WebShell流量特征检测_蚁剑篇

news/2025/1/16 10:16:35/文章来源:https://www.cnblogs.com/congcon/p/18360987
80后用菜刀,90后用蚁剑,95后用冰蝎和哥斯拉,以phpshell连接为例,本文主要是对这四款经典的webshell管理工具进行流量分析和检测。

什么是一句话木马?

1、定义
顾名思义就是执行恶意指令的木马,通过技术手段上传到指定服务器并可以正常访问,将我们需要服务器执行的命令上传并执行
2、特点
短小精悍,功能强大,隐蔽性非常好
3、举例
php一句话木马用php语言编写的,运行在php环境中的php文件,例:<?php @eval($_POST['pass']);?>
4、原理
以最为常见的php一句话木马为例,"<?php ?>"为php固定规范写法,"@"在php中含义为后面如果执行错误不会报错,"eval()"函数表示括号里的语句全做代码执行,"$_POST['pass']"表示从页面中以post方式获取变量pass的值

二、蚁剑(AntSword v2.1)

①蚁剑的很多代码源于中国菜刀,所以它的通讯流量与中国菜刀很相似

②内置多种编码器解码器,用于蚁剑客户端和Shell服务端通信时的编码和加密操作,可用于绕过WAF

③支持HTTP、HTTPS、SOCKS4、SOCKS5四种代理协议

④自定义编码器和解码器

1、AntSword default编码

(1)代码分析

1.输出了当前脚本的目录

2.判断了操作系统

3.获取了当前用户信息

4.在输出首尾加上了随机的字符串

(2)数据包分析

(3)规则总结

['request_body']: =%40ini_set(%22display_errors%22%2C%20%220%22)%3B%40set_time_limit(0)%3B
['User-Agent']: antSword/v2.1 (弱特征)

2、AntSword base64编码

(1)数据包分析

(2)规则总结

['request_body']: =QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwgIjAiKTtAc2V0X3RpbWVfbGltaXQoMCk7
['User-Agent']: antSword/v2.1 (弱特征)
3、AntSword ChR编码

(1)数据包分析

(2)规则总结

['request_body’]: cHr(64).ChR(105).ChR(110).ChR(105).ChR(95).ChR(115).ChR(101).ChR(116).ChR(40).ChR(34).ChR(100).ChR(105).ChR(115).ChR(112).ChR(108).ChR(97).ChR(121).ChR(95).ChR(101).ChR(114).ChR(114).ChR(111).ChR(114).ChR(115).ChR(34).ChR(44).ChR(32).ChR(34).ChR(48).ChR(34).ChR(41).ChR(59).ChR(64).ChR(115).ChR(101).ChR(116).ChR(95).ChR(116).ChR(105).ChR(109).ChR(101).ChR(95).ChR(108).ChR(105).ChR(109).ChR(105).ChR(116).ChR(40).ChR(48).ChR(41).ChR(59)
['User-Agent']: antSword/v2.1 (弱特征)

4、AntSword ChR16编码

(1)数据包分析

(2)规则总结

['request_body’]: cHr(0x40).ChR(0x69).ChR(0x6e).ChR(0x69).ChR(0x5f).ChR(0x73).ChR(0x65).ChR(0x74).ChR(0x28).ChR(0x22).ChR(0x64).ChR(0x69).ChR(0x73).ChR(0x70).ChR(0x6c).ChR(0x61).ChR(0x79).ChR(0x5f).ChR(0x65).ChR(0x72).ChR(0x72).ChR(0x6f).ChR(0x72).ChR(0x73).ChR(0x22).ChR(0x2c).ChR(0x20).ChR(0x22).ChR(0x30).ChR(0x22).ChR(0x29).ChR(0x3b).ChR(0x40).ChR(0x73).ChR(0x65).ChR(0x74).ChR(0x5f).ChR(0x74).ChR(0x69).ChR(0x6d).ChR(0x65).ChR(0x5f).ChR(0x6c).ChR(0x69).ChR(0x6d).ChR(0x69).ChR(0x74).ChR(0x28).ChR(0x30).ChR(0x29).ChR(0x3b)
['User-Agent']: antSword/v2.1 (弱特征)

5、AntSword ROT13编码

(1)数据包分析

(2)规则总结

['request_body']:%40vav_frg(%22qvfcynl_reebef%22%2C%20%220%22)%3B%40frg_gvzr_yvzvg(0)%3B
['User-Agent']: antSword/v2.1(弱特征)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/791796.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【PyCharm】解决虚拟环境pip无法使用问题

@目录1.新建虚拟环境的bug描述解决方法2.更换路径的bug解决方法2.虚拟环境使用2.1 特性2.2 进入与退出进入退出1.新建虚拟环境的bug 描述在PyCharm内新建或者打开一个项目时,我们需要选择一个python解释器,如果我们选择新建一个虚拟环境,如下图所示:进入项目后,我们打开终…

AURIX™ Development Studio1.10.2(ADS)安装使用教程

以TC264系列MCU为例,介绍安装与使用AURIX™ Development Studio1.10.2的方法。零、介绍 AURIX™ Development Studio是Infineon为TriCore™-based AURIX™ microcontroller系列车规单片机设计的一款免费IDE(集成开发环境),基于Eclipse IDE开发。其包含了C编译器、TASKING调试…

随机森林分类模型 0基础小白也能懂(附代码)

随机森林分类模型 原文链接 啥是随机森林 随机森林是一种由决策树构成的(并行)集成算法,属于Bagging类型,通过组合多个弱分类器,最终结果通过投票或取均值,使得整体模型的结果具有较高的精确度和泛化性能,同时也有很好的稳定性,广泛应用在各种业务场景中。随机森林有如…

Redis组件介绍(六)

今天学习redis最后的知识写在前面 今天学习redis最后的知识。 Redis 的发布与订阅 发布/订阅模式 Redis 提供了两种发布/订阅模式:基于频道 (Channel) 的发布/订阅 基于模式 (Pattern) 的发布/订阅相关命令订阅频道 subscribe channel [channel ...]订阅给定的一个或多个频道。…

prometheus学习笔记之集群内服务发现环境准备

一、环境介绍主要演示prometheus在k8s集群中如何通过服务自动去发现k8s集群自有服务及其他服务发现场景,后续会演示集群外部署prometheus自动发现k8s服务并获取数据创建监控使用的namespaceskubectl create ns monitoring配置docker可以下载镜像[root@k8s-master deploy]# cat…

使用列表推导式实现嵌套列表的平铺

先遍历列表中嵌套的子列表,然后再遍历子列表的元素并提取出来作为最终列表中的元素 a=[[1,2,3],[4,5,6],[7,8,9]] 通过列表推导式[c for b in a for c in b],我们首先将a中的每个子列表(这里用变量b表示) 遍历出来,然后对每个b进行遍历,提取出它的每个元素(这里用变量c表…

章10——面向对象编程(高级部分)——两种单例模式

代码如下: //单例模式 //instance--实例 //该篇中记录了饿汉模式和懒汉模式 public class HungryMan {public static void main(String[] args) {Single01.say();Single02.say();} }class Single01{//只能有instance这一个实例。private Single01(){System.out.println("…

列表操作示例

首先先定义一个列表,列表是写在[]里,用逗号隔开的,元素是可以改变的 列表的截取语法结构是:变量[头下标:尾下标] L = [abc,12,3.45,python,2.789] 输出完整列表 print(L) 输出列表的第一个元素 print(L[0]) 将列表的第一个元素修改为‘a’ L[0]=a 将列表的第2个元素到第3个…

如何设计真正的实时数据湖?

通过剖析“以湖代仓”观点的认知误区,本文提出了数据的流表二象性理论,并基于“流驱表”理念指出了湖仓融合的正确发展方向——利用流式计算加速湖内仓的数据流转,落地真正的实时数据湖。汽车制造行业在企业数据管理方案上的探索已有数十年之久,本文以辩证的视角回顾了这段…

【ELF系列】一文手撕ELF文件

一、ELF文件是什么二、ELF可重定位文件2.1 .shstrtab和.strtab2.2 .rel.text和.symtab2.3 .text节三、ELF可执行文件四、 参考原创 嵌入一下? 谦益行在一文了解ECU软件刷写文件HEX和S19格式 (qq.com)中介绍汽车控制器的刷写软件的格式,不管是编译生成的目标软件格式是哪种,同…