- payload先base64加密,再经过AES对称加密全部代码,最后传输,经过实际测试,真的开始执行命令了,流量是相当隐蔽
- 因此解密流量先拿到密钥,接着是AES解密,再接着是base64解密
- 存在的问题:
user-agent老、accept强特征、content-length有规律,也没啥大问题,如果抓不到密钥,都是一堆误报
1 配置如下
基于php马,代码如下
burp配置
冰蝎代理配置
2 流量分析
(1)accept明显
(2)握手,旧版本交换AES密钥,新版本直接写死,第一个包就是加密数据,新版本已经无法抓获
(3)内置的17个ua请求头,不自定义的话太老
(4)流量加密过程
payload先base64加密,再经过AES对称加密全部代码,最后传输,经过过实际测试,真的开始执行命令了,流量是相当隐蔽
- aes密钥
- aes解密数据,base64解密,有点问题,暂时解不出来,寻找原因
可能需要特殊的解密脚本
https://github.com/melody27/behinder_decrypt