前言

前一阵子帮别人做取证题目有很多关于WEBSHELL的流量要分析想起来还有没好好分析过于是准备写篇文章总结一下帮助大家能够快速的辨别WEBSHELL流量下面我们展开文章来讲。

中国菜刀

这个应该是大家最熟悉的WEBSHELL管理工具这里先附一个下载链接供大家下载

github.com/raddyfiy/ca…

这里我用wireshark抓取到了流量进行一下分析

可以看到特征还是很明显的首先请求头的ua头也就是用户代理(User Agent)通常是百度或者火狐的浏览器再看上图的请求包体通常是附带着下面这个标识符

eval=(base64_decode($_POST[z0])) 

而z0后面的通常也是一样的只不过进行了base64加密解密后的结果如下这里只取最明显的头部解密后的代码):

@ini_set("display_errors","0");@set_time_limit(0); 

这就是中国菜刀WEBSHELL管理工具最常见的流量特征在进行攻击时为了防止被人发现可以尝试将上面的特征进行混淆以此来防止被发现。

蚁剑

蚁剑全称中国蚁剑是一款开源的跨平台网站管理工具它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。

下载地址如下

github.com/AntSwordPro…

相比于菜刀我们可以在连接时选择编码器我们这里以默认编码器来分析,先抓它的流量包

可以看到流量特征也是非常的明显头部就存在以下特征

@ini_set(“display_errors”, “0”);@set_time_limit(0) 

请求被套了一层URL编码和BASE64编码可以看到这个流量很熟悉中国菜刀连接时也会有这个流量因此可以推断这是PHP类WEBSHELL通常都会有的东西当我们用WIRESHARK抓包时你会发现抓到了两个请求也就是说连接时请求了两次那么第二次都干了些什么呢

简单分析后会发现不光只有上面的信息它还把目录给列了出来我们可以看到文件目录了。若我们不使用默认编码而是用base64编码会有什么特别的地方吗

简单尝试会发现数据包存在以下base加密的eval命令执行。

并且base64解码后的字符明显看出是通过{}符合分成了一段一段的流量特征十分明显这里找到了蚁剑base64编码的脚本流程供大家参考

use strict';
module.exports = (pwd, data, ext = null) => {// 生成一个随机变量名let randomID;if (ext.opts.otherConf['use-random-variable'] === 1) {randomID = antSword.utils.RandomChoice(antSword['RANDOMWORDS']);} else {randomID = `${antSword['utils'].RandomLowercase()}${Math.random().toString(16).substr(2)}`;}data[randomID] = Buffer.from(data['_']).toString('base64');data[pwd] = `@eval(@base64_decode($_POST[${randomID}]));`;delete data['_'];return data;
} 

简单分析一下这里用到了random函数来产生随机数而data[pwd]则是作为参数传递我们可以在请求包里找到对应的信息randomID也是作为密钥随机生成的base64编码就分析到这里了。

结语

今天给大家带来了WEBSHELL管理工具流量特征基础篇简单介绍了菜刀和蚁剑这两个比较简单的流量特征之后也会给大家带来别的WEBSHELL管理工具流量分析如果夏欢本文希望可以一键三连支持一下。