WebShell流量特征检测_中国菜刀篇

80后用菜刀，90后用蚁剑，95后用冰蝎和哥斯拉，以phpshell毗连为例，本文紧张是对这四款经典的webshell管理工具举行流量分析和检测。什么是一句话木马？

1、界说顾名思义就是执行恶意指令的木马，通过技术手段上传到指定服务器并可以正常访问，将我们需要服务器执行的下令上传并执行2、特点短小干练，功能强大，潜伏性非常好3、举例php一句话木马用php语言编写的，运行在php情况中的php文件，例：4、原理以最为常见的php一句话木马为例，""为php固定规范写法，"@"在php中含义为后面如果执行错误不会报错，"eval()"函数表示括号里的语句全做代码执行，"$_POST['pass']"表示从页面中以post方式获取变量pass的值中国菜刀

中国菜刀是一款c/s型的webshell管理工具，它不像传统的asp恶意脚本或php恶意脚本上传到网站上可以直接打开，它有自己的服务端步调，但是这个服务端步调却极小，只有一句代码，因此保证了webshell的潜伏性，可以用来对目标网站举行渗透获取目标系统的文件系统，对目标系统的文件系统举行管理同时也可以对获取系统的shell举行操作下令执行操作，同时可以对目标系统举行数据库操作

1、2011版本菜刀

（1）代码分析

进入网站的根目录，获取网站目录下的文件夹和文件的大小修改时间以及权限等信息

 
（2）数据包分析

（3）规则总结

\|((.*\n)+|.*)\←">

1. ['request_body'] : eval.*QGluaV9zZXQo
2. ['response_code'] : 200
3. ['response_body'] : ->\|((.*\n)+|.*)\←

复制代码

2、2014版本菜刀

（1）数据包分析

（2）规则总结

[code]['request_body']: $xx.*chr\(.*QGluaV9zZXQo['response_code']: 200['response_body']: ->\|((.*\n)+|.*)\|\|((.*\n)+|.*)\|