您当前的位置:首页 > 计算机 > 安全防护

攻防兼备:Behinder使用指南及流量特征

时间:10-07来源:作者:点击数:

Behinder是一款动态二进制加密网站管理客户端

下载地址:Releases · BeichenDream/Godzilla · GitHub

基本使用

1. 运行冰蝎,打开传输协议:

生成一个php远程后门:

点击生成服务端,会导出木马到冰蝎的内部路径中:

冰蝎生成的加密马无需密码连接

配置连接信息:

后门就能连接成功!!!

其功能和哥斯拉很相似,所以不再赘述。

流量特征

这里主要分析3.0版本的:

静态特征:

  • 采用采用预共享密钥,密钥格式为md5(“admin”)[0:16], 所以在各种语言的webshell中都会存在16位数的连接密码,默认变量为k。
  • 在PHP中会判断是否开启openssl采用不同的加密算法,在代码中同样会存在eval或assert等字符特征
  • 在jsp中则利用java的反射,所以会存在ClassLoader,getClass().getClassLoader()等字符特征

流量特征

冰蝎2.0:

  • 第一阶段请求中返回包状态码为200,返回内容必定是16位的密钥
  • Accept: text/html, image/gif, image/jpeg,; q=.2,/*; q=.2
  • 建立连接后的cookie存在特征字符,所有请求 Cookie的格式都为: Cookie: PHPSESSID=; path=/;

冰蝎3.0

  • 请求包中content-length 为5740或5720(可能会根据Java版本而改变)
  • 每一个请求头中存在 Pragma: no-cache,Cache-Control: no-cache
  • Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,/*;q=0.8,application/signed-exchange;v=b3;q=0.9
方便获取更多学习、工作、生活信息请关注本站微信公众号城东书院 微信服务号城东书院 微信订阅号
推荐内容
相关内容
栏目更新
栏目热门