又来跟师傅们分享小技巧了,这次简单介绍一下三种常见的webshell流量分析,希望能对参加HW蓝队的师傅们有所帮助。
什么是webshell
webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。使用方法简单,只需上传一个代码文件,通过网址访问,便可进行很多日常操作,极大地方便了使用者对网站和服务器的管理。正因如此,也有小部分人将代码修改后当作后门程序使用,以达到控制网站服务器的目的,也可以将其称做为一种网页后门
哥斯拉
流量包特征
JAVA_AES_BASE64特征
1.host头问题
2.密码和base64字符串是密码=base64字符串的形式
3.发送包是密码=base64字符串的形式,返回包是类base64字符串的格式
JAVA_AES_RAW特征
1.host问题及Content-Type: application/octet-stream
2.发送的数据包为没有被base64编码后的AES加密后的字节数据
蚁剑
流量包特征
默认编码器,解码器除base64之外的特征,测试连接、正常的webshell操作时,发送包特征为密码
=base64字符串&随机字符串=类似于base64字符串,且返回包为明⽂
默认编码器,解码器base64的特征,返回包中是base64编码后的字符串
⽂件上传包格式的webshell连接,密码写在了上传包参数中,返回包base64编码后的字符串
冰蝎
流量包特征
正常的冰蝎连接成功之后,它的流量具有以下特征
1.header头的顺序是颠倒的,可以和正常的请求做对⽐,正常的请求host头⼀般是header头的第⼀位
发送包是正常的base64字符串,返回包是字节数组,所以返回包会乱码
如果冰蝎的密码不对,那么会出现两个连接,第⼀个是post连接,第⼆个是get连接
如果第⼀次post请求没有返回正常的字节码,那么冰蝎会发起⼀次get请求附带webshell密码
同⼀个攻击IP,连接的User-Agent会不断的变化
postheader头Content-Type为application/octet-stream
失败时header头Referer的shell⽂件名是随机的
下载⽂件时,如果是⽂本⽂件,为明⽂传输
微信公众号
扫一扫关注CatalyzeSec公众号
加入我们的星球
我们能提供:
1对1就业指导、面试模拟、Golang工具开发学习、Fofo高级会员、各公众号历史文章合集、各种网络安全电子书、面试题合集、最新poc、exp、最常用工具推荐、开放交流环境,解决成员问题。
