流量分析--------webshell工具冰蝎原理

冰蝎，菜刀，哥斯拉是webshell管理工具，比较出名，也被经常使用。之前只知道冰蝎经过加密，具体原理不是很清楚。
我想如果我是蓝方的成员，如果能懂这里面·的传输原理，是不是就能在流量分析，在底层的时候就给与阻挡，杜绝危机。
所以今天就来仔细研究以下：

1.首先宿主机10.77是攻击者，虚拟机是受害者10.222，事先上传号木马文件

2.打开冰蝎和抓包软件（科来进行抓包）


3.双击连接，进行抓包

原理分析：

1.按理来说上传shell之后，第一次应该有个客户端和服务器之间交换aes密钥的环节，但是没有抓到，可能是冰蝎自身就有了，
这是木马文件里的密钥：

这里我就当他们有了第一次交换的密钥，之后的步骤：
1.aes加密执行的命令：

这里拿去解密试下：

后面是base64加密，再继续解密：

果然，一看就是eval执行base里面的加密内容。实际总体过程大概就是：

payload—》base64加密—》使用eval函数（执行加密后的代码）–》再AES对称加密全部payload—》传输（传输是先获得密钥，再加密传输）
从而保证了很难被设备检测到，因为你也没有密钥，他是AES加密的。中国菜刀的攻击流量特征就很明显，直接base64加密，容易被各类安全设备检测，实际场景中越来越少使用。

防范：

1.可以看出其请求头有个特征：

可以收集这类webshell工具常用特征，依此再安全设备做过滤。

2.其刚开始有个交换密钥的过程，可以根据返回内容是不是16位密钥做过滤

3.还有这个post传输的数据过大还是aes加密的，遇到这种也可以做，再有就是安全设备，和安全软件做检测杀毒。