做一个简单的网站,网站展示,资阳市网站seo,吃的网站要怎么做又来跟师傅们分享小技巧了#xff0c;这次简单介绍一下三种常见的webshell流量分析#xff0c;希望能对参加HW蓝队的师傅们有所帮助。
什么是webshell
webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境#xff0c;主要用于网站管理、服务器管理、…又来跟师傅们分享小技巧了这次简单介绍一下三种常见的webshell流量分析希望能对参加HW蓝队的师傅们有所帮助。
什么是webshell
webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境主要用于网站管理、服务器管理、权限管理等操作。使用方法简单只需上传一个代码文件通过网址访问便可进行很多日常操作极大地方便了使用者对网站和服务器的管理。正因如此也有小部分人将代码修改后当作后门程序使用以达到控制网站服务器的目的也可以将其称做为一种网页后门
哥斯拉
流量包特征
JAVA_AES_BASE64特征 1.host头问题
2.密码和base64字符串是密码base64字符串的形式
3.发送包是密码base64字符串的形式返回包是类base64字符串的格式
JAVA_AES_RAW特征 1.host问题及Content-Type: application/octet-stream
2.发送的数据包为没有被base64编码后的AES加密后的字节数据
蚁剑
流量包特征
默认编码器解码器除base64之外的特征测试连接、正常的webshell操作时发送包特征为密码
base64字符串随机字符串类似于base64字符串且返回包为明⽂ 默认编码器解码器base64的特征返回包中是base64编码后的字符串 ⽂件上传包格式的webshell连接密码写在了上传包参数中返回包base64编码后的字符串 冰蝎
流量包特征
正常的冰蝎连接成功之后它的流量具有以下特征
1.header头的顺序是颠倒的可以和正常的请求做对⽐正常的请求host头⼀般是header头的第⼀位 发送包是正常的base64字符串返回包是字节数组所以返回包会乱码 如果冰蝎的密码不对那么会出现两个连接第⼀个是post连接第⼆个是get连接
如果第⼀次post请求没有返回正常的字节码那么冰蝎会发起⼀次get请求附带webshell密码 同⼀个攻击IP连接的User-Agent会不断的变化
postheader头Content-Type为application/octet-stream
失败时header头Referer的shell⽂件名是随机的 下载⽂件时如果是⽂本⽂件为明⽂传输 微信公众号
扫一扫关注CatalyzeSec公众号 加入我们的星球
我们能提供
1对1就业指导、面试模拟、Golang工具开发学习、Fofo高级会员、各公众号历史文章合集、各种网络安全电子书、面试题合集、最新poc、exp、最常用工具推荐、开放交流环境解决成员问题。
