526互联

蚁剑、冰蝎和哥斯拉流量特征分析

发布时间 2023-11-03 14:43:37作者: Mr-Ryan

蚁剑、冰蝎、哥斯拉流量特性分析

蚁剑流量特征分析

设置代理

蚁剑webshell静态特征

  • 蚁剑中php使用assert、eval执行;
  • asp只有eval执行;
  • 在jsp使用的是Java类加载(ClassLoader),同时会带有base64编码解码等字符特征。

蚁剑webshell动态特征

使用一句话木马上传webshell,抓包后会发现每个请求体都存在以 @ini_set("display_errors","0");@set_time_limit(0) 开头。并且后面存在 base64 等字符

响应包的结果返回格式为:

  • 随机数
  • 响应内容
  • 随机数

冰蝎流量特征分析

设置代理

payload分析

  • php在代码中同样会存在 evalassert 等字符特征

  • 在aps中会在for循环进行一段异或处理

  • 在jsp中则利用java的反射,所以会存在 ClassLoadergetClass().getClassLoader() 等字符特征

冰蝎4.0流量特征

  1. Accept

    Accept: application/json, text/javascript, */*; q=0.01

    意思是浏览器可接受任何文件,但最倾向application/jsontext/javascript

  2. Content-Type
    PHP站点:

    Content-type: Application/x-www-form-urlencoded

    ASP站点:

    Application/octet-stream

    可以把这个字段作为一个弱特征,辅助其他特征来检测

  3. User-agent 字段
    冰蝎设置了10种User-Agent,每次连接shell时会随机选择一个进行使用。

  4. 响应头字段

    Set-Cookie: PHPSESSID=a59734f13f1fe73947e0b3b01ea2aabe; path=/
Pragma: no-cache

哥斯拉流量特征

哥斯拉支持多种加密方式,采用了和冰蝎 2.0 类似的密钥交换方式。它的webshell需要动态生成,可以根据需求选择不同的加密方式。

设置代理

哥斯拉静态特征

在默认脚本编码的情况下,jsp会出现xcpass字符和Java反射(ClassLoadergetClass().getClassLoader()),base64加解码等特征。
php、asp则为普通的一句话木马

哥斯拉动态特征

  1. 请求头Accept
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
  2. 响应头Cache-Control
    Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
  3. Cookie
    Cookie中有一个非常关键的特征,最后会有个分号