常见的webshell流量特征

2年前 (2022-01-01) 三千院翼 学习笔记 0评论 已收录 767℃

冰蝎特征

强特征:

  1. POST请求content-type
  2. Accept&Cache-Control
  3. 响应头特征:md5前十六位+base64+md5后十六位
  4. 请求都含有"pass="第一个包

弱特征:

  1. 网络上查找内置16个ua头

  2. content-length 请求长度

工作原理:

  1. 两端密钥协商,两次返回包中的数据不同的地方取密钥

  2. 加密传输,使用随机数MD5的高16位作为密钥储存会话的$_SESSION变量中,返回攻击者。

哥斯拉特征

工作原理:

  1. 基于流量,HTTP全加密的webshell

  2. AES加密

流量特征:

  1. 低版本会有特征,是强特征。

  2. 发送一段固定代码(payload),http响应为空

  3. 发送一段固定代码(test),执行结果为固定的。

  4. 在发送疑端固定代码(getGacisInfo)

蚁剑php连接特征

  1. php_XOR_BASE64

  2. 多个请求包有多个相同的传参字符

蚁键流量 UA请求头 有antworld 字样

绕过方式:

1)开启蚁剑代理设置

2)UA特征伪造

3)RSA流量加密

菜刀

caidao=Execute(payload)集中于body eval少数情况会使用assert替代

博主
               

一个网安苦手,VtbMusic开发组成员|兽耳科技官方群管理组成员|珈百璃字幕组成员|夜樱诺娅字幕组成员|铃音_Official鸽组成员|米孝子|信安摸鱼生

相关推荐

有任何意见请评价。