一、webshell概述

???? Webshell客戶端是一種連接Webshell后門，用于攻擊者與服務器之間通信的程序。

二、Webshell流量監(jiān)測思路

1、特征分析：分析流量特征中的關鍵特征，判斷是否存在webshell流量特征；

2、請求模式：分析webshell流量的請求模式，可以通過分析URL，參數(shù)和頭部信息來判斷是否存在webshell流量；

3、檢測內容：通過分析流量中的關鍵字等特征，判斷是否存在webshell流量特征；

4、字符集：分析流量中的字符集是否webshell流量關聯(lián)；

5、加密算法：分析流量中的加密算法，判斷是否存在webshell流量特征；

6、文件上傳：分析流量中是否存在文件上傳性質等性質，判斷是否存在webshell流量特征；

7、惡意腳本：分析流量中是否存在惡意腳本，判斷是否存在webshell流量特征；

三、常見國內外的幾種webshell利用工具

1、菜刀

流量特征

菜刀流量特征概括：

首先請求體中傳遞的payload為base64編碼，并且存在固定的，其次請求體中存在eval，base64等特征字符。最后傳給cmd的這些流量字符中有自己的特征，1、都是系統(tǒng)命令；2、必須以分號結尾；3、數(shù)據包源一般是ip。

中國菜刀2011版本及2014版本各語言WebShell鏈接流量特征

(1)PHP類WebShell鏈接流量

其中特征主要在body中，將body中流量進行url解碼后如下：

其中特征點有如下三部分，

第一：“eval”，eval函數(shù)用于執(zhí)行傳遞的攻擊payload，這是必不可少的；

第二：(base64_decode($_POST[z0]))，(base64_decode($_POST[z0]))將攻擊payload進行Base64解碼，因為菜刀默認是將攻擊載荷使用Base64編碼，以避免被檢測；

第三：&z0=QGluaV9zZXQ...，該部分是傳遞攻擊payload，此參數(shù)z0對應$_POST[z0]接收到的數(shù)據，該參數(shù)值是使用Base64編碼的，所以可以利用base64解碼可以看到攻擊明文。

注：

1.有少數(shù)時候eval方法會被assert方法替代。

2.$_POST也會被$_GET、$_REQUEST替代。

3.z0是菜刀默認的參數(shù)，這個地方也有可能被修改為其他參數(shù)名。

(2)JSP類WebShell鏈接流量：

該流量是WebShell鏈接流量的第一段鏈接流量，其中特征主要在i=A&z0=GB2312，菜刀鏈接JSP木馬時，第一個參數(shù)定義操作，其中參數(shù)值為A-Q，如i=A，第二個參數(shù)指定編碼，其參數(shù)值為編碼，如z0=GB2312，有時候z0后面還會接著又z1=參數(shù)用來加入攻擊載荷。

注：其中參數(shù)名i、z0、z1這種參數(shù)名是會變的，但是其參數(shù)值以及這種形式是不會變得，最主要就是第一個參數(shù)值在A-Q，這種是不變的。

(3)ASP類WebShell鏈接流量：

其中body流量進行URL解碼后

其中特征點有如下三部分，

第一：“Execute”，Execute函數(shù)用于執(zhí)行傳遞的攻擊payload，這是必不可少的，這個等同于php類中eval函數(shù)；

第二：OnError ResumeNext，這部分是大部分ASP客戶端中必有的流量，能保證不管前面出任何錯，繼續(xù)執(zhí)行以下代碼。

第三：Response.Write和Response.End是必有的，是來完善整個操作的。

這種流量主要識別這幾部分特征，在正常流量中基本沒有。

注：OnError Resume Next這個特征在大部分流量中存在，極少數(shù)情況沒有。

中國菜刀2016版本各語言WebShell鏈接流量特征：

PHP類WebShell鏈接流量：

其中特征主要在body中，將body中部分如下：

這個版本中流量最大的改變就是將特征進行打斷混淆，這也給我們識別特征提供一種思路。

其中特征點有如下三部分，

第一：“"Ba"."SE6"."4_dEc"."OdE”，這部分是將base64解碼打斷使用.來連接。

第二：@ev"."al，這部分也是將@eval這部分進行打斷連接，可以識別這段代碼即可。

第三：QGluaV9zZXQoImRpc3BsYXlf...，該部分是傳遞攻擊payload，payload依舊使用Base64編碼的，所以可以利用base64解碼可以看到攻擊明文來識別。

注：有少數(shù)時候eval方法會被assert方法替代。

JSP類WebShell鏈接流量：

該版本JSPwebshell流量與之前版本一樣，

所以分析如上：該流量是WebShell鏈接流量的第一段鏈接流量，其中特征主要在i=A&z0=GB2312，菜刀鏈接JSP木馬時，第一個參數(shù)定義操作，其中參數(shù)值為A-Q，如i=A，第二個參數(shù)指定編碼，其參數(shù)值為編碼，如z0=GB2312，有時候z0后面還會接著又z1=、z2=參數(shù)用來加入攻擊載荷。

注：其中參數(shù)名i、z0、z1這種參數(shù)名是會變的，但是其參數(shù)值以及這種形式是不會變得，最主要就是第一個參數(shù)值在A-Q，這種是不變的。

ASP類WebShell鏈接流量：

其中body流量為：

2016版本流量這鏈接流量最大的變化在于body中部分字符被unicode編碼替換混淆，所以這種特征需要提取出一種形式來，匹配這個混淆特征，比如“字符+%u0000+字符+%u0000”這種形式來判斷該流量。

或者直接將這部分代碼直接進行unicode解碼，可以獲取到如2011或2014版本的asp所示的流量?？梢愿鶕弦欢翁卣鱽磉M行判斷。

這種流量主要識別這幾部分特征，在正常流量中基本沒有。

?2、蟻劍

蟻劍流量特征概述：

可以對流量進行加密、混淆。但是有些關鍵代碼沒有被加密，如：PHP中的ini_set；ASP中的OnError，response等，流量特征：使用bse64加密的payload，數(shù)據包存在以下base加密的eval命令執(zhí)行，數(shù)據包的payload內容存在幾個分段內容，分別都使用base加密，解密后可以看到相關的路徑，命令等；

（1）蟻劍PHP類WebShell鏈接流量

其中body流量進行URL解碼后為：

其中流量最中明顯的特征為@ini_set("display_errors","0");這段代碼基本是所有WebShell客戶端鏈接PHP類WebShell都有的一種代碼，但是有的客戶端會將這段編碼或者加密，而蟻劍是明文，所以較好發(fā)現(xiàn)。

（2）蟻劍ASP類WebShell鏈接流量

其中body流量進行URL解碼后為：

我們可以看出蟻劍針對ASP類的WebShell流量與菜刀的流量很像，其中特征也是相同，如OnError ResumeNext、Response.End、Response.Write，其中execute在蟻劍中被打斷混淆了，變成了拼接形式Ex"&cHr(101)&"cute，同時該流量中也使用了eval參數(shù)，可以被認為明顯特征。

?三、冰蝎

冰蝎流量特征概述：

是一款動態(tài)二進制加密網站管理客戶端。主要用于配合服務端shell的動態(tài)二進制加密通信，適用于WAF攔截回顯等場景，客戶端的流量無法檢測。

（1）冰蝎3.0

? 隨著冰蝎的不斷更新，功能越來越完善，到3.0已經具備了紅隊需要的各種功能，特別是反彈shell的msf和cs上線，以及自定義代碼執(zhí)行，靈活性很強?；咀龅介_箱即用且功能齊全，唯一的問題是，工具流行之后，webshell本體容易被查殺，需要做webshell本體的免殺。

由于冰蝎把類動態(tài)加載這個關鍵技術擺在臺面上，在一段時間的研究后，Java內存馬已經有了很多可用的思路，比如新增filter，只從內存操作，不依賴落地文件，就能訪問到內存中的Webshell，這就解決了webshell本體免殺問題。 這種情況下冰蝎更新v3.0 beta7版本，增加了Java內存馬功能，并且使用了更高級的Java Agent技術，通過hook Java進程中原本正常的類，實現(xiàn)內存馬功能，并在beta8增加了內存馬防查殺機制。

至此，冰蝎成為了一個完美的開箱即用的工具，本體內存馬免殺，流量免殺，功能齊全，兼容性好，在連續(xù)幾年的攻防演練中，成為最熱門的工具。

（2）冰蝎4.0

在去年的攻防演練中，冰蝎更新了4.0版本，增加了webshell生成功能，可以完全自定義流量加密方法，對流量加密的靈活性又大大增加。

因此，目前在webshell工具領域，冰蝎獨占鰲頭。在去年的攻防演練中統(tǒng)計到的webshell有效攻擊中，有80%都是使用的冰蝎或冰蝎變種，足以證明冰蝎的強大功能。?

四、哥斯拉

哥斯拉流量特征概述：

哥斯拉：是基于流量、HTTP全加密的webshell工具；哥斯拉全部類型的shell 能繞過市面所有靜態(tài)查殺；哥斯拉流量加密能繞過市面全部流量waf。

?文章來源地址http://www.zghlxwxcb.cn/news/detail-489143.html

到了這里，關于常見的webshell的流量特征和檢測思路的文章就介紹完了。如果您還想了解更多內容，請在右上角搜索TOY模板網以前的文章或繼續(xù)瀏覽下面的相關文章，希望大家以后多多支持TOY模板網！