文章目录
- 菜刀
- 冰蝎
- 哥斯拉
本节主要讲上传了后门,要是用webshell连接工具进行连接,而webshell连接工具特征可能被检测系统识别相关内容。
web防护软件:
- WEB应用防火墙——WAF
- 入侵检测系统——IDS、HIDS
- 威胁感知——天眼
感知威胁技术:
- 正则匹配:检测、容易被绕过(加密、编码、关键词打乱等)
- 机器学习:使用深度学习方法进行分析
- 行为分析:关注你干了什么
菜刀
数据包流量特征:
- 请求包:UA头可能为百度爬虫(不同的菜刀版本,UA头信息不一样);
- 请求体中给存在
eval
,base64
等特征字符; - 请求体中传递的payload为base64编码,且存在固定格式。
菜刀——profier——burp:实现将菜刀的流量转发到burp上。
冰蝎
如何快速识别AES加密:大致加密密文跟base64差不多,只是base64会出现==
字符串,AES加密密文中存在///字符串。
冰蝎基本原理
利用动态二进制加密实现新型一句话木马之PHP篇
哥斯拉
【原创】哥斯拉Godzilla加密流量分析
哥斯拉流量特征: