webshell流量特征

webshell工具流量特征 - i苏沐辰 - 博客园 (cnblogs.com)

菜刀

作为老牌 Webshell 管理神器，中国菜刀的攻击流量特征明显，容易被各类安全设备检测，实际场景中越来越少使用，加密 Webshell 正变得日趋流行。

UA字段

通常为百度，火狐

存在特征字符

请求体中存在eval，base64等特征字符

payload编码

请求体中传递的payload为base64编码，并且存在固定的数值，z0=QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtpZihQSFBfVkVSU0lPTjwnNS4zLjAnKXtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO307ZWNobygiWEBZIik7J

蚁剑

中国蚁剑是一款开源的跨平台网站管理工具，它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。

将蚁剑的正文内容进行URL解码后，流量最中明显的特征为@ini_set("display_errors","0");这段代码基本是所有WebShell客户端链接PHP类WebShell都有的一种代码，同时蚁剑也有eval这种明显的特征。

蚁剑中包含了很多加密、绕过插件，所以导致很多流量被加密后无法识别，但是蚁剑混淆加密后还有一个比较明显的特征，参数名大多以"_0x.....="这种形式（下划线可替换为其他）所以，以_0x开头的参数名，后面为加密数据的数据包也可识别为蚁剑的流量特征。

冰蝎

冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端

冰蝎的通信过程可以分为两个阶段：

一、密钥协商

1）通过 GET 或者 POST 方法请求服务器密钥；

2）服务器使用随机数 MD5 的高16位作为密钥，存储到会话的 $_SESSION 变量中，并返回密钥

二、加密传输

1）客户端把待执行命令作为输入，利用AES或 XOR 运算进行加密，并发送至服务端；

2）服务端接受密文后进行 AES 或 XOR 运算解密，执行相应的命令；

3）执行结果通过AES加密后返回给攻击者。

冰蝎2.0

1、ACCEPT字段

冰蝎2默认Accept字段的值很特殊,而且每个阶段都一样
Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2

2、UA字段

冰蝎内置了十余种 UserAgent ，每次连接 shell 会随机选择一个进行使用。但都是比较老的，容易被检测到，但是可以在burp中修改ua头。

3、Content-Length

Content-Length: 16

冰蝎3.0

相比较冰蝎2，冰蝎3取消动态密钥获取，目前很多waf等设备都做了冰蝎2的流量特征分析，所以3取消了动态密钥获取；只有在无动态密钥交互失败后，才会进入常规的密钥交互阶段。

<?php@error_reporting(0);session_start();$key="e45e329feb5d925b"; //该密钥为连接密码32位md5值的前16位，默认连接密码rebeyond$_SESSION['k']=$key;
从密钥的生成可以看出，使用密码的md5结果的前16位。

1、content-type

content-type为application/octet-stream

2、内置16个ua头

冰蝎3.0 每次请求都会在16个默认的UA头中随机选择一个作为user-Agent，当然，普通用户很容易就可以修改

3、content-length 请求长度

在冰蝎中，任何请求，最终都会调用Utils.getData函数，对请求的参数加密。对于上传文件，命令执行来讲，加密的参数不定长。但是对于密钥交互，获取基本信息来讲，payload都为定长，且无随机padding。

冰蝎4.0

冰蝎3.0和4.0的区别
冰蝎3.0采用自定义的二进制协议进行通信，冰蝎4.0采用HTTP协议进行通信;
冰鞋3.0使用DES加密算法，冰蝎4.0使用RC4加密算法;

1、Accept字段

通信过程中会携带以下Accept字段，在进行数据通讯中会携带Accept字段
Accept: application/json, text/javascript, /; q=0.01

2、Content-Type字段

PHP站点：Application/x-www-form-urlencoded
ASP站点：Application/octet-stream

3、User-agent 字段

冰蝎4.0设置了10种User-Agent,每次连接shell时会随机选择一个进行使用

4、特征长连接

通讯默认使用长连接，避免了频繁的握手造成的资源开销。默认情况下，请求头和响应头里会带有 Connection。
Connection: Keep-Alive

5、PHP webshell 中存在固定代码

$post=Decrypt(file_get_contents("php://input"));
eval($post);

6、JSP webshell 中存在固定代码

7、连接密码

默认时，所有冰蝎4.* webshell都有形如“e45e329feb5d925b” 一串密钥。该密钥为连接密码32位md5值的前16位，默认连接密码rebeyond

哥斯拉

哥斯拉是一款继冰蝎之后又一款于Java开发的加密通信流量的新型Webshell客户端，内置了3种有效载荷以及6种加密器，6种支持脚本后缀，20个内置插件，也是目前在HVV中使用较多的一款工具。

cookie字段

最后一个Cookie的值出现;（结尾处通常会出现分号）

User-Agent (弱特征)

哥斯拉客户端使用JAVA语言编写，在默认的情况下，如果不修改User-Agent，User-Agent会类似于Java/1.8.0_121（具体什么版本取决于JDK环境版本）。但是哥斯拉支持自定义HTTP头部，这个默认特征是可以很容易去除的。

Accept（弱特征）

Accept为text/html, image/gif, image/jpeg, *; q=.2, /; q=.2

冰蝎也出现过同样的Accept，这个是JDK引入的一个特征，并不是作者自定义的Accept，同样的这个默认特征也可以通过自定义头部去除

响应体

如果请求体采用base64编码，响应体返回的也是base64编码的数据。在使用base64编码时，响应体会出现一个很明显的固定特征。这个特征是客户端和服务端编写的时候引入的。他会把一个32位的md5字符串按照一半拆分，分别放在base64编码的数据的前后两部分。整个响应包的结构体征为：md5前十六位+base64+md5后十六位。从响应数据包可以明显看到这个特征

需要注意的是md5需要同时匹配字母大小写两种情况，因为在JAVA版webshell响应中为大写字母，在PHP版中为小写字母。

cs流量特征

被控端会发送心跳包；
请求的url例如/jquery-3.3.1.min.js，返回包大小为5607，返回包到下一个请求包之间的时间为心跳时间

在执行下发指令时，会看到木马攻击者访问c2服务器上面的submit.php界面，并且在访问界面会带有一个id参数；
被控端请求的url为/jquery-3.3.1.min.js，返回包大小为5628，包含指令数据。下一个包发送POST请求，url为/jquery-3.3.2.min.js，body部分包含指令执行的结果，大小为96

url路径；

解密算法checksum8（92L，93L）；