Webshell工具的流量特征分析（菜刀，蚁剑，冰蝎，哥斯拉）

使用各种的shell工具获取到目标权限，即可进行数据操作，今天来简要分析一下目前常使用的各类shell管理工具的流量特诊，帮助蓝队同学在风险识别上快速初值

payload特征： PHP:

ASP:

ASP.NET:

数据包流量特征： 1，请求包中：ua头为百度，火狐 2，请求体中存在eavl，base64等特征字符 3，请求体中传递的payload为base64编码，并且存在固定的QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtpZihQSFBfVkVSU0lPTjwnNS4zLjAnKXtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO307ZWNobygiWEBZIik7J

payload特征： Php中使用assert，eval执行, asp 使用eval 在jsp使用的是Java类加载（ClassLoader）,同时会带有base64编码解码等字符特征

数据包流量特征： 使用普通的一句话都存在以下特征： 每个请求体都存在@ini_set(“display_errors”, “0”);@set_time_limit(0)开头。并且后面存在base64等字符 响应包的结果返回格式为： 随机数 响应内容 随机数

使用base64加密的payload，数据包存在以下base加密的eval命令执行，数据包的payload内容存在几个分段内容，分别都使用base加密，解密后可以看到相关的路径，命令等 响应包的结果返回格式为： 随机数 编码后的结果 随机数

paylaod分析： php在代码中同样会存在eval或assert等字符特征

在aps中会在for循环进行一段异或处理

在jsp中则利用java的反射，所以会存在ClassLoader，getClass().getClassLoader()等字符特征 冰蝎2.0流量特征： 第一阶段请求中返回包状态码为200，返回内容必定是16位的密钥 请求包存在：Accept: text/html, image/gif, image/jpeg, ; q=.2, /; q=.2 建立连接后的cookie存在特征字符 所有请求 Cookie的格式都为: Cookie: PHPSESSID=; path=/； 冰蝎3.0流量特征： 请求包中content-length 为5740或5720（可能会根据Java版本而改变） 每一个请求头中存在 Pragma: no-cache，Cache-Control: no-cache Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,/*;q=0.8,application/signed-exchange;v=b3;q=0.9

payload特征： jsp会出现xc,pass字符和Java反射（ClassLoader，getClass().getClassLoader()），base64加解码等特征 php，asp则为普通的一句话木马

哥斯拉流量分析： 作为参考： 所有请求中Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,/;q=0.8 所有响应中Cache-Control: no-store, no-cache, must-revalidate, 同时在所有请求中Cookie中后面都存在；特征 参考：https://www.freebuf.com/articles/web/324622.html