buffedon的博客

冰蝎加密通信特征密钥交换阶段通信阶段通用特征实例有填充字段分为密钥交换阶段和加密通信阶段密钥交换阶段：返回16位的密钥，是从md5中截取的（md5不区分大小写，解密后内容相同）加密通信阶段：base64加密，然后再AES 或 XOR 加密特征密钥交换阶段弱特征：urlurl: \.(php|jsp|asp|jspx|asa)\?(\w){1,10}=\d{2,3}HTTP/1.1 弱特征：responseBodyresponseBody: 16位的密钥

哥斯拉流量特征已经检测思路WebShell上传特征WebShell通信特征1.User-Agent (弱特征)2.Accept（弱特征）3.Cookie (强特征)4.请求体特征 (较强特征)5.响应体特征 (强特征)近日，网上发布了一款名为“哥斯拉”的webshell管理工具。与冰蝎类似，哥斯拉也采用了加密流量通信来躲避WAF等安全设备的检测，另外该工具自带了一些插件模块，实现了写内存webshell、与Meterpreter联动、bypass open_basedir等功能。由于哥斯拉实现了众多强大的

蚁剑编解码器原理蚁剑编解码器原理一、编码器编码器修改二、解码器蚁剑编解码器原理编码器：对发送流量进行编码，服务端进行解码解码器：对服务端对返回的流量进行解码一、编码器输入三个参数pwd：连接密码，类型string。data：传输的数据数组，类型string数组，。ext：一些扩展选项，在一些场景可能会用到。输出一个参数data: 编码器处理后的数组，这个你可以通过代理查看post提交了哪些数据，和这里的data是完全一样的下面是编码器默认生成的代码原理：将编码和解密后的代码 全都