流量特征

# webshell流量特征： 菜刀： 采用base64加密，检测思路就是分析流量包，发现大量的base64加密 密文就需要注意。请求体中会存在QG开头Qo结尾的固定代码(QGluaV9zZXQo)，存在base64关键字，有默认参数z0，存在eval，assert关键字（可能是拼接"ass"."ert",.... 冰蝎： 冰蝎1： 冰蝎1有一个密钥协商过程，这个过程是明文传输，并且有两次流量，用来校验冰蝎 冰2： 强特征是 accept 里面有个 q=.2，因为内置了很多的UA头，所以当某一个相同IP重复请求，但是UA头不一样的时候就需要注意冰蝎（3次），Content-Length: 16, 16就是冰蝎2连接的特征 冰3： 因为省去了协商过程，所以流量上可以绕过很多，但是其他特征依旧保留，比如ua头的问题，无论GET还是POST，content-type为application/octet-stream 冰蝎4： q=0.01；十种ua头；端口问题，冰蝎4与webshell建立连接的同时，javaw也与目的主机建立tcp连接，每次连接使用本地端口在49700左右，每连接一次，每建立一次新的连接，端口就依次增加。(可以对符合该范围内的端口告警） 哥斯拉： cookie值末尾多出分号，base64加解码，哥斯拉建立连接时会发起三次请求，第一次请求数据超级长，建立 session，第二三次请求确认连接 蚁剑： 解密后存在特征@ini_set("display_errors"，"0")，混淆加密后的参数多数是0x=一串base64加密这种形式 # Shiro： 特征：登录失败返回包rememberme=deleteme，成功则rememberme=很长一串正确值 原理是cookie的rememberme会先序列化然后aes加密，base64加密，服务端接接收的时候就反过来。问题就出现在aes加密，如果是默认秘钥或者秘钥容易爆破，会造成反序列化漏洞 主要区别在于Shiro550使用已知默认密码，只要有足够的密码可爆破 Shiro721的ase加密的key为系统随机生成，需要利用登录后的rememberMe去爆破正确的key值。利用有效的Cookie和填充验证错误的系统响应，逆推出明文秘钥，再构造反序列化攻击。 cs流量特征 心跳包六十秒，端口50050，http请求可能包含与C2服务器通信的命令，请求的的地址是一个Jquery js文件