【蓝队技能】【C2流量分析】MSF&CS&Sliver

蓝队技能


MSF&CS&Sliver


总结


前言

不同C2工具的流量特征都有细微差别,学会分析方法后就可以进行分析


一、MSF

1.1 流量分析

MSF流量特征过于明显,看如下这篇文章即可
MSF流量分析

1.2 特征提取

  1. 结果以明文方式显示在流量中(TCP明文)
  2. 响应流量中存在MZ,DOS等特殊字段(TCP密文)
  3. 固定的请求头和响应头(HTTP)
  4. 固定的JA3和JA3S的特征值(HTTPS)

二、CS

1.1 流量分析

首先上线CS,然后进行抓包










1.2 特征提取

HTTP:

  1. 固定的数据包头
bash 复制代码
GET /cx HTTP/1.1
Accept: */*
Cookie: bdzPTdzddRyt8AtQGdzr+KRL8ELTYDxGwRBe1bbadiMeqzoQv8RzS+WrkPvInIXiUun/YnVPlpkrKLYgeGSrI8Dth0UMYPqZopauQTHqvQ5tRxOTQGiA2i8RIsArr5L1UEnFQEcLRXBmZ+QbR+Qizq+rIfUxxoxJMoeIckJNSdw=
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; Avant Browser)
Host: 192.168.189.128:1111
Connection: Keep-Alive
Cache-Control: no-cache

HTTP/1.1 200 OK
Date: Wed, 16 Oct 2024 12:42:39 GMT
Content-Type: application/octet-stream
Content-Length: 0
  1. 路径的checksum8算法(路径算出来是92或者93)
java 复制代码
public class EchoTest {
    public static long checksum8(String text) {
        if (text.length() < 4) {
            return 0L;
        }
        text = text.replace("/", "");
        long sum = 0L;
        for (int x = 0; x < text.length(); x++) {
            sum += text.charAt(x);
        }

        return sum % 256L;
    }

    public static void main(String[] args) throws Exception {
        System.out.println(checksum8("Yle2"));
    }
}
  1. 心跳包解析

获取文件后使用工具进行分析(https://github.com/DidierStevens/DidierStevensSuite)

HTTPS

  1. 证书特征(.store)

  2. 源码特征(ja3,ja3s)
    client hello 4d5efa96609dc906f796e63cff009c2a db36bad574044a5104a59b0c676991ef
    server hello 15af977ce25de452b96affa2addb1036 2253c82f03b621c5144709b393fde2c9
    CS详细流量分析

二、Sliver

1. 特征分析

HTTP:

  1. 路径特征:server\configs\http-c2.go
  2. 固定url路径
  3. 参数名称的构造规律
  4. 参数值的长度及规律
  5. sessionID/Cookie的交换
  6. Cookie的名称生成、cookie值的长度及规律

根据路径文件名,后缀,cookie这些信息到源码里面的数组随机组合配合分析排查

HTTPS:

  1. ja3/ja3s(19e29534fd49dd27d09234e639c4057e,f4febc55ea12b31ae17cfb7e614afda8)

相关推荐
2601_957174654 小时前
零基础学网络安全能学好吗
安全·web安全
Chengbei1113 小时前
VMware Workstation Pro 26H1免费虚拟化利器
运维·安全·web安全·自动化·系统安全·apache·安全架构
其实防守也摸鱼1 天前
运维--怎么看接口的请求和返回
运维·学习·网络安全·网络攻击模型·burpsuite·攻防对抗·蓝队
云水一下1 天前
DVWA从入门到精通(十八):Cryptography(密码学问题)
web安全·密码学·dvwa
糖果店的幽灵1 天前
安全测试从入门到精通 - 环境搭建与基础工具选择
安全·web安全
其实防守也摸鱼2 天前
蓝队相关知识学习(1)---常用堡垒机和服务器
服务器·功能测试·学习·网络安全·网络攻击模型·攻防对抗·蓝队
云水一下2 天前
DVWA从入门到精通(十七):Open HTTP Redirect(开放重定向)
web安全·dvwa·开放重定向
txg6662 天前
网络安全领域简报(2026年7月3日—10日)
安全·web安全·网络安全
Chengbei113 天前
SoloXSS:一款现代化的自托管 XSS平台
人工智能·安全·web安全·网络安全·自动化·xss·安全架构
2301_780303903 天前
网络安全、自动化运维、ERP、CRM、MES
运维·web安全·网络安全·自动化·安全威胁分析