webshell流量分析+蜜罐溯源

哥斯拉4.01

生成木马文件

测试是否连接成功

开始抓包流量分析

哥斯拉特征

三个数据包
弱特征：
1、UA：java/1.8.0_121
2、Accept：text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8

强特征：
cookie：
pass字段名

固定特征：
固定特征：
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:84.0) Gecko/20100101 Firefox/84.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

<<< 左右滑动见更多 >>>

解密流量

工具可以在我公众号底栏->资源获取->百度网盘->集合工具

可以用蓝队分析辅助工具

中国蚁剑2.1.15

下载生成shell插件

一句话木马会被查杀拦截

连接并抓包

特征

请求时默认采用url编码,可以选择多种编码器
有ini_set,display_errors未经过编码

php特征

asp连接

asp特征

sapx连接和特征

别的就不多说了,自己抓包看看

冰蝎

设置代理上传后门

连接抓包分析

特征分析

1、Accept字段
Accept: application/json, text/javascript, /; q=0.01
2、Content-Type
Content-type: Application/x-www-form-urlencoded
3、User-agent 字段
冰蝎设置了10种User-Agent,每次连接shell时,它会随机选择一个进行使用。
4、端口
冰蝎与webshell建立连接使,每次连接使用本地端口在49700左右，每连接一次，每建立一次新的连接，端口也依次增加。

菜刀

 payload请求体中，用url编码+base64编码，payload部分是明文传输。有eval或assert、base64_decode这样的字符。

这里就不多说了,过时了,可以看我这篇文章两篇结合看

webshell工具流量特征分析

蜜罐

对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务 或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获 和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

蜜罐部署

官网地址
https://hfish.net/#/

以root权限运行以下命令，防火墙开启TCP/4433、TCP/4434
firewall-cmd --add-port=4433/tcp --permanent   #（用于web界面启动）
firewall-cmd --add-port=4434/tcp --permanent   #（用于节点与管理端通信）
firewall-cmd --reload

以root权限运行以下一键部署命令
bash <(curl -sS -L https://hfish.net/webinstall.sh)

登陆链接：https://[ip]:4433/web/
账号：admin
密码：HFish2021

<<< 左右滑动见更多 >>>

增加节点部署

控制端在centos7(后端管理),节点在win10,攻击机:另一台win10

<<< 左右滑动见更多 >>>

linux部署直接一句话命令回车就行,玩法和下面一样

<<< 左右滑动见更多 >>>

测试

模拟爆破攻击

<<< 左右滑动见更多 >>>

可以看到控制端已经记录了攻击者干了什么

用Goby扫描

控制端查看

<<< 左右滑动见更多 >>>

可见很清楚攻击者痕迹