WebShell流量特征检测_中国菜刀篇
80后用菜刀,90后用蚁剑,95后用冰蝎和哥斯拉,以phpshell毗连为例,本文紧张是对这四款经典的webshell管理工具举行流量分析和检测。什么是一句话木马?1、界说顾名思义就是执行恶意指令的木马,通过技术手段上传到指定服务器并可以正常访问,将我们需要服务器执行的下令上传并执行2、特点短小干练,功能强大,潜伏性非常好3、举例php一句话木马用php语言编写的,运行在php情况中的php文件,例:4、原理以最为常见的php一句话木马为例,""为php固定规范写法,"@"在php中含义为后面如果执行错误不会报错,"eval()"函数表示括号里的语句全做代码执行,"$_POST['pass']"表示从页面中以post方式获取变量pass的值中国菜刀
中国菜刀是一款c/s型的webshell管理工具,它不像传统的asp恶意脚本或php恶意脚本上传到网站上可以直接打开,它有自己的服务端步调,但是这个服务端步调却极小,只有一句代码,因此保证了webshell的潜伏性,可以用来对目标网站举行渗透获取目标系统的文件系统,对目标系统的文件系统举行管理同时也可以对获取系统的shell举行操作下令执行操作,同时可以对目标系统举行数据库操作https://img2024.cnblogs.com/blog/2546280/202409/2546280-20240903161843489-48718055.png
1、2011版本菜刀
(1)代码分析
进入网站的根目录,获取网站目录下的文件夹和文件的大小修改时间以及权限等信息
https://img2024.cnblogs.com/blog/2546280/202409/2546280-20240903161917491-1026353780.png
(2)数据包分析
https://img2024.cnblogs.com/blog/2546280/202409/2546280-20240903161933827-2057496175.png
(3)规则总结
\|((.*\n)+|.*)\←">['request_body'] : eval.*QGluaV9zZXQo
['response_code'] : 200
['response_body'] : ->\|((.*\n)+|.*)\←2、2014版本菜刀
(1)数据包分析
https://img2024.cnblogs.com/blog/2546280/202409/2546280-20240903161951396-1819099883.png
(2)规则总结
['request_body']: $xx.*chr\(.*QGluaV9zZXQo['response_code']: 200['response_body']: ->\|((.*\n)+|.*)\|\|((.*\n)+|.*)\|
页:
[1]