菜刀流量特征

最最先是明文传输，，，，，，厥后接纳base64加密：

PHP类WebShell链接流量

如下：

第一：“eval”，，，，，，eval函数用于执行转达的攻击payload，，，，，，这是必不可少的；；；；；；

第二：(base64_decode($_POST[z0]))，，，，，，(base64_decode($_POST[z0]))将攻击payload举行Base64解码，，，，，，由于菜刀默认是使用Base64编码，，，，，，以阻止被检测；；；；；；

第三：&z0=QGluaV9zZXQ...，，，，，，该部分是转达攻击payload，，，，，，此参数z0对应$_POST[z0]吸收到的数据，，，，，，该参数值是使用Base64编码的，，，，，，以是可以使用base64解码可以看到攻击明文。。。。。。。。

注：

1.有少数时间eval要体会被assert要领替换。。。。。。。。

2.$_POST也会被$_GET、$_REQUEST替换。。。。。。。。

3.z0是菜刀默认的参数，，，，，，这个地方也有可能被修改为其他参数名。。。。。。。。

蚁剑（PHP用base64加密）：

PHP类WebShell链接流量

将蚁剑的正文内容举行URL解码后，，，，，，流量最中显着的特征为@ini_set("display_errors","0");这段代码基本是所有WebShell客户端链接PHP类WebShell都有的一种代码，，，，，，可是有的客户端会将这段编码或者加密，，，，，，而蚁剑是明文，，，，，，以是较好发明，，，，，，同时蚁剑也有eval这种显着的特征。。。。。。。。

蚁剑绕过特征流量

由于蚁剑中包括了许多加密、绕过插件，，，，，，以是导致许多流量被加密后无法识别，，，，，，可是蚁；；；；；；煜用芎笊杏幸桓鼋狭肯宰诺奶卣鳎次问蠖嘁浴癬0x.....=”这种形式（下划线可替换为其他）以是，，，，，，以_0x开头的参数名，，，，，，后面为加密数据的数据包也可识别为蚁剑的流量特征。。。。。。。。

冰蝎（AES对称加密）：

通过HTTP请求特征检测

1、冰蝎数据包总是陪同着大宗的content-type：application什么什么，，，，，，无论GET照旧POST，，，，，，请求的http中，，，，，，content-type为application/octet-stream；；；；；；

2、冰蝎3.0内置的默认内置16个ua（user-agent）头

3、content-length 请求长度，，，，，，关于上传文件，，，，，，下令执行来讲，，，，，，加密的参数未必长。。。。。。。。可是关于密钥交互，，，，，，获取基本信息来讲，，，，，，payload都为定长

哥斯拉（base64加密）：

特征检测

1、发送一段牢靠代码（payload），，，，，，http响应为空

2、发送一段牢靠代码（test），，，，，，执行效果为牢靠内容

3、发送一段牢靠代码（getBacisInfo）

————————————————

版权声明：本文为CSDN博主的原创文章，，，，，，遵照CC 4.0 BY-SA版权协议，，，，，，转载请附上原文来由链接及本声明。。。。。。。。

原文链接：https://blog.csdn.net/eternitymd/article/details/124492261