96SEO 2026-02-20 05:58 16
护网中最担心的是木马已经到了服…护网哥斯拉、冰蝎、中国蚁剑流量分析

【点击免费领取】CSDN大礼包《黑客网络安全入门进阶学习资源包》包含了应急响应工具、入侵排查、日志分析、权限维持、Windows应急实战、Linux应急实战、Web应急实战。
护网中最担心的是木马已经到了服务器我们的监控软件却没告警之所以没有告警主要原因就是我们使用的木马进行了各种加密和变种导致了监控软件根本无法解密识别今天我们就对市面上最常见的三款shell管理工具哥斯拉、冰蝎、中国蚁剑的流量进行分析以确保我们在护网时遇到看不懂。
冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端。
老牌
管理神器——中国菜刀的攻击流量特征明显容易被各类安全设备检测实际场景中越来越少使用加密
设备难以检测给威胁狩猎带来较大挑战。
冰蝎其最大特点就是对交互流量进行对称加密且加密秘钥是由随机数函数动态生成因此该客户端的流量几乎无法检测。
基于冰蝎的加密流量威胁剖析其通信原理冰蝎的通信过程可以分为两个阶段密钥协商以及加密传输。
http://xx.xxx.xx.xx/shell.aspx?pass645
base64编码**AES使用动态密钥对通信进行加密进行请求时内置了十几个User-Agent头每次请求时会随机选择其中的一个。
因此当发现一个ip的请求头中的user-agent在频繁变换就可能是冰蝎。
冰蝎3.0
base64编码,取消了2.0的动态获取密钥使用固定的连接密钥AES加密的密钥为webshell连接密码的MD5的前16位默认连接密码是rebeyond(即密钥是md5(rebeyond)[0:16]e45e329feb5d925b)。
进行请求时内置了十几个User-Agent头每次请求时会随机选择其中的一个。
因此当发现一个ip的请求头中的user-agent在频繁变换就可能是冰蝎。
3.0连接jsp的webshell的请求数据包中的content-type字段常见为application/octet-stream3.0连接jsp的webshell的请求数据包中的content-type字段常见为application/octet-stream
提供了传输协议自定义的功能让用户对流量的加密和解密进行自定义实现流量加解密协议的去中心化。
v4.0版本不再有连接密码的概念自定义传输协议的算法就是连接密码。
意思是浏览器可接受任何文件但最倾向application/json
Content-Type字段弱特征通常是Content-type:
Application/x-www-form-urlencoded
与冰蝎的前述版本相似进行请求时内置了十几个User-Agent头每次请求时会随机选择其中的一个。
连接的端口有一定的特征冰蝎与webshell建立连接的同时java也与目的主机建立tcp连接每次连接使用本地端口在49700左右(就是比较大的端口)每连接一次每建立一次新的连接端口就依次增加。
使用长连接避免了频繁的握手造成的资源开销。
默认情况下请求头和响应头里会带有
有固定的请求头和响应头请求字节头dFAXQV1LORcHRQtLRlwMAhwFTAg/M
响应字节头TxcWR1NNExZAD0ZaAWMIPAZjH1BFBFtHThcJSlUXWEd
总结冰蝎版本较多但是通性就是同一个ip请求User-Agent头会不断的变化冰蝎4.0要考虑User-Agent头、端口号、开头字节及connection
类似的密钥交换方式。
它的webshell需要动态生成可以根据需求选择不同的加密方式。
**
在默认脚本编码的情况下jsp会出现xc、pass字符和Java反射(ClassLoadergetClass().getClassLoader())base64加解码等特征。
User-Agent字段弱特征如果采用默认的情况会暴露使用的jdk信息。
不过哥斯拉支持自定义HTTP头部这个默认特征是可以很容易去除的。
Accept字段弱特征默认是Accept:text/html,
Cookie中有一个非常关键的特征最后会有个分号。
估计后续的版本会修复。
响应体的数据有一定特征哥斯拉会把一个32位的md5字符串按照一半拆分分别放在base64编码的数据的前后两部分。
整个响应包的结构体征为md5前十六位base64md5后十六位。
蚁剑中php使用assert、eval执行asp只有eval执行在jsp使用的是Java类加载ClassLoader同时会带有base64编码解码等字符特征。
我们使用一句话木马上传webshell抓包后会发现每个请求体都存在以ini_set(display_errors,0);set_time_limit(0)开头。
并且响应体的返回结果是base64编码发混淆字符格式为随机数
以上技术内容参考互联网各类技术大佬分享进行整合如有错误还请大家留言指正。
这个方向初期比较容易入门一些掌握一些基本技术拿起各种现成的工具就可以开黑了。
不过要想从脚本小子变成hei客大神这个方向越往后需要学习和掌握的东西就会越来越多以下是学习网络安全需要走的方向
无论你是去B站或者是油管上面都有很多网络安全的相关视频可以学习当然如果你还不知道选择那套学习我这里也整理了一套和上述成长路线图挂钩的视频教程完整版的视频已经上传至CSDN官方朋友们如果需要可以点击这个链接免费领取。
网络安全重磅福利入门进阶全套282G学习资源包免费分享
作为专业的SEO优化服务提供商,我们致力于通过科学、系统的搜索引擎优化策略,帮助企业在百度、Google等搜索引擎中获得更高的排名和流量。我们的服务涵盖网站结构优化、内容优化、技术SEO和链接建设等多个维度。
| 服务项目 | 基础套餐 | 标准套餐 | 高级定制 |
|---|---|---|---|
| 关键词优化数量 | 10-20个核心词 | 30-50个核心词+长尾词 | 80-150个全方位覆盖 |
| 内容优化 | 基础页面优化 | 全站内容优化+每月5篇原创 | 个性化内容策略+每月15篇原创 |
| 技术SEO | 基本技术检查 | 全面技术优化+移动适配 | 深度技术重构+性能优化 |
| 外链建设 | 每月5-10条 | 每月20-30条高质量外链 | 每月50+条多渠道外链 |
| 数据报告 | 月度基础报告 | 双周详细报告+分析 | 每周深度报告+策略调整 |
| 效果保障 | 3-6个月见效 | 2-4个月见效 | 1-3个月快速见效 |
我们的SEO优化服务遵循科学严谨的流程,确保每一步都基于数据分析和行业最佳实践:
全面检测网站技术问题、内容质量、竞争对手情况,制定个性化优化方案。
基于用户搜索意图和商业目标,制定全面的关键词矩阵和布局策略。
解决网站技术问题,优化网站结构,提升页面速度和移动端体验。
创作高质量原创内容,优化现有页面,建立内容更新机制。
获取高质量外部链接,建立品牌在线影响力,提升网站权威度。
持续监控排名、流量和转化数据,根据效果调整优化策略。
基于我们服务的客户数据统计,平均优化效果如下:
我们坚信,真正的SEO优化不仅仅是追求排名,而是通过提供优质内容、优化用户体验、建立网站权威,最终实现可持续的业务增长。我们的目标是与客户建立长期合作关系,共同成长。
Demand feedback