常见Webshell网站管理工具

Webshell管理工具，即用来管理Webshell的工具，其功能类似于木马的控制端程序，它集成了许多实用的小工具，方便攻击者对Webshell进行管理。

1、中国菜刀（Chopper）

加密：base64加密

特征：

        主要在 body 中，base64-encode 默认参数为 z0，对其进行 base64 解密 之后会发现脚本用于传递 payload 的函 数，比如 php 的 eval 和 assert，asp 中 的 execute，后面的版本 body 中部分 字符被 unicode 编码替换混淆，常见%u 00

2、中国蚁剑（AntSword）

加密：base64加密、AES加密

流量特征：

        User-Agent: antSword/v2.1

        @ini_set("display_errors", "0");   

        出现缓冲区的函数

        Base64最后的一个字段解密是当前目录

3、哥斯拉（Godzilla）

加密：AES加密        

流量特征 ：

        PHP 连接特征请求都含有"pass**="第一个包第二个包，jsp连接特征与php

请求一样都含有"pass="而且发起连接时服务器返回的 Content-Length 是 0

4、冰蝎（Behinder）

加密 ：AES加密       

冰蝎1特征：Content-Type：application/octet-stream

冰蝎2特征：Content-Length：16

冰蝎3特征：Content-Type：application/octet-stream

冰蝎4特征：

        （1）Accept字段

        Accept: application/json, text/javascript, */*; q=0.01

        （2）Content-Type

        Content-type: Application/x-www-form-urlencoded

        （3）User-agent 字段

        冰蝎设置了10种User-Agent,每次连接shell时会随机选择一个进行使用。

        （4）端口

        冰蝎与webshell建立连接的同时，javaw也与目的主机建立tcp连接，每次连接使用本地端口在49700左右，每连接一次，每建立一次新的连接，端口就依次增加。

        （5）PHP webshell 中存在固定代码

        $post=Decrypt(file_get_contents("php://input"));

        eval($post);

        content字段中，将eval($post)作为流量特征纳入。

        （6）长连接

        冰蝎通讯默认使用长连接，避免了频繁的握手造成的资源开销。默认情况下，请求头和响应头里会带有 Connection。

        Connection: Keep-Alive

        （7）固定的请求头和响应头

        请求字节头：

                dFAXQV1LORcHRQtLRlwMAhwFTAg/M

        响应字节头：

                TxcWR1NNExZAD0ZaAWMIPAZjH1BFBFtHThcJSlUXWEd

        （8）连接密码

        默认时，所有冰蝎4.0 webshell都有“e45e329feb5d925b” 一串密钥。该密钥为连接密码32位md5值的前16位，默认连接密码rebeyond