简谈webshell流量特征笔记

一、webshell流量特征与分析
1.冰蝎webshell流量
     冰蝎是一款webshell管理工具，它的流量以加密著称，请求部分经过加密（冰蝎3.2用AES加密，AES加密的密钥为webshell连接密码的MD5的前16位——冰蝎4.0php流量支持异或、异或base64、AES三种加密方式（确认冰蝎传输的加密方式以后，复制加密密钥，打开冰蝎4.0，点击传输协议设置，选择对应的协议名称，替换密钥，将流量中传输的加密内容复制进去解密就可以得到AES解密后的冰蝎payload，再将payload进行base64解码就可以看到命令了，应答流量的分析方式与请求方式一致）），无法进行分析，可以通过webshell上传流量或登录失陷主机查看webshell文件，获取密钥，然后进行解密，再将base64进行解码就能得到功能代码了
2.中国蚁剑webshell流量
     如果能看到webshell流量的display_errors未经编码就可以证明webshell连接工具为蚁剑，流量大部分内容是蚁剑webshell基本功能的执行函数，要分析攻击者执行的部分就要找到die（）函数，看它后面的内容，这之中的内容定义了几个变量，变量数值里面有包含混淆字符，默认为两个，也可能是多个，去除混淆字符后再进行base64解码，就能看到攻击命令，服务器的返回内容没有经过编码可以直接分析
3.中国菜刀webshell流量
     在http日志中，通过url过滤观察post请求的数据流，连接密码在调用函数之前，webshell通过调用eval函数或其他函数，将执行内容先用base64解码再放到@eval中作为命令执行，将其定义的变量内容进行base64解码，再结合eval函数中的内容综合分析，就能得到菜刀通过php执行的全部攻击代码了"eval"，eval函数用于执行传递的攻击payload