1.使用wireshark获取冰蝎流量
①首先在冰蝎中执行命令
②捕捉流量
流量特征
可以看Accept字段的值,冰蝎脚本的这个请求值比较固定,还可以看user-agent这个字段的值,还可以看content的值
2.分析流量
①将数据包内容复制进行AES解密
②将AES解密结果再进行base64解密
③在使用base解密解析&cmd参数的内容
如下图所示,就可以看出对方执行过那些命令
1.使用wireshark获取冰蝎流量
①首先在冰蝎中执行命令
②捕捉流量
流量特征
可以看Accept字段的值,冰蝎脚本的这个请求值比较固定,还可以看user-agent这个字段的值,还可以看content的值
2.分析流量
①将数据包内容复制进行AES解密
②将AES解密结果再进行base64解密
③在使用base解密解析&cmd参数的内容
如下图所示,就可以看出对方执行过那些命令