冰蝎特征

强特征：

1. POST请求content-type
2. Accept&Cache-Control
3. 响应头特征:md5前十六位+base64+md5后十六位
4. 请求都含有"pass="第一个包

弱特征：

1. 网络上查找内置16个ua头

2. content-length 请求长度

工作原理：

1. 两端密钥协商，两次返回包中的数据不同的地方取密钥

2. 加密传输，使用随机数MD5的高16位作为密钥储存会话的$_SESSION变量中，返回攻击者。

哥斯拉特征

工作原理：

1. 基于流量，HTTP全加密的webshell

2. AES加密

流量特征：

1. 低版本会有特征，是强特征。

2. 发送一段固定代码(payload)，http响应为空

3. 发送一段固定代码(test)，执行结果为固定的。

4. 在发送疑端固定代码(getGacisInfo)

蚁剑php连接特征

1. php_XOR_BASE64

2. 多个请求包有多个相同的传参字符

蚁键流量 UA请求头 有antworld 字样

绕过方式:

1）开启蚁剑代理设置

2）UA特征伪造

3）RSA流量加密

菜刀

caidao=Execute（payload）集中于body eval少数情况会使用assert替代