当前位置: 首页 > news >正文

WebShell流量特征检测_蚁剑篇

news 来源:原创 2024/9/20 20:26:36

什么是一句话木马?

1、定义

顾名思义就是执行恶意指令的木马,通过技术手段上传到指定服务器并可以正常访问,将我们需要服务器执行的命令上传并执行

2、特点

短小精悍,功能强大,隐蔽性非常好

3、举例

php一句话木马用php语言编写的,运行在php环境中的php文件,例:<?php @eval($_POST['pass']);?>

4、原理

以最为常见的php一句话木马为例,"<?php ?>"为php固定规范写法,"@"在php中含义为后面如果执行错误不会报错,"eval()"函数表示括号里的语句全做代码执行,"$_POST['pass']"表示从页面中以post方式获取变量pass的值

二、蚁剑(AntSword v2.1)

①蚁剑的很多代码源于中国菜刀,所以它的通讯流量与中国菜刀很相似
②内置多种编码器和解码器,用于蚁剑客户端和Shell服务端通信时的编码和加密操作,可用于绕过WAF
③支持HTTP、HTTPS、SOCKS4、SOCKS5四种代理协议
④自定义编码器和解码器

1、AntSword default编码

(1)代码分析

1.输出了当前脚本的目录
2.判断了操作系统
3.获取了当前用户信息
4.在输出首尾加上了随机的字符串

(2)数据包分析

(3)规则总结

['request_body']: =%40ini_set(%22display_errors%22%2C%20%220%22)%3B%40set_time_limit(0)%3B
['User-Agent']: antSword/v2.1 (弱特征)

2、AntSword base64编码

(1)数据包分析

(2)规则总结

['request_body']: =QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwgIjAiKTtAc2V0X3RpbWVfbGltaXQoMCk7
['User-Agent']: antSword/v2.1 (弱特征)

3、AntSword ChR编码

(1)数据包分析

(2)规则总结

['request_body’]: cHr(64).ChR(105).ChR(110).ChR(105).ChR(95).ChR(115).ChR(101).ChR(116).ChR(40).ChR(34).ChR(100).ChR(105).ChR(115).ChR(112).ChR(108).ChR(97).ChR(121).ChR(95).ChR(101).ChR(114).ChR(114).ChR(111).ChR(114).ChR(115).ChR(34).ChR(44).ChR(32).ChR(34).ChR(48).ChR(34).ChR(41).ChR(59).ChR(64).ChR(115).ChR(101).ChR(116).ChR(95).ChR(116).ChR(105).ChR(109).ChR(101).ChR(95).ChR(108).ChR(105).ChR(109).ChR(105).ChR(116).ChR(40).ChR(48).ChR(41).ChR(59)
['User-Agent']: antSword/v2.1 (弱特征)

4、AntSword ChR16编码

(1)数据包分析

(2)规则总结

['request_body’]: cHr(0x40).ChR(0x69).ChR(0x6e).ChR(0x69).ChR(0x5f).ChR(0x73).ChR(0x65).ChR(0x74).ChR(0x28).ChR(0x22).ChR(0x64).ChR(0x69).ChR(0x73).ChR(0x70).ChR(0x6c).ChR(0x61).ChR(0x79).ChR(0x5f).ChR(0x65).ChR(0x72).ChR(0x72).ChR(0x6f).ChR(0x72).ChR(0x73).ChR(0x22).ChR(0x2c).ChR(0x20).ChR(0x22).ChR(0x30).ChR(0x22).ChR(0x29).ChR(0x3b).ChR(0x40).ChR(0x73).ChR(0x65).ChR(0x74).ChR(0x5f).ChR(0x74).ChR(0x69).ChR(0x6d).ChR(0x65).ChR(0x5f).ChR(0x6c).ChR(0x69).ChR(0x6d).ChR(0x69).ChR(0x74).ChR(0x28).ChR(0x30).ChR(0x29).ChR(0x3b)
['User-Agent']: antSword/v2.1 (弱特征)

5、AntSword ROT13编码

(1)数据包分析

(2)规则总结

['request_body']:%40vav_frg(%22qvfcynl_reebef%22%2C%20%220%22)%3B%40frg_gvzr_yvzvg(0)%3B
['User-Agent']: antSword/v2.1(弱特征)

相关文章:

  • 北京网站建设多少钱?
  • 辽宁网页制作哪家好_网站建设
  • 高端品牌网站建设_汉中网站制作
  • 高级法医视频分析技术 2024
  • PPP 、PPPoE 浅析和配置示例
  • vim 快捷命令
  • mysql-PXC实现高可用
  • UniApp实现漂亮的音乐歌词滚动播放效果
  • 如何提升网站的收录率?
  • Linux 进程信号
  • 【JAVA基础】StringUtils.isEmpty、StringUtils.isBlank()、Objects.isNull()三者区别
  • 基因组学中的深度学习
  • C++学习笔记(8)
  • 单点登录及登录相关功能1
  • 代码随想录:279. 完全平方数
  • Qt 模仿企业微信图标实现按钮图片文字上下结构
  • MDC实现日志链路追踪
  • 高性能计算应用优化之代码实现调优(一)
  • 【162天】黑马程序员27天视频学习笔记【Day02-上】
  • 【前端学习】-粗谈选择器
  • canvas 绘制双线技巧
  • CentOS6 编译安装 redis-3.2.3
  • CSS3 变换
  • C语言笔记(第一章:C语言编程)
  • MaxCompute访问TableStore(OTS) 数据
  • Redis中的lru算法实现
  • Redis字符串类型内部编码剖析
  • 从 Android Sample ApiDemos 中学习 android.animation API 的用法
  • 关于List、List?、ListObject的区别
  • 记一次用 NodeJs 实现模拟登录的思路
  • 解析带emoji和链接的聊天系统消息
  • 区块链技术特点之去中心化特性
  • 如何将自己的网站分享到QQ空间,微信,微博等等
  • 如何使用 OAuth 2.0 将 LinkedIn 集成入 iOS 应用
  • 设计模式(12)迭代器模式(讲解+应用)
  • 实战:基于Spring Boot快速开发RESTful风格API接口
  • 腾讯优测优分享 | Android碎片化问题小结——关于闪光灯的那些事儿
  • 我的业余项目总结
  • 小李飞刀:SQL题目刷起来!
  • 学习Vue.js的五个小例子
  • 最近的计划
  • Java数据解析之JSON
  • kubernetes资源对象--ingress
  • 带你开发类似Pokemon Go的AR游戏
  • 京东物流联手山西图灵打造智能供应链,让阅读更有趣 ...
  • ​如何使用QGIS制作三维建筑
  • ​用户画像从0到100的构建思路
  • #Linux(make工具和makefile文件以及makefile语法)
  • #常见电池型号介绍 常见电池尺寸是多少【详解】
  • #设计模式#4.6 Flyweight(享元) 对象结构型模式
  • $.ajax()参数及用法
  • (1)无线电失控保护(二)
  • (delphi11最新学习资料) Object Pascal 学习笔记---第8章第5节(封闭类和Final方法)
  • (DenseNet)Densely Connected Convolutional Networks--Gao Huang
  • (javaweb)Http协议
  • (pytorch进阶之路)扩散概率模型
  • (zt)最盛行的警世狂言(爆笑)
  • (二)七种元启发算法(DBO、LO、SWO、COA、LSO、KOA、GRO)求解无人机路径规划MATLAB