Webshell管理工具流量检测研究:chopper、蚁剑、冰蝎、哥斯拉

作者: 黑客网 分类: 黑客知识 发布时间: 2022-05-26 14:28

俗话说得好,80后用菜刀,90后用蚁剑,95后用冰蝎和哥斯拉。本文主要是对这四个主流的并具有跨时代意义的webshell管理工具进行流量分析和检测。

注:本文均以phpshell连接为例进行研究分析,毕竟“php是世界上最好的语言”。

1、 中国菜刀(chopper)

中国菜刀是一款专业的网站管理软件,用途广泛,使用方便,小巧实用。只要支持动态脚本的网站,都可以用中国菜刀来进行管理。主流有2011版本,2014版本和2016版本。2011和2014版本:

Webshell管理工具流量检测研究:chopper、蚁剑、冰蝎、哥斯拉

Webshell管理工具流量检测研究:chopper、蚁剑、冰蝎、哥斯拉

特征:

a(密码)参数:值为执行的函数加上对pyload的base64解

Z0参数:base64加密的payload,

Z1参数:shell存在的位置

识别:

(1)执行函数:@eval,@assert 等;

(2)base64_decode($_POST[Z0]),$_GET,$_REQUEST

(3)截取参数z0,进行base64_decode后 ,

@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0)等

2016版本:

Webshell管理工具流量检测研究:chopper、蚁剑、冰蝎、哥斯拉

较于早版本做了一些混淆识别"ass"."ert" "ev"."Al  "Ba"."SE6"."4_dEc"."OdE

2、蚁剑4.0.3

中国蚁剑是一款开源的跨平台网站管理工具,它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。是一款非常优秀的webshell管理工具。开发版本针对有一定编程基础的开发者,你可以根据阅读文档或者分析源码了解熟悉整个应用的执行流程,然后便可随意对代码进行修改增强个性化自定义,真正打造出属于自己的一把宝剑!PHP WEBSHELL基本操作连接所发的包如下:

Webshell管理工具流量检测研究:chopper、蚁剑、冰蝎、哥斯拉

传输的内容为:

Webshell管理工具流量检测研究:chopper、蚁剑、冰蝎、哥斯拉

主要获取了服务端当前目录、根目录、系统和当前用户名等信息,输入到缓冲区再由$output变量接收,通过随机字符作为开始结束符定位变量输出位置。默认使用的情况下data仅进行url编码,特征很明显,data中含有@ini_set("display_errors", "0");@set_time_limit(0);  header中含有antSword字眼,由于蚁剑的源码是和菜刀的一样,所以在默认情况下特征十分明显。但是蚁剑的个性化十分的明显,可以对其进行改造。PHP WEBSHELL基本操作连接所发的包如下:

2.1 自带的编码器和解码器

自带的编码器和解码器,编码器的作用是传输的时候加密,解码器的作用是使返回的包带的值也是加密的

Webshell管理工具流量检测研究:chopper、蚁剑、冰蝎、哥斯拉

Webshell管理工具流量检测研究:chopper、蚁剑、冰蝎、哥斯拉

自带编码器发出的包:格式为:pwd=编码方式['xxx']&xxx=内容

Webshell管理工具流量检测研究:chopper、蚁剑、冰蝎、哥斯拉

Webshell管理工具流量检测研究:chopper、蚁剑、冰蝎、哥斯拉

至此我们可以分析常规拦截:(1)检测流量包中的编码方式(2)检测必须传输的内容,比如:@ini_set等字眼,不仅是明文,这些字眼的各种编码形式也可以拦。编码识别:只要原始数据不变,编码都是固定的映射,例如只检查ini_set("display_errors", "0") ,aW5pX3NldCgiZGlzcGxheV9lcnJvcnMiLCAiMCIp(base64) ,vav_frg("qvfcynl_reebef", "0") (rot13) …

Webshell管理工具流量检测研究:chopper、蚁剑、冰蝎、哥斯拉

(3)蚁剑自带的header

针对以上明显特征,蚁剑有自定义编码器,自定义header,自定义分隔符……修改明显特征以绕过检测

2.2 自定义header

如果觉得我的文章对您有用,请随意打赏。您的支持将鼓励我继续创作!

标签云