本文主要是介绍四大webshell流量特征(蚁剑冰蝎菜刀哥斯拉),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
菜刀
菜刀 webshell 只使用了 url 编码 + base64 编码
shell 特征就是传输参数名为 z0 ,还存在 int_set("display_erros","0") 字符串特征
蚁剑
默认的蚁剑 shell ,连接时会请求两次,其请求体只是经过 url 编码,其流量中也存在和蚁剑一样的代码
第一次请求,关闭报错和 magic_quotes ,接下来去获取主机的信息
第二次请求,会把主机目录列出来
冰蝎(面试的时候问了我冰蝎234版本的区别)
冰蝎2.0
使用 aes 加密发起三次请求
第一次请求服务端产生密钥写入 session , session 和当前会话绑定,不同的客户端的密钥也是不同的
第二次请求是为了获取 key ,第三次使用 key 的 aes 加密进行通信
冰蝎3.0
使用 aes 加密发起两次请求
3.0 分析流量发现相比 2.0 少了动态密钥的获取的请求,不再使用随机生成 key ,改为取连接密码的 md5 加密值的前 16 位作为密钥
一次请求为判断是否可以建立连接,少了俩次 get 获取冰蝎动态密钥的行为,第二次发送 phpinfo 等代码执行,获取网站的信息
哥斯拉
支持 n 种加密
采用了和冰蝎 3.0 一样的密钥交换方式,哥斯拉建立连接时会发起三次请求,第一次请求数据超级长,建立 session ,第二三次请求确认连接
这篇关于四大webshell流量特征(蚁剑冰蝎菜刀哥斯拉)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
