目录写在前面菜刀蚁剑 冰蝎 冰蝎2.0冰蝎3.0 冰蝎4.0 哥斯拉 写在前面菜刀、蚁剑、冰蝎、哥斯拉是常见的webshell管理工具。在攻防演练中，了解其常见webshell管理工具的流量特征对防守方来说十分重要。常见的webshell也在不断发展以绕过安全设备waf的检测，其流量特征也在不断演变，我们应该与时俱进的进行了解分析。简单的来说，菜刀和蚁剑采用静态加密的方式，其流量的攻击特征较为明显，而冰蝎和哥斯拉采用了动态加密的方式，更容易绕过安全设备的检测。至于为啥要总结这篇文章，原因主要是感觉这几个webshell管理工具的流量特征是hvv和许多安全厂商在流量分析和应急响应的面试中很爱问的

蚁剑：ini_setini_set_timeini_set_limit@ini_set(“display_errors”,“0”)部分代码明文传输，较好辨认菜刀：老版本采用明文传输，非常好辨认新版本采用base64加密，检测思路就是分析流量包，发现大量的base64加密密文就需要注意冰蝎：冰蝎1：冰蝎1有一个密钥协商过程，这个过程是明文传输，并且有两次流量，用来校验冰蝎2：因为内置了很多的UA头，所以当某一个相同IP重复请求，但是UA头不一样的时候就需要注意了冰蝎3：因为省去了协商过程，所以流量上可以绕过很多，但是其他特征依旧保留，比如ua头冰蝎数据包总是伴随着大量的content-type：

题目： 使用wireshark打开数据流：看题目就知道应该是一个菜刀的流量，也就是HTTP流量。在应用显示过滤器中输入http，先看统计里的http请求，统计-HTTP-请求 看到这个1.php的提示，返回来看一下它里面有什么内容：  这里发现一个压缩包，导出分组字节流，11.zipflag找到了，但是需要解压密码，要么包含在数据流中，要么需要爆破，先在数据流中寻找，没有直接以password的方式出现在数据流中，看一下菜刀流量： 追踪TCP流发现，流7里面包含一长串16进制，看z2位置是jpg文件头，在末尾也发现了FFD9文件尾，确定这是一个jpg文件，返回数据流，在流7后面加andhttp

菜刀冰蝎蚁剑哥斯拉等webshell工具及特征分析文章目录菜刀冰蝎蚁剑哥斯拉等webshell工具及特征分析前言Webshell简介中国菜刀菜刀webshell的静态特征菜刀webshell的动态特征蚁剑蚁剑webshell静态特征蚁剑webshell动态特征默认编码连接时使用base64编码器和解码器时冰蝎冰蝎webshell木马静态特征冰蝎2.0webshell木马动态特征冰蝎3.0webshell木马动态特征哥斯拉哥斯拉webshell木马静态特征前言在测试过程中，我们经常会运到各种webshell管理工具，这里我介绍几种常见的webshell工具给大家。Webshell简介webshe

1、常见漏洞分类 2、常见验证手段  可抓包后修改扩展名为图片格式，再上传可绕过验证。如： 可以修改php文件后缀为其他，再上传。如test.php.xxx 可对图片文件添加一句话木马，再修改为.php上传，会解析为图片上传此文件。  客户端验证绕过的方法有： 例: 3、一句话木马1）木马分为大马、小马和一句话木马：   小马：文件体积小、上传文件、文件修改、文件管理   大马：文件体积较大、功能齐全、能够提权、操作数据库等（不推荐）   一句话木马：短小精悍、功能强大、隐蔽性好、客户端直接管理（主流）2）中国菜刀工具使用：百度下载工具——运行caidao.exe 这里以php为例首先我们先将

今天继续给大家介绍渗透测试相关知识，本文主要内容是菜刀、蚁剑以及冰蝎三款Webshell管理工具简介。免责声明：本文所介绍的内容仅做学习交流使用，严禁利用文中技术进行非法行为，否则造成一切严重后果自负！再次强调：严禁对未授权设备进行渗透测试！一、三款webshell管理工具简单对比当前，在渗透测试时常用的webshell管理工具又菜刀、蚁剑和冰蝎。者三款webshell管理工具特点如下所示：1、菜刀菜刀属于比较原始的插件，功能比较单一，使用比较简单，目前没有提供插件，也不支持扩展，目前也已经停止更新，传输方式是单项加密传输。此外，菜刀的问题在于只能够处理eval()函数，而无法处理assert

本文将会从攻防的角度分析常用webshell管理工具（菜刀、蚁剑、冰蝎2.0，冰蝎3.0、哥斯拉将在下篇介绍）的流量特点，后半部分会整理一些有关webshell入侵检测和应急响应的文章文章目录Webshell管理工具流量分析菜刀&Cknife蚁剑默认编码器Base64编码器RSA模块冰蝎2.0流量3.0流量参考链接资料整理入侵检测应急响应Webshell管理工具流量分析菜刀&Cknife先从最简单的开始吧，菜刀也算是比较早的webshell管理工具了，加密方式比较简单，这里分析2016版的菜刀下载地址：https://github.com/raddyfiy/caidao-official-ve

菜刀流量特征(最开始是明文传输，后来采用base64加密)：PHP类WebShell链接流量如下图：第一：“eval”，eval函数用于执行传递的攻击payload，这是必不可少的；第二：(base64_decode($_POST[z0]))，(base64_decode($_POST[z0]))将攻击payload进行Base64解码，因为菜刀默认是使用Base64编码，以避免被检测；第三：&z0=QGluaV9zZXQ...，该部分是传递攻击payload，此参数z0对应$_POST[z0]接收到的数据，该参数值是使用Base64编码的，所以可以利用base64解码可以看到攻击明文。注：1

菜刀流量特征(最开始是明文传输，后来采用base64加密)：PHP类WebShell链接流量如下图：第一：“eval”，eval函数用于执行传递的攻击payload，这是必不可少的；第二：(base64_decode($_POST[z0]))，(base64_decode($_POST[z0]))将攻击payload进行Base64解码，因为菜刀默认是使用Base64编码，以避免被检测；第三：&z0=QGluaV9zZXQ...，该部分是传递攻击payload，此参数z0对应$_POST[z0]接收到的数据，该参数值是使用Base64编码的，所以可以利用base64解码可以看到攻击明文。注：1