CS流量特征
对比正常的http流量,CS的http通信流量具有以下几个特征:
一. 心跳包特征
1) 间隔一定时间,均有通信,且流级上的上下行数据长度固定;
二. 域名/IP特征
1) 未走CDN、域前置的,域名及IP暴露
2) 走CDN、域前置的,真实IP会被隐藏;
三. 指令特征
1) 下发指令时,通过心跳包接收指令,这时,server端返回的包更长,甚至包含要加载的dll模块数据。
2) 指令执行完后,client端通过POST请求发送执行的结果数据,body部分通过加密和base64编码。
3) 不同指令,执行的时间间隔不一样,可以通过POST请求和GET请求的间隔进行判断。
四. 数据特征
1) 在请求的返回包中,通信数据均隐藏在jqeury*.js中。
菜刀:
伪造 X-Forwarded-For头,每次利用X-Forwarded-For头都会不同
执行了 base64_decode 函数对 z0 进行 base64 后,经过 eval 函数执行命令
QGluaV9
@ini_set("display_errors"
蚁剑:
如果用默认的蚁剑测试,连接时会请求两次
其请求体只是经过 url 编码
@ini_set("display_errors"
在执行命令,文件操作等地方会有0x开头的参数
冰蝎:
消息体内容采用 AES 加密
流量会以时间的方式生成长度 16 的随机 key
中间结果字符串 assert|eval("phpinfo();") 此数据由冰蝎加载器发出的,已经定义好的