冰蝎、菜刀、蚁剑、哥斯拉流量特征

菜刀：ASP语言编写的 Windows 远控管理软件，年代比较久，鼻祖级别的，曾经风靡一时，现已经逐渐被其他三个所取代

链接：https://pan.baidu.com/s/1Kg_U9fJJL5wrlmIN69H8_g 
提取码：23ss

冰蝎：基于 Java 编写，有跨平台特性，流量动态加密（AES128 + 随机密钥）

链接：https://pan.baidu.com/s/1tyrXUC1Os0XI15WSYsCcKg 
提取码：23ss

哥斯拉：基于C#编写，流量加密能过大部分静态查杀和WAF（查杀和WAF也在更新，随时就可能不行了），自带的各种插件功能异常强大

链接：https://pan.baidu.com/s/1ZBQzLoNi6_6QJKwafPDK2A 
提取码：23ss

蚁剑：基于Java编写跨平台远控管理工具，模块化开发，代码简单易懂，可扩展性强

链接：https://pan.baidu.com/s/18wCOWXddVm9nDFsFpRvhJQ 
提取码：23ss

冰蝎、菜刀、蚁剑、哥斯拉的流量特征

菜刀： 

流量特征主要表现在HTTP协议上，使用HTTP协议通信，控制命令和数据都通过POST请求传输。1、请求体中存在assert eavl，base64等特征字符
2、请求体中传递的payload为base64编码，并且存在固定的QGluaV9zZXQo、@ini_set

一句话木马如图：

连接木马

 成功后查看muma.php文件

 wireshark抓包，因为菜刀流量是http协议，过滤一下，追踪流

解码

蚁剑：

流量特征主要表现在数据包的加密方式和数据类型。蚁剑使用了AES加密算法对数据进行加密，同时还使用了自定义的二进制协议，存在eval这种明显的特征。

1、在通信中传输各种类型的数据 默认的USER-agent请求头 是 antsword xxx，但是 可以通过修改:/modules/request.js 文件中 请求UA绕过

2、其中流量最中明显的特征为@ini_set("display_errors"，"0");这段代码基本是所有webshell客户端链接PHP类Webshell都有的一种代码

3、蚁剑混淆加密后还有一个比较明显的特征,即为参数名大多以"_0x"这种形式，所以以_0x开头的参数也很可能就是恶意流量

 蚁剑挂代理

使用burp抓包

 url解码（Shift+Ctrl+u)

冰蝎： 

流量特征主要表现在数据包中的特殊标记和传输的数据类型。冰蝎的数据包中包含了特定的标记，如"flag=0x52415631"，用于标识该数据包是冰蝎的控制命令。此外，冰蝎还使用了一种自定义的二进制协议，在通信中传输各种类型的数据 看包没有发现什么特征，但是可以发现它是POST请求的appication/xhtml+xmlapplication/xmlapplication/signe

我这里给大家介绍一下4.0

这是冰蝎默认的shell

连接shell

抓取流量

请求包

响应包

冰蝎的加密报文有点长，这里就不解密了，兄弟们凑合看

1、Accept字段

Accept: application/json, text/javascript, */*; q=0.01

2、User-agent 字段

冰蝎设置了16种User-Agent,每次连接shell时会随机选择一个进行使用。

3、Content-Type

Content-type: application/x-www-form-urlencoded

4、固定的请求头和响应头

请求字节头：

VUYWVkBNGgAUVAgRUFQRAAIBOl

响应字节头：

TxcWR1NNExZAD0ZaAWMIPAZjH1BFBFtHThcJSl

5、长连接

冰蝎通讯默认使用长连接，避免了频繁的握手造成的资源开销。默认情况下，请求头和响应头里会带有 Connection。

Connection: Keep-Alive

此外

 冰蝎2特征 默认Accept字段的值很特殊,而且每个阶段都一样冰蝎内置了十余种userAgent ，每次连接 shell会随机选择一个进行使用。但都是比较老的，容易被检测到，但是可以在burp中修改ua头Content-Length:16，16就是冰蝎2连接的特征

冰蝎3特征 冰蝎3取消动态密钥获取，目前很多waf等设备都做了冰蝎2的流量特征分析，所以3取消了动态密钥获取;

php抓包看包没有发现什么特征，但是可以发现它是POST请求的

1、Accept头 application/xhtm1+xmlapplication/xmlapplication/signed- exchange属于弱特征

2、ua头该特征属于弱特征。通过burp可以修改

冰蝎3.0内置的默认16个userAgent都比较老。作为waf规则特征 jsp抓包特征分析Content-Type: application/octet-stream 这是一个强特征

tips：octet-stream的意思是，只能提交二进制，而且只能提交一个二进制，如果提交文件的话，只能提交 一个文件后台接收参数只能有一个，而且只能是流(或者字节数组)

哥斯拉：

流量特征主要表现在数据包的特殊标记和数据类型。哥斯拉的数据包中包含了特定的标记，如"XORHEAD"和"XORBODY"，用于标识该数据包是哥斯拉的控制命令。

首先使用哥斯拉生产shell，连接

执行命令

查看流量

​​​​​​​ 

1、User-Agent字段（弱特征），如果采用默认的情况，会暴露使用的jdk信息。不过哥斯拉支持自定义HTTP头部，这个默认特征是可以很容易去除的。

2、Accept字段（弱特征），默认是text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8。同上，这个也可修改，只能作为辅助检测的特征。

3、Cookie中有一个非常关键的特征，最后会有个分号。估计后续的版本会修复。

4、响应体的数据有一定特征，哥斯拉会把一个32位的md5字符串按照一半拆分，分别放在base64编码的数据的前后两部分。整个响应包的结构体征为：md5前十六位+base64+md5后十六位。