ToB企服应用市场:ToB评测及商务社交产业平台
标题:
【蓝队技能】【C2流量分析】MSF&CS&Sliver
[打印本页]
作者:
何小豆儿在此
时间:
2024-10-17 20:35
标题:
【蓝队技能】【C2流量分析】MSF&CS&Sliver
蓝队技能
总结
前言
差别C2工具的流量特性都有细微差别,学会分析方法后就可以进行分析
一、MSF
1.1 流量分析
MSF流量特性过于显着,看如下这篇文章即可
MSF流量分析
1.2 特性提取
结果以明文方式表现在流量中(TCP明文)
响应流量中存在MZ,DOS等特殊字段(TCP密文)
固定的哀求头和响应头(HTTP)
固定的JA3和JA3S的特性值(HTTPS)
二、CS
1.1 流量分析
起首上线CS,然后进行抓包
1.2 特性提取
HTTP:
固定的数据包头
GET /cx HTTP/1.1
Accept: */*
Cookie: bdzPTdzddRyt8AtQGdzr+KRL8ELTYDxGwRBe1bbadiMeqzoQv8RzS+WrkPvInIXiUun/YnVPlpkrKLYgeGSrI8Dth0UMYPqZopauQTHqvQ5tRxOTQGiA2i8RIsArr5L1UEnFQEcLRXBmZ+QbR+Qizq+rIfUxxoxJMoeIckJNSdw=
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; Avant Browser)
Host: 192.168.189.128:1111
Connection: Keep-Alive
Cache-Control: no-cache
HTTP/1.1 200 OK
Date: Wed, 16 Oct 2024 12:42:39 GMT
Content-Type: application/octet-stream
Content-Length: 0
复制代码
路径的checksum8算法(路径算出来是92大概93)
public class EchoTest {
public static long checksum8(String text) {
if (text.length() < 4) {
return 0L;
}
text = text.replace("/", "");
long sum = 0L;
for (int x = 0; x < text.length(); x++) {
sum += text.charAt(x);
}
return sum % 256L;
}
public static void main(String[] args) throws Exception {
System.out.println(checksum8("Yle2"));
}
}
复制代码
心跳包解析
获取文件后利用工具进行分析(https://github.com/DidierStevens/DidierStevensSuite)
HTTPS
4. 证书特性(.store)
5. 源码特性(ja3,ja3s)
client hello
4d5efa96609dc906f796e63cff009c2a db36bad574044a5104a59b0c676991ef
server hello
15af977ce25de452b96affa2addb1036 2253c82f03b621c5144709b393fde2c9
CS详细流量分析
二、Sliver
1. 特性分析
HTTP:
路径特性:server\configs\http-c2.go
固定url路径
参数名称的构造规律
参数值的长度及规律
sessionID/Cookie的交换
Cookie的名称生成、cookie值的长度及规律
根据路径文件名,后缀,cookie这些信息到源码里面的数组随机组合配合分析排查
HTTPS:
ja3/ja3s(19e29534fd49dd27d09234e639c4057e,f4febc55ea12b31ae17cfb7e614afda8)
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)
Powered by Discuz! X3.4
