做网站多大上行速度,余音网wordpress主题,网站官网怎么做,免费查公司信息护网哥斯拉、冰蝎、中国蚁剑流量分析 【点击免费领取】CSDN大礼包#xff1a;《黑客网络安全入门进阶学习资源包》#x1f517;包含了应急响应工具、入侵排查、日志分析、权限维持、Windows应急实战、Linux应急实战、Web应急实战。 护网中最担心的是木马已经到了服…护网哥斯拉、冰蝎、中国蚁剑流量分析 【点击免费领取】CSDN大礼包《黑客网络安全入门进阶学习资源包》包含了应急响应工具、入侵排查、日志分析、权限维持、Windows应急实战、Linux应急实战、Web应急实战。 护网中最担心的是木马已经到了服务器我们的监控软件却没告警之所以没有告警主要原因就是我们使用的木马进行了各种加密和变种导致了监控软件根本无法解密识别今天我们就对市面上最常见的三款shell管理工具哥斯拉、冰蝎、中国蚁剑的流量进行分析以确保我们在护网时遇到看不懂。 0x1 冰蝎 冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端。老牌 Webshell 管理神器——中国菜刀的攻击流量特征明显容易被各类安全设备检测实际场景中越来越少使用加密 Webshell 正变得日趋流行。 由于通信流量被加密传统的 WAF、IDS 设备难以检测给威胁狩猎带来较大挑战。冰蝎其最大特点就是对交互流量进行对称加密且加密秘钥是由随机数函数动态生成因此该客户端的流量几乎无法检测。 基于冰蝎的加密流量威胁剖析其通信原理冰蝎的通信过程可以分为两个阶段密钥协商以及加密传输。 第一阶段密钥协商 1攻击者通过 GET 或者 POST 方法形如 http://xx.xxx.xx.xx/shell.aspx?pass645 的请求服务器密钥 2服务器使用随机数 MD5 的高16位作为密钥存储到会话的 $_SESSION 变量中并返回密钥给攻击者。 第二阶段-加密传输 1客户端把待执行命令作为输入利用 AES 算法或 XOR 运算进行加密并发送至服务端 2服务端接受密文后进行 AES 或 XOR 运算解密执行相应的命令 3执行结果通过AES加密后返回给攻击者。 冰蝎2.0 使用**AES加密 base64编码**AES使用动态密钥对通信进行加密进行请求时内置了十几个User-Agent头每次请求时会随机选择其中的一个。因此当发现一个ip的请求头中的user-agent在频繁变换就可能是冰蝎。冰蝎3.0 使用AES加密 base64编码,取消了2.0的动态获取密钥使用固定的连接密钥AES加密的密钥为webshell连接密码的MD5的前16位默认连接密码是rebeyond(即密钥是md5(rebeyond)[0:16]e45e329feb5d925b)。进行请求时内置了十几个User-Agent头每次请求时会随机选择其中的一个。因此当发现一个ip的请求头中的user-agent在频繁变换就可能是冰蝎。 3.0连接jsp的webshell的请求数据包中的content-type字段常见为application/octet-stream3.0连接jsp的webshell的请求数据包中的content-type字段常见为application/octet-stream 冰蝎4.0 提供了传输协议自定义的功能让用户对流量的加密和解密进行自定义实现流量加解密协议的去中心化。v4.0版本不再有连接密码的概念自定义传输协议的算法就是连接密码。 Accept字段弱特征通常是Accept: application/json, text/javascript, /; q0.01 意思是浏览器可接受任何文件但最倾向application/json 和 text/javascript。 Content-Type字段弱特征通常是Content-type: Application/x-www-form-urlencoded 与冰蝎的前述版本相似进行请求时内置了十几个User-Agent头每次请求时会随机选择其中的一个。 连接的端口有一定的特征冰蝎与webshell建立连接的同时java也与目的主机建立tcp连接每次连接使用本地端口在49700左右(就是比较大的端口)每连接一次每建立一次新的连接端口就依次增加。 使用长连接避免了频繁的握手造成的资源开销。默认情况下请求头和响应头里会带有 ConnectionKeep-Alive 有固定的请求头和响应头请求字节头dFAXQV1LORcHRQtLRlwMAhwFTAg/M 响应字节头TxcWR1NNExZAD0ZaAWMIPAZjH1BFBFtHThcJSlUXWEd 默认时冰蝎 webshell都有“e45e329feb5d925b” 一串密钥与冰蝎3.0相同。 总结冰蝎版本较多但是通性就是同一个ip请求User-Agent头会不断的变化冰蝎4.0要考虑User-Agent头、端口号、开头字节及connection 0x2 哥斯拉 哥斯拉支持多种加密方式采用了和冰蝎 2.0 类似的密钥交换方式。它的webshell需要动态生成可以根据需求选择不同的加密方式。** 哥斯拉静态特征**
在默认脚本编码的情况下jsp会出现xc、pass字符和Java反射(ClassLoadergetClass().getClassLoader())base64加解码等特征。
哥斯拉动态特征 User-Agent字段弱特征如果采用默认的情况会暴露使用的jdk信息。不过哥斯拉支持自定义HTTP头部这个默认特征是可以很容易去除的。 Accept字段弱特征默认是Accept:text/html, image/gif, image/jpeg, *; q.2, /; q.2。同上这个也可修改只能作为辅助检测的特征。 Cookie中有一个非常关键的特征最后会有个分号。估计后续的版本会修复。 响应体的数据有一定特征哥斯拉会把一个32位的md5字符串按照一半拆分分别放在base64编码的数据的前后两部分。整个响应包的结构体征为md5前十六位base64md5后十六位。 0x3 中国蚁剑
** 蚁剑webshell静态特征**
蚁剑中php使用assert、eval执行asp只有eval执行在jsp使用的是Java类加载ClassLoader同时会带有base64编码解码等字符特征。
蚁剑webshell动态特征
我们使用一句话木马上传webshell抓包后会发现每个请求体都存在以ini_set(display_errors,0);set_time_limit(0)开头。并且响应体的返回结果是base64编码发混淆字符格式为随机数 结果 随机数。 以上技术内容参考互联网各类技术大佬分享进行整合如有错误还请大家留言指正。 网络安全成长路线图
这个方向初期比较容易入门一些掌握一些基本技术拿起各种现成的工具就可以开黑了。不过要想从脚本小子变成hei客大神这个方向越往后需要学习和掌握的东西就会越来越多以下是学习网络安全需要走的方向
# 网络安全学习方法 上面介绍了技术分类和学习路线这里来谈一下学习方法 ## 视频学习
无论你是去B站或者是油管上面都有很多网络安全的相关视频可以学习当然如果你还不知道选择那套学习我这里也整理了一套和上述成长路线图挂钩的视频教程完整版的视频已经上传至CSDN官方朋友们如果需要可以点击这个链接免费领取。网络安全重磅福利入门进阶全套282G学习资源包免费分享
