现在网站开发语言有,国外源码下载网站,我想做电商,建立能网上交易的网站多少钱文章目录 CSCS的工作原理CS流量特征 菜刀phpJSPASP 蚁剑冰蝎哥斯拉 对于常见的webshell管理工具有中国菜刀#xff0c;蚁剑#xff0c;冰蝎#xff0c;哥斯拉。同时还有渗透工具cobaltstrike(CS)。 CS
CobaltStrike有控制端#xff0c;被控端#xff0c;服务端。(相当于黑… 文章目录 CSCS的工作原理CS流量特征 菜刀phpJSPASP 蚁剑冰蝎哥斯拉 对于常见的webshell管理工具有中国菜刀蚁剑冰蝎哥斯拉。同时还有渗透工具cobaltstrike(CS)。 CS
CobaltStrike有控制端被控端服务端。(相当于黑客服务器代理)
CS的工作原理
基本的工作流程如下 被控端发送心跳包服务端接收并记录相关信息被控端再次发送心跳包询问是否有指令控制端发送需要进行的操作指令到服务端服务端将操作指令加密发送到被控端解密执行返回信息 CS流量特征
关于其流量特征 心跳包间隔一定时间发送请求有CDN与前置的IP会被隐藏心跳包中服务端返回的包更长甚至包含dll模块数据返回结果body会被加密base64编码通信数据都隐藏在jqeury.js中 菜刀
分为phpjspasp三类
php 数据包中会存在eval用来传递执行函数形式会提交一个含有base64编码的参数。数据通常为固定的QGlua…7J,参数名可能为z0webshell写的提交方式有三种POSTGETREQUEST cmdeval((base64_decode($_POST[z0]))z0QGluaV9zZXQ...JSP 通常含有i一个字母参数编码方式参数payload的形式 iAz0ASCIIz1.......ASP execute函数,-----相当于php中eval函数 Onerror ResumeNext函数,----相当于php的报错不会影响继续执行 Response.write和Response.end完善整个操作 蚁剑
解密后的密文会包含ini_set(“display_errors”,“0”)
冰蝎
一般的webshell工具流量特征比较明显容易被发现冰蝎其最大特点就是对交互流量进行对称加密且加密密钥是由随机数函数动态生成因此该客户端的流量几乎无法检测。 Accept: application/json, text/javascript, /; q0.01 User-agent。冰蝎设置了多种User-Agent,每次连接shell时会随机选择一个进行使用。 也可以查看是否存在evalpost等特征函数。但是大部分都采用了加密 还有很多方法可以自己查查资料
哥斯拉
是利用动态加密流量来躲避传统的安全防护设备基于流量特征的检测 Cookie。对于一般的数据包来说cookie结尾不应该使用而在哥斯拉数据包中使用了User-Agent如果使用默认的情况会暴露使用的jdk信息可以去除.响应体的数据有一定特征哥斯拉会把一个32位的md5字符串按照一半拆分分别放在base64编码的数据的前后两部分。整个响应包的结构体征为md5前十六位base64md5后十六位。
