冰蝎的流量分析

• payload先base64加密，再经过AES对称加密全部代码，最后传输，经过实际测试，真的开始执行命令了，流量是相当隐蔽
• 因此解密流量先拿到密钥，接着是AES解密，再接着是base64解密
• 存在的问题：
  user-agent老、accept强特征、content-length有规律，也没啥大问题，如果抓不到密钥，都是一堆误报

1 配置如下

基于php马，代码如下

burp配置

冰蝎代理配置

2 流量分析

（1）accept明显

（2）握手，旧版本交换AES密钥，新版本直接写死，第一个包就是加密数据，新版本已经无法抓获

（3）内置的17个ua请求头，不自定义的话太老

（4）流量加密过程
payload先base64加密，再经过AES对称加密全部代码，最后传输，经过过实际测试，真的开始执行命令了，流量是相当隐蔽

• aes密钥
  

• aes解密数据，base64解密，有点问题，暂时解不出来，寻找原因
  可能需要特殊的解密脚本
  https://github.com/melody27/behinder_decrypt