木马的连接密码是多少

黑客执行的第一个命令是什么

id

黑客读取了哪个文件的内容，提交文件绝对路径

/etc/passwd

黑客上传了什么文件到服务器，提交文件名

黑客上传的文件内容是什么

黑客下载了哪个文件，提交文件绝对路径

蚁剑流量特征总结

第一特征

蚁剑的请求包加密，返回包以明文形式传输

第二特征

http头中存在init_set字段并且content-type是urlencoded

蚁剑字段分析

可以看到一般在蚁剑的请求包中会出现如下情形

1=@init这一串是url编码，解码后是一串PHP代码，当我们发送此包到服务端，配合我们的木马，服务端实际执行了解密后的PHP代码，而下面的参数是真正的蚁剑载荷，也就是我们需要输入的命令

蚁剑截取了参数的字符串，并进行了base64解密