加载中...

229-蓝队技能-流量分析篇&C2远控&工具特征&分析项目等

发表于2025-09-16|更新于2025-09-16|小迪学习笔记

|浏览量:

229-蓝队技能-流量分析篇&C2远控&工具特征&分析项目等

蓝队技能-流量分析-C2 远控工具

C2
MsF、CS、Sliver、Viper、Havoc、Vshell、Supershell等

CS

HTHP
https://blog.didierstevens.com/didier-stevens-suite

https://github.com/DidierStevens/DidierStevensSuite

python 1768.py xxxx.vir

HTTP/CS特征

固定数据包头

//请求头
GET /Jsh8 HTTP/1.1
User-Agent: Mozilla/5.0(compatible; MSIE 9.8; Windows NT 6.1; Trident/5.0; BOIE9;ENUS)
Host: 192.168.1.9:1111
Connection: Keep-Alive
Cache-Control:no-cache
1
2
3
4
5
6

* ```
  //返回包
  HTTP/1.1 200 0K
  Date:Tue,17 Sep 2024 12:19:32 GMT
  Content-Type:application/octet-streamContent-Length:277063

路径特征:固定的checksum8算法(92L 93L)

public class EchoTest{
    public static long checksum8(string text){
        if(text.length()<4){
            return 0L;
            }

text = text.replace("/","");
long sum=0L;
for(int x=0;x<text.length();x++){

    sum +=text.charAt(x);
    }
return sum % 256L;
}
public static void main(string[] args) throws Exception
{
    System.out.println(checksum8("Yle2")
}
//64位为93
//32位为92
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

3. 心跳包解析

   1. 选中要解析的流量包 保存到桌面
   2. 使用上面那款工具https://github.com/DidierStevens/DidierStevensSuite 对流量包进行解析
   3. 展示心跳包里面的一些数据 和信息
      * ![image-20250621203256619](/img/image-20250621203256619.png)
      * ![image-20250621203424016](/img/image-20250621203424016.png)
      * ![image-20250621203533378](/img/image-20250621203533378.png)

4. 请求特征:间隔时间 URL路径 下发指令 UA头(老版本)
   /cx
   PoST /submit.php?id=

### HTTPS/CS

1. 证书特征(.store)
2. 源码特征(ja3 ja3s)

* ```
  client hello 
  4d5efa96609dc906f796e63cff009c2a	db36bad574044a5104a59b0c676991efserver 
  
  server hello 
  15af977ce25de452b96affa2addb1036	2253c82f03b621c5144709b393fde2xc9

文章作者: 0xMouise

文章链接: https://0xmouise.github.io/2025/09/16/229-%E8%93%9D%E9%98%9F%E6%8A%80%E8%83%BD-%E6%B5%81%E9%87%8F%E5%88%86%E6%9E%90%E7%AF%87&C2%E8%BF%9C%E6%8E%A7&%E5%B7%A5%E5%85%B7%E7%89%B9%E5%BE%81&%E5%88%86%E6%9E%90%E9%A1%B9%E7%9B%AE%E7%AD%89/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 0xMouise！

渗透测试 Web安全网络安全

相关推荐

015-信息打点-端口扫描&WAF&蜜罐识别项目等

015-信息打点-端口扫描&WAF&蜜罐识别项目等本节内容 1、端口扫描-应用&协议2、WAF识别-分类&识别3、蜜罐识别-分类&识别解决：1、Web服务器&应用服务器差异性2、WAF防火墙&安全防护&识别技术3、蜜罐平台&安全防护&识别技术一.端口扫描-应用&协议 Nmap：配置中：Quick scan plus是快速扫描，intense scan all TCP ports 是全部端口扫描端口扫描的意义：通过扫描端口是否开放来确定主机上面安装过什么应用，网站应用数据库应用等…. 在进行端口扫描的时候应该考虑：1.防火墙 2.内网环境防火墙：对端口进行过滤但不代表端口没有开启只是没有对外服务内网环境可能出现的情况：明明数据库端口是开的,网站也能正常打开但是你对目标进行端口扫描发现数据库端口没有开放（排除防火墙问题）二.WAF防火墙&安全防护&识别技术1、WAF解释：Web应用防护系统（也称为：网站应用级入侵防御系统。英文：Web Applic...

014-信息打点-JS架构&框架识别&泄漏提取&API接口枚举&FUZZ爬虫&插件项目

第14天：信息打点-JS架构&框架识别&泄漏提取&API接口枚举&FUZZ爬虫&插件项目一.本节知识点1、JS前端架构-识别&分析2、JS前端架构-开发框架分析3、JS前端架构-打包器分析4、JS前端架构-提取&FUZZ解决：1、如何从表现中的JS提取价值信息2、如何从地址中FUZZ提取未知的JS文件3、如何从JS开放框架WebPack进行测试 1.什么是cms CMS（意思为“网站内容管理系统”，用来管理网站后台，编辑网站前台。）Discuz、WordPress、Ecshop、蝉知等前端技术；HTML5、jquery、bootstrap、Vue等开发语言；PHP、JAVA、Ruby、Python、C#，JS等Web服务器；Apache、Nginx、IIS、lighttpd，Apache等应用服务器：；Tomcat、Jboss、Weblogic、Websphere等数据库类型：；Mysql、SqlServer、Oracle、Redis、MongoDB等操作系统信息；Linux、windows等应用服务信息：；FTP、SSH...

016-信息打点-CDN绕过&资源URL&工具项目等

016-信息打点-CDN绕过&资源URL&工具项目等一.相关链接&工具站&项目工具超级Ping：http://www.17ce.com/ 超级Ping：https://ping.chinaz.com/ 接口查询：https://get-site-ip.com/ 接口查询：https://fofa.info/extensions/source 国外请求：https://tools.ipip.net/cdn.php 国外请求：https://boce.aliyun.com/detect/ IP社区库：https://www.cz88.net/geo-public 全网扫描：https://github.com/Tai7sy/fuckcdn 全网扫描：https://github.com/boy-hack/w8fuckcdn 全网扫描：https://github.com/Pluto-123/Bypass_cdn 大佬文章-CDN绕过 https://mp.weixin.qq.com/s/zxEH-HMqKukmq7qXfrdnQQ 二.CND前置知识...

017-信息打点-框架组件&CMS工具&其他等

017-信息打点-框架组件&CMS工具&其他等本节课主要知识点 1.CMS识别到后期漏洞利用和代码审计2.开发框架识别到后期漏洞利用和代码审计3.开发组件识别到后期漏洞利用和代码审计一、CMS指纹识别-不出网程序识别1.概念CMS指纹识别一般能识别到的都是以PHP语言开发的网页为主，其他语言开发的网页识别难度大识别的意义就是向着对应目标使用对应的工具进行攻击 1.后端：CMS：一般PHP开发居多源码程序（利用源码程序名去搜漏洞情况，源码去下载进行后期的代码审计） 2.前端：JS框架（爬取更多的JS从里面筛选URL或敏感泄漏KEY等）也是可以通过对JS代码逻辑进行代码审计 3.组件：组件：第三方的功能模块（日志记录，数据监控，数据转换等） java居多，常见有过安全漏洞组件（shiro solr log4j sprintboot等） 4.框架：框架：简单代码的一个整合库，如果使用框架就只需要学习使用框架调用即可如：文件上传功能是需要很多代码来实现的，框架把这个代码进行封封装，调用即可影响：如果采用框架开发，代码的安全性是取决于框架的过滤机制 p...

018-信息打点-APP资产&知识产权&应用监控&静态提取&动态抓包&动态调试

第18天：信息打点-APP资产&知识产权&应用监控&静态提取&动态抓包&动态调试本节内容 1、Web&备案信息&单位名称中发现APP2、APP资产静态提取&动态抓包&动态调试解决：1、如何获取到目标APP信息2、如何从APP信息中提取资产一、如何获取到目标APP信息1.名称获取app信息(爱企查、小蓝本、七麦、点点)1.爱企查知识产权https://aiqicha.baidu.com/ 2.七麦、点点查名称[七麦点点查 2、URL网站备案查APP关于我们 (psbc-ubank.com)（中邮邮惠万家） 1、查备案信息在搜 2、网站上有APP下载 3、市场直接搜单位名称二、如何从app中收集资产通过获取App配置、数据包，去获取url、api、osskey、js等敏感信息。资产信息-IP 域名网站 -转到对应Web测试接口测试服务测试泄露信息-配置key 资源文件 - key（osskey利用，邮件配置等）代码信息-java代码安全问题- 逆向相关 1、抓包-动态表现优...

019-信息打点-小程序组手&开发工具&依赖等

019-信息打点-小程序组手&开发工具&依赖等知识点 1、Web&备案信息&单位名称中发现小程序2、小程序资产静态提取&动态抓包&动态调试解决：1、如何获取到目标小程序信息2、如何从小程序中提取资产信息一.➢小程序获取-各大平台&关键字搜索微信百度支付宝抖音头条二.小程序主题结构1.主体结构小程序包含一个描述整体程序的 app 和多个描述各自页面的 page。一个小程序主体部分(即app)由三个文件组成，必须放在项目的根目录，如下：文件必需作用 app.js 是小程序逻辑 app.json 是小程序公共配置 app.wxss 否小程序公共样式表 2.一个小程序页面由四个文件组成，分别是: xxx.js 页面逻辑 xxx.json 页面配置 xxx.wxml 页面结构 xxx.wxss 页面样式 3.项目整体目录结构 pages 页面文件夹 index 首页 logs 日志 utils util 工具类(mina框架自动生成,你也可以建立一个：...

数据加载中