菜刀流量特征

最開(kāi)始是明文傳輸，后來(lái)采用base64加密：

PHP類(lèi)WebShell鏈接流量

如下：

第一：“eval”，eval函數(shù)用于執(zhí)行傳遞的攻擊payload，這是必不可少的；

第二：(base64_decode($_POST[z0]))，(base64_decode($_POST[z0]))將攻擊payload進(jìn)行Base64解碼，因?yàn)椴说赌J(rèn)是使用Base64編碼，以避免被檢測(cè)；

第三：&z0=QGluaV9zZXQ...，該部分是傳遞攻擊payload，此參數(shù)z0對(duì)應(yīng)$_POST[z0]接收到的數(shù)據(jù)，該參數(shù)值是使用Base64編碼的，所以可以利用base64解碼可以看到攻擊明文。

注：

1.有少數(shù)時(shí)候eval方法會(huì)被assert方法替代。

2.$_POST也會(huì)被$_GET、$_REQUEST替代。

3.z0是菜刀默認(rèn)的參數(shù)，這個(gè)地方也有可能被修改為其他參數(shù)名。

蟻劍（PHP用base64加密）：

PHP類(lèi)WebShell鏈接流量

將蟻劍的正文內(nèi)容進(jìn)行URL解碼后，流量最中明顯的特征為@ini_set("display_errors","0");這段代碼基本是所有WebShell客戶(hù)端鏈接PHP類(lèi)WebShell都有的一種代碼，但是有的客戶(hù)端會(huì)將這段編碼或者加密，而蟻劍是明文，所以較好發(fā)現(xiàn)，同時(shí)蟻劍也有eval這種明顯的特征。

蟻劍繞過(guò)特征流量

由于蟻劍中包含了很多加密、繞過(guò)插件，所以導(dǎo)致很多流量被加密后無(wú)法識(shí)別，但是蟻劍混淆加密后還有一個(gè)比較明顯的特征，即為參數(shù)名大多以“_0x.....=”這種形式（下劃線可替換為其他）所以，以_0x開(kāi)頭的參數(shù)名，后面為加密數(shù)據(jù)的數(shù)據(jù)包也可識(shí)別為蟻劍的流量特征。

冰蝎（AES對(duì)稱(chēng)加密）：

通過(guò)HTTP請(qǐng)求特征檢測(cè)

1、冰蝎數(shù)據(jù)包總是伴隨著大量的content-type：application什么什么，無(wú)論GET還是POST，請(qǐng)求的http中，content-type為application/octet-stream；

2、冰蝎3.0內(nèi)置的默認(rèn)內(nèi)置16個(gè)ua（user-agent）頭

3、content-length 請(qǐng)求長(zhǎng)度，對(duì)于上傳文件，命令執(zhí)行來(lái)講，加密的參數(shù)不定長(zhǎng)。但是對(duì)于密鑰交互，獲取基本信息來(lái)講，payload都為定長(zhǎng)

哥斯拉（base64加密）：

特征檢測(cè)

1、發(fā)送一段固定代碼（payload），http響應(yīng)為空

2、發(fā)送一段固定代碼（test），執(zhí)行結(jié)果為固定內(nèi)容

3、發(fā)送一段固定代碼（getBacisInfo）

————————————————

版權(quán)聲明：本文為CSDN博主的原創(chuàng)文章，遵循CC 4.0 BY-SA版權(quán)協(xié)議，轉(zhuǎn)載請(qǐng)附上原文出處鏈接及本聲明。

原文鏈接：https://blog.csdn.net/eternitymd/article/details/124492261