当前位置: 首页 > news >正文

菜刀冰蝎哥斯拉流量通讯特征绕过检测反制感知

1.加密流程

工具名称requestsresponse
AntSwordbase64等方式明文
冰蝎2.0开启Openssl扩展-动态密钥aes加密aes加密+base64
未开启Openssl扩展-异或异或+base64
冰蝎3.0开启Openssl扩展-静态密钥aes加密aes加密+base64
未开启Openssl扩展-异或异或+base64
哥斯拉php的为base64+异或+base64异或+base64+脏字符
jsp的为Base64+AESaes+base64+脏字符

2.案例绕过

waf检测到传入值存在恶意参数

抓包获取数据包

使用数据包发送,网站被拦截

传入的值为经过php运行结果为base_64decode

将chr的值更改为‘base_64decode’,将POST更改为REQUEST,发送成功绕过

3.菜刀的版本和流量特征

3.1版本

2014 S_POST=S_REQUEST 2016 可以

3.2数据包流量特征

(1) 请求包,中:ua头为百度爬虫
(2)请求体中存在eval,base64等特征字符
(3)请求体中传递的payload为base64编码,并且存在面定的
QGluaV9zZXQolmRpc3BsYXIfZXJyb3JzliwiMClpO0BzZXRfdGItZV9saW1pdCgwKTtpZih
QSFBfVkVSUOIPTjwnNS4zLjAnKXtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1IKDApO307
ZWNobygiWEBZlik7J

4.冰蝎的版本和流量特征

请求正文全部为AES加密(AES加密的特则含有///,大小写混杂,base64加密含有=)AES加密需要知道密匙、偏移量、加密模式等

http://www.lryc.cn/news/361787.html

相关文章:

  • 前端 JS 经典:判断数组的准确方法
  • 【仓库设置问题】
  • 深度学习知识与心得
  • Qt for Android
  • HTTP 的三次握手
  • 【Text2SQL 论文】T5-SR:使用 T5 生成中间表示来得到 SQL
  • 【HarmonyOS】应用屏蔽截屏和录屏
  • [BUG历险记] ERROR: [SIM 211-100] CSim failed with errors
  • Redis中大Key与热Key的解决方案
  • MySQL 视图(2)
  • Leecode---技巧---颜色分类、下一个排列、寻找重复数
  • ERC-7401:嵌套 NFT 标准的全新篇章
  • 代码随想录算法训练营Day6| 242.有效的字母异位词、349. 两个数组的交集、202. 快乐数、1. 两数之和
  • 三十四、openlayers官网示例Dynamic clusters解析——动态的聚合图层
  • SpringBoot登录认证--衔接SpringBoot案例通关版
  • vue3状态管理,pinia的使用
  • 入门到实践,手把手教你用AI绘画!
  • 大模型应用框架-LangChain
  • 探索Linux中的强大文本处理工具——sed命令
  • 冯喜运:6.3黄金原油晚间最新行情及独家操作策略指导
  • Spark_SparkOnHive_海豚调度跑任务写入Hive表失败解决
  • SaaS 电商设计 (十一) 那些高并发电商系统的限流方案设计
  • 【算法】MT2 棋子翻转
  • 头颈肿瘤在PET/CT中的分割:HECKTOR挑战赛| 文献速递-深度学习肿瘤自动分割
  • Kafka重平衡导致无限循环消费问题
  • 执行shell脚本时为什么要写成./test.sh,而不是test.sh?
  • 【人工智能】第一部分:ChatGPT的基本概念和技术背景
  • 雪花算法详解及源码分析
  • Golang TCP网络编程
  • 先进制造aps专题十 aps项目成功指南