一、菜刀、C刀
第一:“eval”,eval函数用于执行传递的攻击payload,这是必不可少的;
第二:(base64_decode($_POST[z0]))
,(base64_decode($_POST[z0]))
将攻击payload进行Base64解码,因为菜刀默认是使用Base64编码,以避免被检测;
第三:z0 z1是菜刀的默认参数
二、蚁剑(PHP用base64加密)
第一:将蚁剑的正文内容进行URL解码后,流量最中明显的特征为@ini_set("display_errors","0");@set_time_limit(0)
这段代码基本是所有WebShell客户端链接PHP类WebShell都有的一种代码,
存在base64等字符,同时蚁剑也有eval这种明显的特征。
第二:以_0x开头的参数名,后面为加密数据的数据包也可识别为蚁剑的流量特征。
三、冰蝎3.0(流量动态加密)
1、content-type:冰蝎数据包总是伴随着大量的content-type:application什么什么,无论GET还是POST,请求的http中,content-type为application/octet-stream;
2、内置16个ua头:冰蝎3.0内置的默认内置16个ua(user-agent)头
3、content-length 请求长度:对于上传文件,命令执行来讲,加密的参数不定长。但是对于密钥交互,获取基本信息来讲,payload都为定长
4、在各种语言的webshell中都会存在16位数的连接密码,默认变量为k。
四、哥斯拉
哥斯拉的webshell需要动态生成,可以根据需求选择各种不同的加密方式
1、在所有请求中Cookie中后面都存在;特征
2、所有请求中Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,/;q=0.8
3、所有响应中Cache-Control: no-store, no-cache, must-revalidate
总结
本文章为个人笔记,如有错误,欢迎各位师傅指正