流量分析——一、蚁剑流量特征

已于 2024-07-25 12:05:18 修改
阅读量5.3k 收藏 54
点赞数 82
CC 4.0 BY-SA版权
分类专栏: 渗透测试 网络安全 流量分析 文章标签: 网络安全 php 蚁剑 流量特征 研判 攻击特征甄别 Web安全
于 2024-06-05 23:29:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63172698/article/details/139482223

君衍.

一、Webshell特征流量分析

对于重保、护网等攻防演练的防守方来说,流量分析的能力需要具备,所以本篇从webshell不同工具的不同特征进行分析来进行学习。
流量特征分析工具及对比:

  • wireshark:可以详细分析具体的数据包,比如从OSI七层、TCP四层每层协议等数据包都可以进行分析。
  • burpsurite:仅针对HTTP、HTTPS数据包进行抓包,分析,具备渗透测试部分功能,比如重放、编解码等等。

以及对于webshell利用的应急流程:从webshell是何时被部署的、又是通过什么漏洞打进来的、同时webshell的存放位置以及通过提取文件中的key密码为连接密码32位md5值得前16位作为AES得解密密钥,最后对流量进行解密以及还原所有流量进行回溯,这一流程需要明白。

二、环境介绍

首先,我使用的靶场是upload-labs靶场:
在这里插入图片描述
搭建在VMware上,使用的网络模式是NAT模式,网口自然是VMnet8:
在这里插入图片描述
在这里插入图片描述
之所以看以上内容是因为wireshark的抓包网卡需要进行更改:
在这里插入图片描述
之后我使用wireshark进行流量分析时,将抓取的网卡设置为net8即可。当然,如果靶场部署在云端,我们自然使用wlan的网卡进行抓取分析,需要根据实际情况而定。
当然,我们对蚁剑流量进行分析,自然需要下好蚁剑,安装好Burpsurite之后需要配置代理进行抓包查看。后面抓取的时候分析。
在这里插入图片描述
一句话木马木马已经写入php文件中,之后完成上传即可。

三、使用Wireshark进行流量分析

1、环境说明

已经将木马文件上传完毕,同时使用蚁剑添加了数据,测试连接成功。
在这里插入图片描述
我们打开wireshark进行抓包,之后蚁剑完成连接:
在这里插入图片描述
在这里插入图片描述
下面我们仔细分析这几个数据包:
在这里插入图片描述
可以看到1,4,5数据包为TCP的三次握手的数据包,10-13为TCP四次挥手的数据包。
同时数据报6为TCP在传输消息时,对于应用层可能出于超过MSS而导致不能一次包含全部应用层的PDU,将完整的消息分为了多段,所以会在除了最后一个分段,剩下都打上TCP segment of a reassembled PDU。
报文7与报文9则是HTTP的请求与响应包,中间则为TCP的确认机制ACK包。

当一个完整消息被分割成多个TCP segment 时,在能识别运行在TCP之上的应用层协议前提下,wireshark为了能标识出哪些TCP segment需要被重新组装(reassembled),从而将除了最后一个的其他segment都打上“TCP segment of a reassembled PDU”。

在这里插入图片描述
所以这里我们进行流量分析主要分析报文7请求包以及报文9相应包。

2、HTTP追踪流分析

我们这里直接查看TCP追踪流:
在这里插入图片描述
数据包内容如下:

POST /upload/upload/1.php HTTP/1.1
Host: 192.168.217.143
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/537.13+ (KHTML, like Gecko) Version/5.1.7 Safari/534.57.2
Content-Type: application/x-www-form-urlencoded
Content-Length: 1797
Connection: close

zyan=%40ini_set(%22display_errors%22%2C%20%220%22)%3B%40set_time_limit(0)%3B%24opdir%3D%40ini_get(%22open_basedir%22)%3Bif(%24opdir)%20%7B%24ocwd%3Ddirname(%24_SERVER%5B%22SCRIPT_FILENAME%22%5D)%3B%24oparr%3Dpreg_split(base64_decode(%22Lzt8Oi8%3D%22)%2C%24opdir)%3B%40array_push(%24oparr%2C%24ocwd%2Csys_get_temp_dir())%3Bforeach(%24oparr%20as%20%24item)%20%7Bif(!%40is_writable(%24item))%7Bcontinue%3B%7D%3B%24tmdir%3D%24item.%22%2F.0ac4da9ca%22%3B%40mkdir(%24tmdir)%3Bif(!%40file_exists(%24tmdir))%7Bcontinue%3B%7D%24tmdir%3Drealpath(%24tmdir)%3B%40chdir(%24tmdir)%3B%40ini_set(%22open_basedir%22%2C%20%22..%22)%3B%24cntarr%3D%40preg_split(%22%2F%5C%5C%5C%5C%7C%5C%2F%2F%22%2C%24tmdir)%3Bfor(%24i%3D0%3B%24i%3Csizeof(%24cntarr)%3B%24i%2B%2B)%7B%40chdir(%22..%22)%3B%7D%3B%40ini_set(%22open_basedir%22%2C%22%2F%22)%3B%40rmdir(%24tmdir<
最低0.47元/天 解锁文章

200万优质内容无限畅学
流量分析
震山的博客
09-12 2313
流量有何规则,也许看完这篇有所收获吧
渗透测试
Lu__xiao的博客
01-15 4166
、应用场景 对于本实验,我的理解是基于对方服务器存在文件上传漏洞,已经被上传句话木马,这时我们通过去做个渗透攻击,目标是控制对方的服务器。 实验目标:1. 学会的攻击方法; 2. 通过 Wireshark 抓取数据包进行分析; 本次实验需要个攻击方和服务器 这里本机为服务器 IP地址:192.168.0.142 环境需求:phpstudy (模拟服务器)、Wireshark 抓包工具(进行抓宝分析) 虚拟机...
玄机练习——第六章 流量特征分析-流量分析
最新发布
2402_87221233的博客
07-08 830
默认使用自定义的 **User - Agent **头来标识其流量,例如 “Mozilla/5.0 AntSword”,若检测到该 User - Agent 头的流量,可能存在相关的恶意活动。目前用的最广的读取文件的命令是"cat",结合步骤2进行思考,步骤2 在流量包中通过查看字节流并解码,就查看到了黑客执行的命令,那么这题是不是也能用相同的思路进行推。执行的第个命令,既然是执行,那么肯定会有状态码为200的包,那么就从这入手,此外还要注意的点是,“第个”,肯定是有着时间的关系的。
[玄机]流量特征分析-流量分析
网安日记本的博客
07-31 1万+
流量特征分析-流量分析题目做法及思路解析(个人分享)
第六章 流量特征分析-流量分析(玄机靶场系列)
m0_73062138的博客
05-05 726
text/html。
的配置及流量分析
weixin_48776804的博客
05-27 1034
安装
消费金融视角下互联网金融的发展路径——以蚂金服发展路径为例.pdf
07-16
在互联网金融视角下,消费金融的创新服务模式,如蚂金服的余额宝、花呗、借呗等产品,为消费者提供了便捷的金融服务,同时也为互联网企业带来了巨大的流量和盈利空间。 蚂金服是阿里巴巴集团旗下的金融控股公司...
互联网消费信贷行为及满意度调查分析——以杭州市为例.pdf
07-16
互联网消费信贷行为及满意度调查分析——以杭州市为例 知识点分析: 、互联网消费信贷的现状与特点 互联网消费信贷是指依托于互联网平台,为用户提供定额度的消费贷款,用户可在特定消费场景中使用。杭州市...
(19)互联网企业的投资战略分析——以阿里巴巴为例.zip
09-14
【标题】:“(19)互联网企业的投资战略分析——以阿里巴巴为例” 【描述】:这份文档深入探讨了互联网企业如何制定并实施投资战略,通过分析阿里巴巴这全球知名的互联网巨头,揭示了其在投资领域的成功秘诀。 ...
流量特征分析——、菜刀、冰蝎、哥斯拉
Sgirll的博客
07-22 1万+
通过对这三种常见的网络攻击工具流量特征的分析,我们可以更好地了解它们在网络流量中的表现。同时,持续的学习和了解新兴攻击工具的流量特征也是保持网络安全的重要环。哥斯拉的数据包中包含了特定的标记,如"XORHEAD"和"XORBODY",用于标识该数据包是哥斯拉的控制命令。此外,哥斯拉还使用了种自定义的二进制协议,在通信中传输各种类型的数据。本文将重点研究菜刀、和冰蝎这三种常见的网络攻击工具,分析它们在流量中留下的痕迹和特征,以便网络管理员和安全专家能够更好地识别和对抗这些工具所带来的潜在威胁。
中国流量分析
UserNick157的博客
04-25 7575
中国流量分析 文章目录中国流量分析1.代理2.测试连接数据包:执行代码:执行结果:3.双击连接第个数据包数据包:第二个数据包数据包:执行代码:response:4.打开文件夹数据包:5.打开文件数据包:执行代码:6.修改文件1.修改小文件数据包:执行代码:2.修改大文件7.wget文件数据包执行代码:8.删除文件数据包:执行代码:9.上传文件1.数据包:执行代码:10.打开终端数据包执行代码:与相关功能模块源码部分知识点1.测试连接部分2.删除文件3.命令执行 1.代理 有设置代理的功能,
菜刀、冰蝎、、哥斯拉的流量特征
热门推荐
eternitymd的博客
04-29 2万+
菜刀流量特征(最开始是明文传输,后来采用base64加密):PHPWebShell链接流量 如下图: 第:“eval”,eval函数用于执行传递的攻击payload,这是必不可少的; 第二:(base64_decode($_POST[z0])),(base64_decode($_POST[z0]))将攻击payload进行Base64解码,因为菜刀默认是使用Base64编码,以避免被检测; 第三:&z0=QGluaV9zZXQ...,该部分是传递攻击payload,此参数z0对应$_
第六章 流量特征分析-流量分析
2401_84830066的博客
01-09 499
前提-流量特征: 1. 默认的USER-agent请求头 是 antsword xxx,可以通过修改:/modules/request.js 文件中 请求UA绕过 2. 每个请求体都存在@ini_set(“display_errors”, “0”);@set_time_limit(0)开头。并且后面存在base64等字符 3. 混淆加密后还有个比较明显的特征,即为参数名大多以“_0x......=”这种形式(下划线可替换),所以以_0x开头的参数名也很可能就是恶意流量 4. 默认的
玄机-流量特征分析-流量分析
苏生要努力
05-27 1833
1.木马的连接密码是多少2.黑客执行的第个命令是什么3.黑客读取了哪个文件的内容,提交文件绝对路径4.黑客上传了什么文件到服务器,提交文件名5.黑客上传的文件内容是什么6.黑客下载了哪个文件,提交文件绝对路径。
玄机平台流量特征分析-流量分析
2301_76227305的博客
06-20 1017
最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以起交流学习。
浅谈流量分析,从零基础到精通,收藏这篇就够了!_antsword 流量分析
yy1715713348的博客
02-22 1049
1、前言最近打CTF比赛,遇到了流量分析的题目,通过流量分析还原黑客攻击的过程、执行了哪些操作、偷走了哪些数据。这个过程中就涉及到了webshell工具,有冰蝎、哥斯拉、。这次就先谈谈流量分析,下次再分享其他工具的流量分析。2、流量分析2.1 编码与解码AntSword 是款开源、跨平台的网站管理工具,旨在满足渗透测试人员、具有权限和授权的安全研究人员以及网站管理员的需求。测试文件上传漏洞时,经常用到该工具。
玄机-第六章 流量特征分析-流量分析
sucker的博客
02-27 1364
1,已知攻击者使用的webshell的工具是,那么攻击者应该预先向服务器上传了木马文件,而且句话木马上传成功了,那么就可以定位到响应码200的流量。4,问黑客传入什么文件进入服务器,思路很简单:上传文件使用的般是POST请求,在web服务器文件上传通常使用HTTP的POST方法。"1" : "0");2,问攻击者执行的第个命令是什么,那么我们就需要查看服务端(已经被攻击者使用控制)执行了哪些命令,依然是过滤响应码200的。
句话木马和cookie
03-10
### 句话木马与Cookie的关系 在Web应用攻击领域,款功能强大的WebShell管理工具。当涉及到利用Cookie传输恶意指令时,其机制可以理解如下: #### 1. 数据传递方式 传统意义上的句话木马主要依赖于`GET`或`POST`请求参数来向服务器发送待执行的命令字符串[^2]。然而,在某些场景下为了规避WAF检测或者适应特定的应用逻辑,可以通过HTTP `Cookie`头携带这些敏感信息。 例如,假设存在PHP环境下的简单版连接器,它可能看起来像这样: ```php <?php @eval($_REQUEST['cmd']);?> ``` 此时,如果想通过`Cookie`而非URL查询串(`GET`)或是表单提交(`POST`)来进行控制,则可以在客户端浏览器设置名为`cmd`的cookie项,并赋予相应的payload作为值;服务端接收到该次访问请求后会自动解析并处理这个特殊的cookie变量。 #### 2. 实现原理分析 由于PHP允许开发者轻松获取来自不同源的数据流(如$_GET、$_POST以及$_COOKIE),这使得基于Cookie的句话木马成为可能。具体来说,只要确保目标站点未严格过滤输入且启用了危险函数(比如上述例子中的`@eval()`),那么即使是在看似安全的情况下也能建立起隐蔽通道[^1]。 需要注意的是,这种方式虽然巧妙但也增加了被发现的风险——频繁变更Cookies容易引起管理员注意,尤其是在启用日志审计的情形下[^3]。 #### 3. 安全性考量 尽管技术上可行,但从道德及法律角度出发强烈反对任何未经授权的入侵行为。合法合规地使用编程技能才是正道所在。对于防御者而言,强化应用程序的安全防护措施至关重要,包括但不限于: - 对所有外部输入进行全面验证; - 关闭不必要的潜在风险点(如禁用危险内置函数); - 部署高效的WAF策略以识别异常流量模式。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值