搜索

[14913] 2019-12-08_冰蝎动态二进制加密WebShell基于流量侧检测方案

文档创建者:s7ckTeam
浏览次数:15
最后更新:2025-01-18
2019-12-08_冰蝎动态二进制加密WebShell基于流量侧检测方案 W e b S h e l l c h u j i a n 0   F r e e B u f   2 0 1 9 - 1 2 - 0 8 6 w e b s h e l l w e b s h e l l w e b s h e l l 线 线 w e b s h e l l ( a s p | a s p x | j s p | j s p x | p h p ) 线 线 s n o r t A E S 线 线 V 1 . 0 C o n t e n t - T y p e :   a p p l i c a t i o n / o c t e t - s t r e a m G E T 1 6 V 1 . 1 V 1 . 1 V 1 . 1 U s e r A g e n t 1 7 U s e r A g e n t p a s s   p a s s ( )   1 0 V 2 . 0 . 1 p h p   s h e l l 线 a s p   s h e l l   线
p h p   s h e l l   线   V 2 . 0 V 2 . 0 . 1 p h p   s h e l l 线 P O S T P O S T   P O S T s n o r t f l o w b i t s   P O S T P O S T s n o r t C o n t e n t - L e n g t h p h p   s h e l l   线 G E T   C o n t e n t - L e n g t h :   1 6 c h u n k e d   c o n t e n t - l e n g t h
p h p   G E T     C o n t e n t - L e n g t h :   1 6 1 U R L   w { 1 , 8 }   d { 1 , 1 0 }   V 1 . 0 V 1 . 1 1 - 1 0 V 2 . 1   d { 2 , 3 } 2 U R L * * U R L 使 3 A c c e p t A c c e p t H T T P A c c e p t " . ( p h p | j s p | a s p | j s p x | a s p x ) ? w { 1 , 8 } = d { 1 , 1 0 } H T T P / 1 . 1 " " . ( p h p | j s p | a s p | j s p x | a s p x )   H T T P / 1 . 1 " A c c e p t :   t e x t / h t m l , i m a g e / g i f ,   i m a g e / j p e g ,   * ;   q = . 2 ,   * / * ; q = . 2
H T T P   H e a d e r A c c e p t   使 4 U s e r A g e n t V 1 . 1 V 1 . 1 U s e r A g e n t 1 7 ( ) U s e r A g e n t I P 访 U R L ( ) U s e r A g e n t A c c e p t   U A 使 5 1 6 + g e t s h e l l 线 2 2 g e t 2   1 6 k e y g e t 1 6 6 j s p | p h p | j s p x   5 0 5 0 I D S j s p p h p j s p x A c c e p t :   t e x t / h t m l , i m a g e / g i f ,   i m a g e / j p e g ,   * ;   q = . 2 ,   * / * ; q = . 2 " r n r n [ A - Z a - z 0 - 9 ] { 1 6 } $ " " C o n t e n t - L e n g t h :   1 6 " r n r n [ a - z A - Z d + / ] { 1 0 , } / [ a - z A - Z d / ] { 5 0 } "
a s p , a s p x   a s p x   a s p x   .   a s p a s p x 7 j s p [ ^ w s > < = - ' " : ; , ! ( ) { } ]
使 [ ^ w s > < = - : ; , ! ( ) { } ]   [ w ] { 2 }   2 + V O ? E S + F l # f B + 9 w + r v + 6 G / S W + m N ] s s + s s [ s s + g V | 0 5 + I z 8 o   2 0 0   O K   p h p | j s p | a s p | a s p x T y p e C o n t e n t - T y p e :   t e x t / h t m l j s p x j s p x 8 使 : 使 s n o r t "   [ ^ w s > < = - ' " : ; , ! ( ) { } ] [ w ] { 2 } [ ^ w s > < = - ' " . : ; , ! ( ) { } ] [ a - z A - Z d ] { 2 } " " C o n t e n t - T y p e : t e x t / x m l " C o n n e c t i o n :   K e e p - A l i v e
. G E T 1 . c h u j i a n 0 1 6 2 . 2 0 0   O K I D S I D S . G E T 1 . G E T . G E T . 2 1 . P O S T 2 . P O S T   a s p | j s p | a s p x | p h p     线 ( ) , 1 . P O S T   j s p x   2 . P O S T   j s p x   s n o r t 姿 w e b s h e l l h t t p c o n t e n t - l e n g t h * c h u j i a n 0 F r e e B u f . C O M a l e r t   h t t p   a n y   a n y   - >   a n y   a n y ( m s g : " M A L W A R E - B A C K D O O R   B e h i n d e r   w e b s h e l l   o n l i n e   d e t e c t e d " ;   f l o w : e s t a b l i s h e d , t o _ c l i e n t ;   p c r e :   " / r n r n [ A - Z a - z 0 - 9 ] { 1 6 } $ / " ;   c o n t e n t : " 2 0 0   O K " ;   c o n t e n t :   " C o n t e n t - L e n g t h :   1 6 " ;   f a s t _

回复

举报

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver| 手机版| 小黑屋|
Powered by Discuz! X3.4 Copyright © 2001-2020, Tencent Cloud. 商业源码建议获取授权,如侵犯您的权益,请联系客服处理