冰蝎&哥斯拉 流量特征分析
1.冰蝎(Behinder)
下载链接:https://github.com/rebeyond/Behinder/releases
截止至我发贴时,冰蝎最新版本是3.0,客户端兼容性有所提升(但仍不是所有JDK都支持的,如果你jar不能运行,看看是不是环境不满足要求,淦)
说点老生常谈的东西
冰蝎使用了Java开发、加密传输,而且会常常更新,猝不及防。。。良心、神器,,,基本的webshell管理功能都有,而且很强大
所以被盯上很久了
3.0以前的冰蝎采用了一个叫密钥协商的机制
借这图展示一下老冰蝎工作流程:
客户端GET请求密钥是带密码明文的传输,客户端获取密钥后,采取某种加密算法加密payload,之后POST过去,然后服务端采用同样的加密方法应答传回客户端
那么是如何通过检测流量获得冰蝎特征的呢?
首先是通过密钥协商机制检测
事实上,冰蝎客户端会发出两次请求,即二次密钥协商,并将两次获得的密钥异或来判断密钥可用性
这里有位师傅分析过此原理:https://xz.aliyun.com/t/7606
这就很容易被检测到可疑行为,这部分呢,作者就是这么写的,除非你反编译获得源码,修改他本来的代码,改掉二次密钥协商的过程,不然不好搞
这部分,在3.0中改了(泪目),去除了动态密钥协商机制,采用预共享密钥,全程无明文交互,密钥格式为md5("admin")[0:16]
一个简单的冰蝎3.0使用教程:https://blog.csdn.net/qq_41874930/article/details/107916317
第二是通过HTTP请求特征检测
比如那个user-agent,正常来说每个shell会从十多个自带的ua中随机选一个,问题是这些ua在现在会不会有些过时
如果检测的话,也容易杀敌一千自损八百,想绕过也相对来说比第一个密钥协商简单,不嫌麻烦抓包改包,一劳永逸反编译更新ua
另外冰蝎数据包总是伴随着大量的content-type:application什么什么,无论GET还是POST,这种特征可能会被检测出来
还有什么诸如 accept比较奇怪 、cache-control与pragma默认固定这些,好像据一些师傅反映,3.0也没有改
具体代码参考:https://zhuanlan.zhihu.com/p/187482560
第三可以通过行为检测
如果发现有可疑的上传行为,来,拉出来单练
以上是一些特征,最关键的密钥协商3.0版本已经改了,剩下的一些特征多为弱类型
冰蝎魔改教程:https://www.anquanke.com/post/id/212271#h2-13
关于各种shell代码,都可以看到,不比较了,请参考这篇文章:https://zhuanlan.zhihu.com/p/188664831
2.哥斯拉
哥斯拉Godzilla
流量加密效果更强,插件更多,号称“流量加密过市面上全部WAF”
下载链接:https://github.com/BeichenDream/Godzilla/releases
截止到我发帖更新到了2.96版本(下载不了的话可能需要一些特殊方法你懂的)
不同shell的功能点有差别
三大类payload
6种加密器,6种脚本后缀
如果有需求,可以自行修改全局配置请求头headers、加混杂数据leftData、rightData,很nice,这也导致流量层面的检测困难增大(个人感觉)
更多功能介绍参考:https://www.freebuf.com/news/247104.html
运行原理参考:https://www.freebuf.com/sectool/252840.html
静态的查杀概率还是比较高的,但是流量特征嘛。。。
这有一篇文章:https://www.anquanke.com/post/id/224831#h2-6
提供了一些思路。。。
参考文章:https://www.freebuf.com/articles/web/257956.html
未经允许,禁止转载
冰蝎&哥斯拉 流量特征分析的更多相关文章
- 记一次解密wireshark抓取的冰蝎通信流量
一.关于冰蝎 1.1 简单介绍 冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端.老牌 Webshell 管理神器——中国菜刀的攻击流量特征明显,容易被各类安全设备检测,实际场 ...
- 冰蝎动态二进制加密WebShell特征分析
概述 冰蝎一款新型加密网站管理客户端,在实际的渗透测试过程中有非常不错的效果,能绕过目前市场上的大部分WAF.探针设备.本文将通过在虚拟环境中使用冰蝎,通过wireshark抓取冰蝎通信流量,结合平时 ...
- 冰蝎动态二进制加密WebShell基于流量侧检测方案
概述 冰蝎是一款新型动态二进制加密网站工具.目前已经有6个版本.对于webshell的网络流量侧检测,主要有三个思路.一:webshell上传过程中文件还原进行样本分析,检测静态文件是否报毒.二:we ...
- MacOS下如何优雅的使用冰蝎
因为冰蝎也是使用 JAVA 写的跨平台应用程序,我们可以借助 macOS 自带的 自动操作 automator.app 来创建一个应用程序. 前言: 冰蝎是一种新型的Webshell连接工具,在日常的 ...
- 【原创】冰蝎v3.0操作使用手册
写在前面 近期冰蝎更新了内网穿透模块中的一些功能,有不少朋友不知道参数怎么填,希望能出一个使用指导手册,就借这个机会写一个"说明书"(文中有大量演示动图,请耐心等待加载). 基本信 ...
- 利用shiro反序列化注入冰蝎内存马
利用shiro反序列化注入冰蝎内存马 文章首发先知社区:https://xz.aliyun.com/t/10696 一.shiro反序列化注入内存马 1)tomcat filter内存马 先来看一个普 ...
- 内网安全之横向移动(冰蝎&&msf&&IPC$)
1.冰蝎介绍 冰蝎是一款目前比较流行的Webshell管理工具,在2021年更新的2021.4.20 v3.0 Beta 9 版本中去除了动态密钥协商机制,采用预共享密钥,载荷全程无明文.因其优秀的加 ...
- 关于AWD线下攻防的经验
备份: 1.备份源码,使用图像化工具连接ssh后,我喜欢用winscp, 找到根目录后,直接右键后台下载就行. 找根目录这里,有时候比赛不给根目录位置,上次 ...
- Java安全之安全加密算法
Java安全之安全加密算法 0x00 前言 本篇文来谈谈关于常见的一些加密算法,其实在此之前,对算法的了解并不是太多.了解的层次只是基于加密算法的一些应用上.也来浅谈一下加密算法在安全领域中的作用.写 ...
随机推荐
- 阿里云ECS问题 Login Incorrect , all available gssapi merchanisms failed
1.阿里云ECS无法登录 Login Incorrect 阿里云ECS密码包含2个密码: 1.重置密码(实例密码也就是我们SSH远程连接的密码): 2.修改远程连接密码(在阿里云网页控制台上远程连接的 ...
- Java实验项目三——宠物商店
Program:宠物商店的设计(继承,接口,线性线性表) Description:本题未实现图形用户界面,项目结构描述如下: classes.Pet:定义宠物接口,只要实现该接口的宠物类,都可存储进宠 ...
- 多es 集群数据迁移方案
前言 加入新公司的第二个星期的星期二 遇到另一个项目需要技术性支持:验证es多集群的数据备份方案,需要我参与验证,在这个项目中需要关注到两个集群的互通性.es集群是部署在不同的k8s环境中,K8s环境 ...
- java基础---设计模式(3)
行为型模式 出处:http://blog.csdn.net/zhangerqing 行为型模式包括策略模式.模板方法模式.观察者模式.迭代子模式.责任链模式.命令模式.备忘录模式.状态模式.访问者模式 ...
- CSP2020游记
初赛 这次考试完全没准备好啊-- Day0 (10.10) 本来打算看看初赛的内容 然后因为各种原因咕了-- 就做了一下洛谷的模拟卷 结果 \(40 \text{min}\) 得 \(80 \text ...
- Django基础011-form&modelform
1.form from django import forms from django.core.exceptions import ValidationError #出现异常时用的 from use ...
- Linux小白基础命令操作
[root@localhost ~]]# [当前登录系统的用户@主机名称 当前所在的目录]# #表示为管理员登录 $ 表示为普通用户登录 切换用户su 用户名 切换后所在目录不变 ,#变成$ ...
- clickhouse分布式集群
一.环境准备: 主机 系统 应用 ip ckh-01 centos 8 jdk,zookeeper,clickhouse 192.168.205.190 ckh-02 centos 8 jdk,zoo ...
- 使用deepin系统自带命令切割视频使用lossless免费软件切割
1,使用ffmpeg命令:ffmpeg -ss 00:00:10 -i gaodengshuxue.mp4 -vcodec copy -acodec copy -t 00:00:20 output.m ...
- visibility:hidden和display:none的区别
一.相同点 disable:none和visibility:hidden都能把网页上的某元素隐藏起来 二.不同点 display:none--不为被隐藏的对象保留其物理空间,即该对象在页面上彻底消失. ...