演示:工具流量数据包特征-菜刀+冰蝎+哥斯拉

使用Wireshark全局抓包工具抓取数据包演示:

Wireshark下载:

https://github.com/wireshark/wireshark

菜刀-流量特征

我们在使用菜刀连接开启了宝塔防火墙的目标时,宝塔就会正则匹配检测到菜刀的流量特征从而实施拦截和封禁。

菜刀下载:

https://github.com/raddyfiy/caidao-official-version/releases

抓取菜刀数据包:

1.启动菜刀,右键添加shell目标

2.启动wireshark,选择接口。

3.开启捕获流量


4.菜刀点击添加的shell目标


5.回到wireshark暂停捕获流量,找到刚刚菜刀的http数据包,右键选择查看HTTP流


成功抓取菜刀数据包:

分析数据包流量特征:

1,请求包中:ua头为百度爬虫

2,请求体中存在eval,base64等特征字符。2016版本已经更新为拼接


3,请求体中传递的payload为base64编码,并且存在固定的:QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtpZihQSFBfVkVSU0lPTjwnNS4zLjAnKXtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO307ZWNobygiWEBZIik7J


知道工具特征就可以在连接后门时对菜刀数据包做一些混淆处理。

冰蝎-流量特征

介绍:

冰蝎利用了服务器端的脚本语言加密功能,通讯的过程中,

消息体内容采用 AES 加密,基于特征值检测的安全产品无法查出。

1、通讯加密

以代码Key为密匙的AES加密解密过程

2、数据包流量特征:

0、User-agent:可在代码中自定义

1、Pragma: no-cache

2、Content-Type:application/x-www-form-urlencoded

3、Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9

4、Accept-Encoding: gzip, deflate, br

5、Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7

哥斯拉-流量特征

1、通讯加密

2、数据包流量特征:

1、User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:84.0) Gecko/20100101 Firefox/84.0

2、Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8

3、Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

4、Cookie: PHPSESSID=rut2a51prso470jvfe2q502o44;  cookie最后面存在一个";"

免责声明

本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本平台和发布者不为此承担任何责任。