前言:
累了,好累,好累,今天
正题:
冰蝎的流量特征是什么
2.0的话就是10种ua头变换,看到ua头一直在变的话就用可能就是冰蝎了
这个是3.0的,就是content-type固定的application/octrem的这种, ,ua头变换
4.0,然后就是长连接,本地端口为打端口,49700这种,ua头变换
使用请求体有pass=字段,流量特征有eval这些就是执行函数,通过aes和base64加密
哥斯拉的流量特征
cooike末尾有分号,还有的就是流量特征也是有一些就是eval这些执行函数等
蚁剑
常见的就是ua头默认是蚁剑的版本信息,然后就是base64加密
有@init_set这种,然后就是用eval执行函数这些
今天任务
试了几个c段,然后就是找到新的资产了,但是我是去找旧的资产了,而且就是今天没有找到什么漏洞
今天找就是旧的资产测试了比较多,但是就是没有找到什么方向,也没有思考到什么方向
今天就是将已知的c段试过了,继续找c段尝试,还是将已有的c段就是的资产,就是做深度的测试,嗯,思考一下
根据以往的经验
我是就是看课,知道的隐藏资产,就是看课知道的就是隐藏的资产,小程序的
然后c段找到了一个漏洞,
小程序找到一个漏洞
之前就是小程序就是广研究小程序,能找到就是5个左右的漏洞
第一次就是第一轮就是小程序资产全覆盖,找到一个漏洞
第二轮
就是利用活动就是新出的资产小程序,挖到了一个漏洞
第三轮
就是深度挖掘小程序就是挖到了一个漏洞
第四轮
靠title=模糊搜索,网页版,获取凭证,找到了一个漏洞,配合ai
第五轮
靠小程序隐藏资产找到一个漏洞
第六轮
找c段找到一个漏洞,这个不算漏洞,没有敏感信息
接下来就是怎么办呢,该往哪个方向,深度理解业务逻辑漏洞,同时找就是学习业务逻辑漏洞
ok,业务逻辑
就是挖到一个漏洞,就是这个就是要深度理解业务的,也是轻微的理解算吧,就是收获地址,就是不能改成别人的,但是能改成自己的,以后就是改了就是请求包的时候,就是需要思考的问题就是是否是要学习修改返回包,然后就是
我就是想就是修改自己的就是addressid,修改成自己的可以,修改成别人的不可以
这个还算简单的,就是有就是子业务已经同步了收获地址,其实我想的也是用主业务的地址进行简单的替换
我是否会举一反三
除了收获地址是同步子业务的,就是所有信息都是同步子业务的,包括有些实名信息,也是直接同步的,有什么漏洞呢
这个收获地址是,只能就是新建收获地址,不能使用旧的收获地址,只是简单的进行addressid的替换没有复杂的操作,
以下是文章,公众号的,吉祥安全,挺好的
哥斯拉、冰蝎、中国蚁剑在护网中流量特征分析,收藏起来当资料吧,24年护网用得上
冰蝎2.0
使用AES加密 + base64编码,AES使用动态密钥对通信进行加密,进行请求时内置了十几个User-Agent头,每次请求时会随机选择其中的一个。因此当发现一个ip的请求头中的user-agent在频繁变换,就可能是冰蝎。
3.0
连接jsp的webshell的请求数据包中的content-type字段常见为application/octet-stream
4.0
冰蝎4.0要考虑User-Agent头、端口号、开头字节及connection
端口在49700左右,长连接,
总结
冰蝎,就是ua头10种变换,aes+base64加密
哥斯拉的流量特征
在默认脚本编码的情况下,jsp会出现xc、pass字符和Java反射(ClassLoader,getClass().getClassLoader()),base64加解码等特征。
Cookie中有一个非常关键的特征,最后会有个分号。估计后续的版本会修复
蚁剑webshell静态特征
带有base64编码解码等字符特征。
User-Agent字段(弱特征),如果采用默认的情况,会暴露使用的jdk信息。
我们使用一句话木马上传webshell,抓包后会发现每个请求体都存在以@ini_set("display_errors","0");@set_time_limit(0)开头。并且响应体的返回结果是base64编码发混淆字符,格式为:随机数 结果 随机数。