冰蝎_哥斯拉_蚁剑_菜刀流量特征
菜刀流量特征(最开始是明文传输,后来采用base64加密)
- 最开始是明文传输,后来采用base64加密
- PHP类WebShell链接流量
- z0 是菜刀默认的参数,这个地方也有可能被修改为其他参数名。
蚁剑(PHP用base64加密)
- PHP用base64加密
- PHP类WebShell链接流量
- 将蚁剑的正文内容进行URL解码后,流量最中明显的特征为@ini_set("display_errors","0");这段代码基本是所有WebShell客户端链接PHP类WebShell都有的一种代码,但是有的客户端会将这段编码或者加密,而蚁剑是明文,所以较好发现,同时蚁剑也有eval这种明显的特征。
- 蚁剑绕过特征流量:由于蚁剑中包含了很多加密、绕过插件,所以导致很多流量被加密后无法识别,但是蚁剑混淆加密后还有一个比较明显的特征,即为参数名大多以_0x.....=这种形式(下划线可替换为其他)所以,以_0x开头的参数名,后面为加密数据的数据包也可识别为蚁剑的流量特征。
冰蝎(AES对称加密)
- 冰蝎数据包总是伴随着大量的content-type:application什么什么,无论GET还是POST,请求的http中,content-type为application/octet-stream;
- 冰蝎3.0内置的默认内置16个ua(user-agent)头
- content-length 请求长度,对于上传文件,命令执行来讲,加密的参数不定长。但是对于密钥交互,获取基本信息来讲,payload都为定长
哥斯拉(base64加密)
- 发送一段固定代码(payload),http响应为空
- 发送一段固定代码(test),执行结果为固定内容
- 发送一段固定代码(getBacisInfo)