常见的webshell连接工具的流量特征总结

1.中国菜刀流量特征(先明文，后base64加密)

1.请求包中会有eval，assert, base64的特征字符（这里如果用eval方法就是eval ,如果是assert方法就是assert）
2.payload为base64加密，且为默认为&z0=QGluaV9zZXQ… 参数z0对应$_POST[z0]接收到的数据
且固定为QGluaV9zZXQ开头

2.蚁剑流量特征（php用base64加密）

1.流量最明显的特征就是会有明文是@ini_set(“display_errors”,“0”)这个函数，也会有eval这个函数
2.加密后后的数据包里面的参数大多都是_0x开头
3.payload 进行分段，然后用base64加密

3.冰蝎3.0流量特征（AES对称加密）（冰蝎通信分为密钥协商和加密传输）

1.请求数据包中的content-type字段常见为application/octet-stream；
2.内置16个user-agent头
3.content-length 请求长度，对于密钥交互，获取基本信息来讲，payload都为定长。

4.冰蝎4.0流量特征（AES对称加密）

1.Accep和Content-Type为弱特征且Content-type:一般为Application/x-www-form-urlencoded，这里可作为辅助特征
2.内置10个user-agent ,每次连接shell时会随机选择一个进行使用.
3.因为冰蝎4.0建立连接的同时，javaw也与目的主机建立tcp连接，每次连接使用本地端口在49700左右
4.冰蝎通讯默认使用长连接，请求头和响应头里会带有 Connection且Connection为 Keep-Alive
5.有固定的请求头和响应头，请求字节头：dFAXQV1LORcHRQtLRlwMAhwFTAg/M
响应字节头：TxcWR1NNExZAD0ZaAWMIPAZjH1BFBFtHThcJSlUXWEd
6.默认时，冰蝎 webshell都有“e45e329feb5d925b” 一串密钥。该密钥为连接密码32位md5值的前16位，默认连接密码rebeyond

5.哥斯拉流量特征（base64加密）

1.user-agent,如果不修改的话会返回使用的jdk信息
2.在请求包的Cookie中有一个非常致命的特征是会在最后出现分号
3.请求Accept和响应中Cache-Control字段（辅助认证）
4.响应包中的数据前16位为MD5+base64+后16位为MD5。