开门见山,不说废话
判断条件
- 是否符合通信的特征
- 请求加密的数据和响应包加密的类型一致
- 是否一直向同一个url路径发送大量符合特征的请求,并且具有同样加密的响应包
特征为带有以下的特殊字段
- 第一个:@ini_set("display_errors","0");
- 第二个:eval
可以看到在下图中,请求包和返回包都是明文。也就是说一眼就能看出来是蚁剑的流量
实际上在antword中只要编码器为default,那么请求包均为明文。
antword的编码器共有以下几种模式:default、base64、chr、chr16、rot12
在连接php的webshell时,不论编码器处于那种模式,都会出现eval字段
加密为base64:
加密为chr:
加密为chr16:
加密为rot13:
二、冰蝎
总结特征:
- Accept: application/json, text/javascript, */*; q=0.01 #q=0.01
- 最新版本请求包没有content-type,老版本Content-Type: application/octet-stream
- 返回字符串和请求字符串都是加密,在拥有密钥的情况下可以使用工具解密流量(当然加密也是一种特征)
- 加密为default_image的时候,具有png的请求头,但是请求包中可能会出现java字样的字符
- 如果是json加密就是
- {
- "id":"1",
- "body":"{
- "user":"加密的payload"
- }"
- }
header
- Accept: application/json, text/javascript, */*; q=0.01
加密为default_image
加密为default_json
json结构
- {
- "id":"1",
- "body":"{
- "user":"payload"
- }"
- }
加密为aes_imagic
三、哥斯拉
- 探活数据包:
- aes_base64: 请求包POST传参pass,响应包为空
- java_raw: 请求包POST传参raw数据,Content-Type: application/octet-stream,探活数据包为空
- cookie的最后面有个 ;
- 第一个通信包使用post请求发送pass参数探活,响应包为空
加密为JAVA_RAW
- 探活数据包,响应包为空,请求content-type为Content-Type: application/octet-stream
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
