1.冰蝎(Behinder)

下载链接:https://github.com/rebeyond/Behinder/releases

截止至我发贴时,冰蝎最新版本是3.0,客户端兼容性有所提升(但仍不是所有JDK都支持的,如果你jar不能运行,看看是不是环境不满足要求,淦)

说点老生常谈的东西

冰蝎使用了Java开发、加密传输,而且会常常更新,猝不及防。。。良心、神器,,,基本的webshell管理功能都有,而且很强大

所以被盯上很久了

3.0以前的冰蝎采用了一个叫密钥协商的机制

借这图展示一下老冰蝎工作流程:

客户端GET请求密钥是带密码明文的传输,客户端获取密钥后,采取某种加密算法加密payload,之后POST过去,然后服务端采用同样的加密方法应答传回客户端

那么是如何通过检测流量获得冰蝎特征的呢?

首先是通过密钥协商机制检测

事实上,冰蝎客户端会发出两次请求,即二次密钥协商,并将两次获得的密钥异或来判断密钥可用性

这里有位师傅分析过此原理:https://xz.aliyun.com/t/7606

这就很容易被检测到可疑行为,这部分呢,作者就是这么写的,除非你反编译获得源码,修改他本来的代码,改掉二次密钥协商的过程,不然不好搞

这部分,在3.0中改了(泪目),去除了动态密钥协商机制,采用预共享密钥,全程无明文交互,密钥格式为md5("admin")[0:16]

一个简单的冰蝎3.0使用教程:https://blog.csdn.net/qq_41874930/article/details/107916317

第二是通过HTTP请求特征检测

比如那个user-agent,正常来说每个shell会从十多个自带的ua中随机选一个,问题是这些ua在现在会不会有些过时

如果检测的话,也容易杀敌一千自损八百,想绕过也相对来说比第一个密钥协商简单,不嫌麻烦抓包改包,一劳永逸反编译更新ua

另外冰蝎数据包总是伴随着大量的content-type:application什么什么,无论GET还是POST,这种特征可能会被检测出来

还有什么诸如 accept比较奇怪 、cache-control与pragma默认固定这些,好像据一些师傅反映,3.0也没有改

具体代码参考:https://zhuanlan.zhihu.com/p/187482560

第三可以通过行为检测

如果发现有可疑的上传行为,来,拉出来单练

以上是一些特征,最关键的密钥协商3.0版本已经改了,剩下的一些特征多为弱类型

冰蝎魔改教程:https://www.anquanke.com/post/id/212271#h2-13

关于各种shell代码,都可以看到,不比较了,请参考这篇文章:https://zhuanlan.zhihu.com/p/188664831

2.哥斯拉

哥斯拉Godzilla

流量加密效果更强,插件更多,号称“流量加密过市面上全部WAF”

下载链接:https://github.com/BeichenDream/Godzilla/releases

截止到我发帖更新到了2.96版本(下载不了的话可能需要一些特殊方法你懂的)

不同shell的功能点有差别

三大类payload

6种加密器,6种脚本后缀

如果有需求,可以自行修改全局配置请求头headers、加混杂数据leftData、rightData,很nice,这也导致流量层面的检测困难增大(个人感觉)

更多功能介绍参考:https://www.freebuf.com/news/247104.html

运行原理参考:https://www.freebuf.com/sectool/252840.html

静态的查杀概率还是比较高的,但是流量特征嘛。。。

这有一篇文章:https://www.anquanke.com/post/id/224831#h2-6

提供了一些思路。。。

参考文章:https://www.freebuf.com/articles/web/257956.html

未经允许,禁止转载

冰蝎&哥斯拉 流量特征分析的更多相关文章

  1. 记一次解密wireshark抓取的冰蝎通信流量

    一.关于冰蝎 1.1 简单介绍 冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端.老牌 Webshell 管理神器——中国菜刀的攻击流量特征明显,容易被各类安全设备检测,实际场 ...

  2. 冰蝎动态二进制加密WebShell特征分析

    概述 冰蝎一款新型加密网站管理客户端,在实际的渗透测试过程中有非常不错的效果,能绕过目前市场上的大部分WAF.探针设备.本文将通过在虚拟环境中使用冰蝎,通过wireshark抓取冰蝎通信流量,结合平时 ...

  3. 冰蝎动态二进制加密WebShell基于流量侧检测方案

    概述 冰蝎是一款新型动态二进制加密网站工具.目前已经有6个版本.对于webshell的网络流量侧检测,主要有三个思路.一:webshell上传过程中文件还原进行样本分析,检测静态文件是否报毒.二:we ...

  4. MacOS下如何优雅的使用冰蝎

    因为冰蝎也是使用 JAVA 写的跨平台应用程序,我们可以借助 macOS 自带的 自动操作 automator.app 来创建一个应用程序. 前言: 冰蝎是一种新型的Webshell连接工具,在日常的 ...

  5. 【原创】冰蝎v3.0操作使用手册

    写在前面 近期冰蝎更新了内网穿透模块中的一些功能,有不少朋友不知道参数怎么填,希望能出一个使用指导手册,就借这个机会写一个"说明书"(文中有大量演示动图,请耐心等待加载). 基本信 ...

  6. 利用shiro反序列化注入冰蝎内存马

    利用shiro反序列化注入冰蝎内存马 文章首发先知社区:https://xz.aliyun.com/t/10696 一.shiro反序列化注入内存马 1)tomcat filter内存马 先来看一个普 ...

  7. 内网安全之横向移动(冰蝎&&msf&&IPC$)

    1.冰蝎介绍 冰蝎是一款目前比较流行的Webshell管理工具,在2021年更新的2021.4.20 v3.0 Beta 9 版本中去除了动态密钥协商机制,采用预共享密钥,载荷全程无明文.因其优秀的加 ...

  8. 关于AWD线下攻防的经验

    备份:     1.备份源码,使用图像化工具连接ssh后,我喜欢用winscp,         找到根目录后,直接右键后台下载就行.           找根目录这里,有时候比赛不给根目录位置,上次 ...

  9. Java安全之安全加密算法

    Java安全之安全加密算法 0x00 前言 本篇文来谈谈关于常见的一些加密算法,其实在此之前,对算法的了解并不是太多.了解的层次只是基于加密算法的一些应用上.也来浅谈一下加密算法在安全领域中的作用.写 ...

随机推荐

  1. 阿里云ECS问题 Login Incorrect , all available gssapi merchanisms failed

    1.阿里云ECS无法登录 Login Incorrect 阿里云ECS密码包含2个密码: 1.重置密码(实例密码也就是我们SSH远程连接的密码): 2.修改远程连接密码(在阿里云网页控制台上远程连接的 ...

  2. Java实验项目三——宠物商店

    Program:宠物商店的设计(继承,接口,线性线性表) Description:本题未实现图形用户界面,项目结构描述如下: classes.Pet:定义宠物接口,只要实现该接口的宠物类,都可存储进宠 ...

  3. 多es 集群数据迁移方案

    前言 加入新公司的第二个星期的星期二 遇到另一个项目需要技术性支持:验证es多集群的数据备份方案,需要我参与验证,在这个项目中需要关注到两个集群的互通性.es集群是部署在不同的k8s环境中,K8s环境 ...

  4. java基础---设计模式(3)

    行为型模式 出处:http://blog.csdn.net/zhangerqing 行为型模式包括策略模式.模板方法模式.观察者模式.迭代子模式.责任链模式.命令模式.备忘录模式.状态模式.访问者模式 ...

  5. CSP2020游记

    初赛 这次考试完全没准备好啊-- Day0 (10.10) 本来打算看看初赛的内容 然后因为各种原因咕了-- 就做了一下洛谷的模拟卷 结果 \(40 \text{min}\) 得 \(80 \text ...

  6. Django基础011-form&modelform

    1.form from django import forms from django.core.exceptions import ValidationError #出现异常时用的 from use ...

  7. Linux小白基础命令操作

    [root@localhost ~]]# [当前登录系统的用户@主机名称 当前所在的目录]# #表示为管理员登录 $ 表示为普通用户登录 切换用户su 用户名     切换后所在目录不变  ,#变成$ ...

  8. clickhouse分布式集群

    一.环境准备: 主机 系统 应用 ip ckh-01 centos 8 jdk,zookeeper,clickhouse 192.168.205.190 ckh-02 centos 8 jdk,zoo ...

  9. 使用deepin系统自带命令切割视频使用lossless免费软件切割

    1,使用ffmpeg命令:ffmpeg -ss 00:00:10 -i gaodengshuxue.mp4 -vcodec copy -acodec copy -t 00:00:20 output.m ...

  10. visibility:hidden和display:none的区别

    一.相同点 disable:none和visibility:hidden都能把网页上的某元素隐藏起来 二.不同点 display:none--不为被隐藏的对象保留其物理空间,即该对象在页面上彻底消失. ...