流量特征分析

菜刀：

PHP：

请求头中：ua头为百度，火狐

请求体中传递的payload为base64编码，有assert、eval、base64等特征字符

，并且存在固定的字符串QGluaV9同时z0是菜刀默认的连接参数。

JSP：

主要在i=A&z0=GB2312，第一个参数值为A-Q第二个参数指定编码，其参数值为编码。

ASP：

解密body后：存在Execute和Response.Write和Response.End

蚁剑：

请求：以_0x 开头的参数名

PHP：

请求体有@ini_set("display_errors","0")（含义是关闭php错误显示）、@set_time_limit(0)（含义是脚本可以一直无限时执行）

ASP：

只有eval执行,请求体存在OnError ResumeNext、Response.End、Response.Write(和菜刀一致)

execute变成了拼接形式Ex"&cHr(101)&"cute

JSP:

在jsp使用的是Java类加载（ClassLoader），同时会带有base64编码解码等字符特征。（用蚁剑连jsp情况不多）

蚁剑返回包格式：随机数+响应内容(一般是明文)+随机数

冰蝎3.0

冰蝎的通信过程可以分为两个阶段：密钥协商和加密传输(从2.0开始就是)

第一阶段是通过get请求，返回包状态码为200，返回内容必定是16位的密钥

请求头：content-type一定为application/octet-stream、内置的userAgent大多都比较老(25)，Accept默认为：Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 (设置了客户端接收响应的优先级)、Cache-Control默认为：no-cache （表示客户端不缓存该响应）、Connection默认为Keep-Alive（保持长连接）content-length可能为固定的几个长度：8803、257、15620、340

冰蝎4.0

请求头：Accept: application/json, text/javascript, /; q=0.01，Connection: Keep-Alive(保持长连接)

端口：连接使用本地端口在49700左右，每连接一次，每建立一次新的连接，端口就依次增加。

PHPshell：

存在eval、assert等关键词；

aspshell:

在for循环进行一段异或处理

JSPshell:

利用java的反射，所以会存在 ClassLoader、getClass().getClassLoader() 等字符特征

所有冰蝎webshell默认预共享密钥是rebeyond的md5值得前16位e45e329feb5d925b

哥斯拉：

请求头：Cookie带着；pass=eval(base64_decode...，pass=加密数据