免责声明

本文仅用于技术讨论与学习，利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者及本公众号不为此承担任何责任。

冰蝎4.1流量特征

冰蝎4.1流量特征

• 提供了传输协议自定义的功能，让用户对流量的加密和解密进行自定义，实现流量加解密协议的去中心化。v4.0版本不再有连接密码的概念，自定义传输协议的算法就是连接密码。

• Accept字段（弱特征），通常是Accept: application/json, text/javascript, /; q=0.01 意思是浏览器可接受任何文件，但最倾向application/json 和 text/javascript。

• Content-Type字段（弱特征），通常是Content-type: Application/x-www-form-urlencoded

• 与冰蝎的前述版本相似，进行请求时内置了十几个User-Agent头，每次请求时会随机选择其中的一个。

• 连接的端口有一定的特征，冰蝎与webshell建立连接的同时，java也与目的主机建立tcp连接，每次连接使用本地端口在49700左右(就是比较大的端口)，每连接一次，每建立一次新的连接，端口就依次增加。

• 使用长连接，避免了频繁的握手造成的资源开销。默认情况下，请求头和响应头里会带有 Connection：Keep-Alive

• 有固定的请求头和响应头，请求字节头：dFAXQV1LORcHRQtLRlwMAhwFTAg/M ，响应字节头：TxcWR1NNExZAD0ZaAWMIPAZjH1BFBFtHThcJSlUXWEd

• 默认时，冰蝎 webshell都有“e45e329feb5d925b” 一串密钥，与冰蝎3.0相同。

bx4_aes

题目下载地址：

https://gitee.com/fengerxi/large-set-of-ctf-flow-problems/tree/master/3.流量日志分析分类/3.冰蝎/4.冰蝎4.1_php流量/1.aes

老规矩，先筛选http：

挑一个请求跟踪，是AES加密：

尝试使用默认密钥解密，模式是ECB，成功了：

对解密数据进行base64解码：

Content-Type字段（弱特征），通常是Content-type: Application/x-www-form-urlencoded

默认情况下，请求头和响应头里会带有 Connection：Keep-Alive

冰蝎与webshell建立连接的同时，java也与目的主机建立tcp连接，每次连接使用本地端口在49700左右(就是比较大的端口)

原文始发于微信公众号（赛博安全狗）：【HW蓝队面试必问系列】冰蝎4.1流量分析（附流量文件下载地址）