常见的webshell流量特征
冰蝎特征
强特征:
- POST请求content-type
- Accept&Cache-Control
- 响应头特征:md5前十六位+base64+md5后十六位
- 请求都含有"pass="第一个包
弱特征:
-
网络上查找内置16个ua头
-
content-length 请求长度
工作原理:
-
两端密钥协商,两次返回包中的数据不同的地方取密钥
-
加密传输,使用随机数MD5的高16位作为密钥储存会话的$_SESSION变量中,返回攻击者。
哥斯拉特征
工作原理:
-
基于流量,HTTP全加密的webshell
-
AES加密
流量特征:
-
低版本会有特征,是强特征。
-
发送一段固定代码(payload),http响应为空
-
发送一段固定代码(test),执行结果为固定的。
-
在发送疑端固定代码(getGacisInfo)
蚁剑php连接特征
-
php_XOR_BASE64
-
多个请求包有多个相同的传参字符
蚁键流量 UA请求头 有antworld 字样
绕过方式:
1)开启蚁剑代理设置
2)UA特征伪造
3)RSA流量加密
菜刀
caidao=Execute(payload)集中于body eval少数情况会使用assert替代
有任何意见请评价。