菜刀、蚁剑、冰蝎、哥斯拉特征码

目录

一、菜刀数据包流量特征

二、蚁剑数据包流量特征

三、冰蝎流量特征（AES加密）

四、哥斯拉（base64加密）

一、菜刀数据包流量特征

1，请求包中：ua头为百度，火狐

2，请求体中存在eavl，base64等特征字符

3，请求体中传递的payload为base64编码，并且存在固定的QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtpZihQSFBfVkVSU0lPTjwnNS4zLjAnKXtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO307ZWNobygiWEBZIik7J

二、蚁剑数据包流量特征

1、使用普通的一句话都存在以下特征：

每个请求体都存在@ini_set(“display_errors”, “0”);@set_time_limit(0)开头。
并且后面存在base64等字符。
响应包的结果返回格式为：
随机数
响应内容
随机数
 
使用base64加密的payload，数据包存在以下base加密的eval命令执行，数据包的payload内
容存在几个分段内容，分别都使用base64加密，解密后可以看到相关的路径，命令等。
响应包的结果返回格式为：
随机数
编码后的结果
随机数

三、冰蝎流量特征（AES加密）

冰蝎3.0流量特征：
 
请求包中content-length 为5740或5720（可能会根据Java版本而改变），每一个请求头中存在：
Pragma: no-cache
Cache-Control:no-cache
Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,/*;q=0.8,application/signed-exchange;v=b3;q=0.9

四、哥斯拉（base64加密）