中国菜刀、蚁剑、哥斯拉、冰蝎这四种Webshell连接工具的流量特征各有区别,以下是它们之间的主要差异:
中国菜刀(CaiDao)
流量特征:
- 请求包:
- UA头可能伪装为百度、火狐等浏览器的User-Agent。
- 请求体中存在
eavl、base64等特征字符。
- 响应包:
- 响应内容可能使用base64加密。
蚁剑(AntSword)
流量特征:
- 请求包:
- 每个请求体都以
@ini_set("display_errors","0");@set_time_limit(0);开头。 - 后续存在base64等字符。
- 每个请求体都以
- 响应包:
- 响应内容格式可能与菜刀类似,包含随机数和编码后的结果。
- UA头可能包含蚁剑字样或可通过修改请求UA绕过。
哥斯拉(Godzilla)
流量特征(具体流量特征可能因版本而异):
- 请求包:
Accept头可能包含多种MIME类型。
- 响应包:
Cache-Control头可能包含no-store, no-cache, must-revalidate。- Cookie中可能存在特征字符。
- 在cookie字段,最后一个cookie的值可能出现分号。
冰蝎(Behinder)
流量特征:
- 请求包:
- 2.0版本:
- 第一阶段请求中返回包状态码为200,返回内容必定是16位的密钥。
- 可能存在特定的
Accept头。
- 3.0版本:
- 请求包中
content-length可能为5740或5720(根据Java版本变化)。 - 每个请求头中可能包含
Pragma: no-cache和Cache-Control: no-cache。 Accept头包含多种MIME类型。
- 请求包中
- 2.0版本:
- 响应包:
- 加密传输的数据包中包含特定的标记,如"flag=0x52415631",用于标识该数据包是冰蝎的控制命令。
- 使用RC4加密算法对通信流量进行加密(冰蝎4.0)。
- 通信流量看起来像正常的Web流量,难以被检测。
归纳
- 加密方式:蚁剑、冰蝎等工具普遍使用base64或其他加密技术对通信内容进行加密,而冰蝎4.0则使用了RC4加密算法。
- 请求头和响应头:这些工具在请求和响应时可能包含特定的HTTP头,如User-Agent、Accept、Content-Length等,这些可以作为识别其流量的重要依据。
- 特定标记和代码:如冰蝎的数据包中包含的"flag=0x52415631"标记,蚁剑请求体开头的特定代码等,都是这些工具流量特征的独特之处。
- 伪装和绕过:一些工具如蚁剑和冰蝎,可以通过修改请求UA或其他方式来伪装自己,从而绕过某些安全设备的检测。
