webshell工具流量特征

一、蚁剑（PHP用base64加密）

将蚁剑的正文内容进行URL解码后，流量最中明显的特征为@ini_set("display_errors","0");这段代码基本是所有WebShell客户端链接PHP类WebShell都有的一种代码，但是有的客户端会将这段编码或者加密，而蚁剑是明文，所以较好发现，同时蚁剑也有eval这种明显的特征。

由于蚁剑中包含了很多加密、绕过插件，所以导致很多流量被加密后无法识别，但是蚁剑混淆加密后还有一个比较明显的特征，即为参数名大多以“_0x.....=”这种形式（下划线可替换为其他）所以，以_0x开头的参数名，后面为加密数据的数据包也可识别为蚁剑的流量特征。

二、冰蝎（AES对称加密）

2.0

第一阶段返回包密钥16位

请求包：*q=.2, \*/*; q=.2*

3.0

请求头存在：Cache-Control: no-cache Pragma: no-cache

三、哥斯拉

请求cookie最后都存在;

第一次发送大量数据不包含cookie；响应无数据，会自动设置PHPSESSID

第二次发送一段固定代码，执行结果为固定内容

第三次发送一段固定代码

四、菜刀

最开始是明文传输，后来采用base64加密：

PHP类WebShell链接流量

如下：

第一：“eval”，eval函数用于执行传递的攻击payload，这是必不可少的；

第二：(base64_decode(

P

O

S

T

[

z

0

]

)

)

，

(

b

a

s

e

6

4

d

e

c

o

d

e

(

_POST[z0]))，(base64_decode(

P​OST[z0]))，(base64d​ecode(_POST[z0]))将攻击payload进行Base64解码，因为菜刀默认是使用Base64编码，以避免被检测；

第三：&z0=QGluaV9zZXQ…，该部分是传递攻击payload，此参数z0对应$_POST[z0]接收到的数据，该参数值是使用Base64编码的，所以可以利用base64解码可以看到攻击明文。

注：

1.有少数时候eval方法会被assert方法替代。

2.

P

O

S

T

也会被

_POST也会被

P​OST也会被_GET、$_REQUEST替代。

3.z0是菜刀默认的参数，这个地方也有可能被修改为其他参数名。