用wireshark进行菜刀的流量分析,服务器搭建上传环境,菜刀连接后门的同时用wireshark抓取流量包
进入http追踪流,查看请求包和响应包
发现请求包执行了 base64_decode 函数对 z1 进行 base64 后,经过 eval 函数执行命令,base64 解密 z1指向的路径,响应包中给出上传到www目录下
对文件进行查看
进去index.php文件
经过多次分析实验得出菜刀数据包流量特征:
1,请求体中存在assert eavl,base64等特征字符
2,请求体中传递的payload为base64编码,并且存在固定的QGluaV9zZXQo、@ini_set
Index.php源码如下: