目录
1.菜刀的流量特征
1.user_agent一般为百度,火狐等爬虫标识
2.默认连接密码为caidao,webshell为一句话
3.请求体中存在eval,base64等特征关键字,eval用于传递执行的payload,菜刀默认使用的是base64的编码,
4.响应为名文,格式为X@Y+内容+X@Y
5.连接建立后会发送特定的验证码,如knife,dadan等进行验证
2.蚁剑的流量特征
1.默认的user-agent请求头:通常为“antsword/xxx”(这个值可以被修改)
2.请求体特征:php类的webshell流量请求体通常都以@ini-set("display_errors","0");@set-time-limit(0)开头
3.加密与混淆:蚁剑采用了AES加密,同时采用二进制协议通信,在混淆加密后,参数大多以"_0x........="的形式出现,其中间部分都是加密部分
4.url加密;蚁剑的正文内容通常都采用url加密,解密后的流量上述说的ini-set()等特征会更为明显。
3.哥斯拉流量特征
1.webshell特征:
使用eval()函数和base64编码,
2.请求包特征:
- 请求包通常以“pass=”为起始,这是一个用于传递认证信息的常见参数,
- 哥斯拉的请求包通常较长,而响应长度可能为0.
- 在一个tcp包中可能含有三个http请求,
- user-agent字段在默认情况下,使用“java/1.8.0_121”,具体版本取决于jdk环境版本,
- cookie:字段中存在一个关键字特征,cookie最后一个值后面有一个不必要的分号,标准的请求中cookie最后一个值后面没有分号(重要)
3.响应包特征:
哥斯拉的响应包具有特定的结构特征,为MD5前16位+base64+md5后16位
4.冰蝎流量特征
冰蝎2.0流量特征:
1、请求头部:User-Agent字段可能表现出多样性
2、请求体:通常使用AES加密,并通过base64编码进行传输
3、Cookie字段:建立连接后,所有请求的Cookie格式通常为Cookie: PHPSESSID=; path=/;
4、返回包特征:在建立连接的初始阶段,返回包中通常包含16位的密钥,用于后续的通信加密。
5、数据包结构:具有特定的结构特征,如通常以0x01开头,以0x00结尾,中间包含蝎子协议特征数据
冰蝎3.0流量特征
1、加密与编码:
-
冰蝎3.0使用AES加密和base64编码进行通信
-
冰蝎3.0使用固定的连接密钥。AES加密的密钥直接固定为webshell连接密码的MD5哈希值的前16位。默认情况下,连接密码是“rebeyond”,因此AES加密的密钥就是“e45e329feb5d925b”。
2、User-Agent多样性:冰蝎3.0在请求时内置了多个User-Agent头,并在每次请求时随机选择其中一个
3、Content-Type字段:当冰蝎3.0连接jsp的webshell时,请求数据包中的Content-Type字段常见为“application/octet-stream”。
4、请求头字段:冰蝎3.0的请求包中还可能包含其他特定的请求头字段,如“Pragma: no-cache”和“Cache-Control: no-cache”,用于控制缓存行为。
5、content-length字段:通常为5740或5720,但这一数值可能会根据Java版本的不同而有所变化。同时,请求头中仍然包含随机选择的User-Agent,以增加流量的隐蔽性。
冰蝎3.11流量特征
1、头部信息特征:冰蝎3.11的header头顺序是颠倒的,这种非标准的请求头顺序有助于识别其流量。
在通信过程中,冰蝎3.11可能会频繁使用特定的User-Agent,如“WOW64”等
2、数据编码与加密:发送的数据包通常是base64编码的,而返回的数据包则是以字节数组的形式呈现,这可能导致接收到的数据出现乱码现象。
冰蝎3.11对交互流量进行AES对称加密,这种加密方式使得流量内容难以被直接解析,增加了其隐蔽性。
3、密码验证与连接建立:如果冰蝎3.11的密码不正确,会出现两个连接尝试,一个是POST请求,另一个是GET请求,其content-type为application/octet-stream。
在请求包中,content-length的值可能为5740或5720(可能会根据Java版本而改变),这也是一个识别冰蝎3.11流量的线索。
4、缓存控制:在每一个请求头中,都可能存在Pragma: no-cache和Cache-Control: no-cache这样的缓存控制字段,这是冰蝎3.11为了避免被缓存而采取的措施。
5、请求路径:冰蝎3.11可能会频繁访问默认的路径,如“/con”,这种特定的访问模式也是识别其流量的一个重要依据。
标签:加密,请求,特征,3.11,流量,通俗易懂,Hvv,冰蝎,好记 From: https://blog.csdn.net/2201_75341517/article/details/139416070