卫母亲”发声,拒绝资助,真实家境曝光,两块牌匾说明一切
- 漱玉平民(301017):6月16日北向资金减持2.68万股_天天观热点
- 爱尔眼科:嘉实基金、国金证券等多家机构于6月15日调研我司
- 安豆5号
- 数码宝贝皇家骑士团实力排名_数码宝贝皇家骑士
- 全球简讯:概念动态|华如科技新增“机器人概念”
- 【甘快看】太白第七届插秧节开幕:黄土高原上演插秧大赛 全球热文
- 环球播报:通胀持续高位运行 欧洲央行或将继续加息
- 焦点热门:《遗迹的声音》:把看不见、听得着的口述故事变成电影
- 今天过生日的动漫角色!(6月17日) 世界滚动
- 魅力胶东:总投资50亿元!胶东印象·袁家村项目进展迅猛
- 黄精开花后怎么养 如何养殖黄精-热门
- 当前要闻:标致雪铁龙整合,神龙汽车拼死一战
- 秦洪 增量资金尝试性建仓 低位股迎来反弹契机 短线有利
- 全球报道:锐骐6油耗 锐骐6油耗一公里多少钱
- 天天短讯!厄尔尼诺卷土重来,全球气温可能会创新高
- 硬核科技论|别被洗脑 双电机有时候并非你所想
- 天天报道:莫忽视精致背后的真需求
- 黑人女孩亚克米:黑得彻底,关灯看不到人,却美得令人难以忘怀-焦点
- 全球大学生体育文化公益广告作品征集展示活动启事 环球看点
- 蜂蜜禁忌与什么一起吃 蜂蜜不能与什么一起吃
- 新疆夏粮收购开秤-环球最新
- 焦点关注:青岛男孩存银行1.1亿,当天竟全被转走?银行:为你好帮你还债了
- 焦点!北京电影学院研究生学费一年多少_北京电影学院研究生学费
- 芯海科技获ISO 26262功能安全管理体系ASIL D认证 为国产车规芯片保驾护航 当前观察
- 打通快递进村“最后一公里” 天天速讯
- 环球头条:天齐锂业董事长蒋卫平:锂价永远回不到每吨3万、4万
- 售价144.89万起 新款X5 M/X6 M雷霆版上市
- 年三十祝福(年三十祝福语)
- yy分组简单设计可复制_cfyy频道分组设计
- 双节将至 酒店、旅游逆势狂欢!电站锅炉管龙头20cm涨停 光热发电再受关注-即时看
- 成都这家景区,全员免费!|观点
- 2014年是什么年天干地支_2014年是什么年-天天简讯
- 湿银耳保质期多久?
- 知名女星承认出轨!将无限期暂停演出
- 红色利剑全部演员表角色介绍_红色利剑的演员简介介绍
- 世界头条:夏枯草的作用与功效能治疗咽炎_夏枯草的作用与功效
- 热门看点:今日腔肠动物的主要特征笔记_腔肠动物的主要特征有哪些
- 天天精选!谷歌推出多项功能:识别皮肤病、模拟试穿衣服
- 曹蓟光:5G全连接工厂赋能企业数字化转型_快播报
- 魔幻!那个抱了梅西的球迷,穿的鞋登上淘宝热销榜首!网友:一双好鞋,掌控全场……_环球今热点
- 向佐自曝拍戏情绪太饱满误伤“古典舞女神”唐诗逸,发文道歉获女方回应:受伤难免,记得下次见面吃我一拳!
- “五五购物节”火热进行中,活动丰富、优惠多多|环球时快讯
- 2021牛年新年祝福短句图片大全_2021牛年新年祝福短句图片 世界看热讯
- 家常羊排炖萝卜、强健身体、暖身散寒,凛冬季节必吃的一道美食
- 算大账因素在盘面越发明显 天天观热点
- 红沙土适合种什么 红沙土适合种哪些植物
- A股首单房企重组项目注册生效 招商蛇口收购南油、前海实业获批
- 佳缘科技(301117):6月16日北向资金增持7.34万股|天天热资讯
- 【手慢无】全新13代酷睿强芯 华为MateBook X Pro商务本9999元抢购
- “天津第一名厨”魏天成:给印度总理做菜,毛主席也对他赞不绝口|环球通讯
- 世界观速讯丨茱丽叶吉他测评_茱丽叶高登罗
- 【天天新视野】博湖县市场监督管理局开展医疗器械质量安全专项检查行动
- 焦点观察:苏翊鸣保送清华,郑钦文成为李娜学妹,王哲林张镇麟无缘上海交大
- 一周为民办事丨长沙县:井盖松动引噪音,部门及时更换|全球实时
- 售价下调到2699元的小米12S,是入手的最佳时机吗?
- 天天热文:dnf名字怎么打空格win10_dnf名字怎么打空格
- 打残理想的,是华为吗?_全球资讯
- 韩国发生车辆连环相撞事故致80余人受伤 今日最新
- 见过大世面的女人,都爱穿裙子配平底鞋,看街拍达人就知道答案 世界快资讯
- 全球实时:采煤区变“光伏园” 高原“海滨藏城”实现绿色转型
- 凉山彝族火把节将于7月20日至8月30日举行
- 交易员看衰全球经济和需求端 原油易跌难涨
- 洋葱有营养吗 洋葱的营养价值|世界快资讯
- 上海什么时候入梅2023
- 首次!神十六乘组开展舱外辐射生物学暴露实验 今日讯
- 环球快报:百合花开花后怎么养?盆栽 百合花开花后如何养殖
- 谨慎下载!Win10 ISO镜像被黑客下马
- 义翘神州(301047):6月16日北向资金减持4800股
- 618淘金客冲进直播间抢空金饰,不到两小时卖出近3000万,主播:没库存了
- 搴旗(搴)
- 杨立昆:当前AI智力不如宠物狗 人类无需恐惧-今日热门
- 爱士惟携海外品牌Solplanet亮相Intersolar Europe 天天播资讯
- 盘点各地育儿补贴新政“成绩单”|当前简讯
- 京东退款多久到账啊_京东退款多久到账
- AI视频「闪烁」难题攻破!轻松改变视频风格,北大校友一作 今日要闻
- 每日快看:老年人存定期,存一年好?还是三年好?内行人给出“良心建议”
- 天天热点评!手机网站这样制作才能有效果
- 通灵股份(301168):6月16日北向资金减持31.26万股
- 【全球热闻】常州灵活就业人员社保费用怎么算 2023年常州灵活就业社保缴费多少钱
- 如何使用PSSH在远程服务器上运行并行命令 环球即时看
- 科特迪瓦国旗_关于科特迪瓦国旗的介绍
- 表面工程技术行业应用前景 表面工程技术行业发展策略研究
- 简讯:中熔电气(301031):6月16日北向资金减持6.92万股
- 环球观焦点:2023 年军队院校招收广东普通高中毕业生工作启动,扩招 56 人
- 我的世界旗帜图案设计_我的世界旗帜|今热点
- 生源地助学贷款续贷网上申请流程 八大步骤让你顺利拿到资助-环球最新
- 起亚EV6将于6月份开启盲订 8月成都车展期间上市 世界微资讯
- 世界热门:四川巴中高一女生失联七天后被发现死亡,警方:已排除他杀
- 云南民营经济增加值占GDP比重历史性突破50%
- 广立微(301095):6月16日北向资金增持3.17万股
- 每日焦点!宜昌运营公司:警路企联合开展全国安全宣传咨询日活动
- 焦点速看:延吉白衣天使开展红色星期五主题党日活动
- 氯化钾溶液作用与功效_氯化钾溶液
- 大量委托生产 部分产品钠、糖含量较高 一份报告发现儿童食品这些问题-当前速递
- 糙米有营养吗 糙米有什么营养价值与功效呢