HW知识点回顾(webshell的流量分析)
2023-4-19 16:46:55 Author: 白安全组(查看原文) 阅读量:18 收藏

近期要准备HW了,这里就更新一点相关面试可能会问的问题。

菜刀流量分析:

payload的特征:PHP:<?php @eval($_POST["cai"]); ?>ASP: <%eval request("bai")%>ASP.NET:<%@ Page  Language=“Jscript”%><%eval(Request.Item[“caidao”],“unsafe”);%>

数据包流量特征:

1、请求包中 ua头位百度,火狐

2、请求实体中存在eval,base64等特征字符

3、请求实体中传递depayload为base64编码,并且存在固定的:

QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtpZihQSFBfVkVSU0lPTjwnNS4zLjAnKXtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO307ZWNobygiWEBZIik7J

蚁剑流量分析:

payload特征:

php中使用assert,eval执行,asp中使用eval,在jsp使用的是Java类加载(classLoader),同时会带有base64编码解码等样式

数据包流量特征:

使用普通的一句话都存在以下特征:

每个请求实体都存在

@ini_set(“display_errors”, “0”);@set_time_limit(0)

开头。并且后面存在base64等字符

响应包返回格式:

随机数,响应内容,随机数

使用base64加密的payload,数据包存在以下base加密的eval命令,数据包中的payload几个分段内容都是用了base加密,解密之后可以看到相关的路径和命令等。

冰蝎流量分析:

payload分析:

php在代码中同样会存在eval或者assert等字符特征。

asp中会在for循环进行一段异或处理

在jsp中则利用java的反射,所以会存在ClassLoader,getClass().getClassLoader()等字符特征

冰蝎2.0流量特征

第一阶段中请求返回包状态码为200,返回的内容必定是16位的密钥

请求包存在:

Accept: text/html, image/gif, image/jpeg, ; q=.2, /; q=.2

建立连接后的cookie存在特征字符

所有请求 Cookie的格式都为:

 Cookie: PHPSESSID=; path=/;

冰蝎3.0流量特征

请求包中content-length 为5740或5720(可能会根据Java版本而改变)

每一个请求头中存在

Pragma: no-cacheCache-Control: no-cacheAccept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,/*;q=0.8,application/signed-exchange;v=b3;q=0.9

哥斯拉流量特征:

payload特征:

jsp会出现xc,pass字符和Java反射(ClassLoader,getClass().getClassLoader()),base64加解码等特征

php,asp则为普通的一句话木马

哥斯拉流量分析:

作为参考:

所有请求中Accept:

 text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,/;q=0.8

所有响应中Cache-Control: no-store, no-cache, must-revalidate,

同时在所有请求中Cookie中后面都存在


文章来源: http://mp.weixin.qq.com/s?__biz=MzU4MjYxNTYwNA==&mid=2247486474&idx=1&sn=61ee91e5935e6fe237c48e95e390060a&chksm=fdb4db51cac35247a065ed9c9f6f8bbe4a32c6eae0b210b0f4c6b0f648a2983e4d3209b8d088#rd
如有侵权请联系:admin#unsafe.sh