webshell管理工具及其流量特征分析

Posted 2022-08-02 Goodric

webshell管理工具及其流量特征分析

——

对常见四款webshell进行分析，对工具连接流量有个基本认识。
——

中国菜刀（Chopper）流量特征

是一款经典的网站管理工具，有文件管理、数据库管理、虚拟终端等功能。
流量特征十分明显，如今安全设备基本可以识别到菜刀的流量。基本是在安全教学中使用。

github项目地址：https://github.com/raddyfiy/caidao-official-version

菜刀使用的webshell ，特征十分明显
常见一句话(Eval)：
php一句话:

<?php @eval($_POST['caidao']);?>

ASP一句话:

<%eval request(“caidao”)%>

asp.net一句话:

<%@ Page Language=“Jscript”%><%eval(Request.Item[“caidao”],“unsafe”);%>

请求体中传递的payload为base64编码，并且存在固定的
为

QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtpZihQSFBfVkVSU0lPTjwnNS4zLjAnKXtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO307ZWNobygiWEBZIik7J

响应文的格式为

X@Y
结果
X@Y

——
——

蚁剑流量特征

AntSword（蚁剑）是一个开放源代码，跨平台的网站管理工具，旨在满足渗透测试人员以及具有权限和/或授权的安全研究人员以及网站管理员的需求。

github项目地址： https://github.com/AntSwordProject/antSword

蚁剑的核心代码是由菜刀修改而来的，所有普通的一句话木马也可以使用。
用burp 挂上蚁剑的代理。

进行操作时，burp 中能够看到所有的数据包。
点开一个数据包，这里可以看到路径 /shell.php 是通过蚁剑连接的这个一句话木马进行的操作。
每个请求体都存在 @ini_set(“display_errors”, “0”);@set_time_limit(0) 开头
并且存在 base64_decode 等字符。

在返回包中，响应结果的返回格式为随机数、结果、随机数。

——
——

冰蝎

是一款动态二进制加密网站管理客户端。

github地址：https://github.com/rebeyond/Behinder

在冰蝎文件夹中，sever 文件中存放了各种类型的木马文件。

冰蝎连接webshell ，最简单的一句话木马是用不了了，就会出现如图这样的情况。

——

冰蝎2.0 版本的流量特征

设置代理，并在burp上也设置好这个端口的代理。

连接2.0版本给定shell.php木马文件

2.0中采用协商密钥机制。第一阶段请求中返回包状态码为200，响应包返回内容必定是16位的密钥
请求体中：
Accept: text/html, image/gif, image/jpeg, *; q=.2, /; q=.2

建立连接后 所有请求 Cookie的格式都为: Cookie: PHPSESSID=; path=/；

——

冰蝎3.0 webshell 流量特征

去除了动态密钥协商机制，采用预共享密钥，全程无明文交互，密钥格式为md5(“admin”)[0:16],即"admin"的md5值的前十六位字符。
所以在各种语言的webshell中都会存在16位数的连接密码，默认变量为key。

这里看一个冰蝎3.0版本php语言的shell ，会判断是否开启openssl采用不同的加密算法，在代码中同样会存在eval或assert等字符特征

连接server文件夹中给定shell.php木马文件

每一个请求头中存在
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,/;q=0.8,application/signed-exchange;v=b3;q=0.9

每一个响应包中都存在
Pragma: no-cache
Cache-Control: no-cache

——
——

哥斯拉流量特征

哥斯拉继菜刀、蚁剑、冰蝎之后具有更多优点的Webshell管理工具

github地址：https://github.com/BeichenDream/Godzilla

哥斯拉的webshell需要动态生成，可以根据需求选择各种不同的加密方式
先点击管理-生成，这里演示php 的webshell。

点击生成之后，要把文件进行保存，我这里直接放在phpstudy目录下。

可以看到生成的webshell 代码就是普通的php一句话木马。

在哥斯拉中，生成的木马文件代码中，
jsp会出现xc,pass字符和Java反射（ClassLoader，getClass().getClassLoader())，base64加解码等特征
php，asp则为普通的一句话木马

点击目标-新增 ，设置生成的webshell文件的路径，有效载荷和加密器都选择前面生成木马文件时的选项。
然后代理可选择，默认是无代理，我这里选择代理在了burp 上，方便分析流量特征。

所有请求中Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,/;q=0.8
所有请求中Cookie中后面都存在 ; （分号）
所有响应中Cache-Control: no-store, no-cache, must-revalidate,