前言

前一阵子帮别人做取证题目，有很多关于WEBSHELL的流量要分析，想起来还有没好好分析过于是准备写篇文章总结一下帮助大家能够快速的辨别WEBSHELL流量，下面我们展开文章来讲。

中国菜刀

这个应该是大家最熟悉的WEBSHELL管理工具，这里先附一个下载链接供大家下载：

github.com/raddyfiy/ca…

这里我用wireshark抓取到了流量进行一下分析：

可以看到特征还是很明显的，首先请求头的ua头，也就是用户代理(User Agent)，通常是百度或者火狐的浏览器，再看上图的请求包体，通常是附带着下面这个标识符：

eval=(base64_decode($_POST[z0]))

而z0后面的通常也是一样的，只不过进行了base64加密，解密后的结果如下（这里只取最明显的头部解密后的代码):

@ini_set("display_errors","0");@set_time_limit(0);

这就是中国菜刀WEBSHELL管理工具最常见的流量特征，在进行攻击时为了防止被人发现可以尝试将上面的特征进行混淆以此来防止被发现。

蚁剑

蚁剑全称中国蚁剑，是一款开源的跨平台网站管理工具，它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。

下载地址如下：

github.com/AntSwordPro…

相比于菜刀，我们可以在连接时选择编码器，我们这里以默认编码器来分析,先抓它的流量包：

可以看到流量特征也是非常的明显头部就存在以下特征：

@ini_set(“display_errors”, “0”);@set_time_limit(0)

请求被套了一层URL编码和BASE64编码，可以看到这个流量很熟悉，中国菜刀连接时也会有这个流量，因此可以推断这是PHP类WEBSHELL通常都会有的东西，当我们用WIRESHARK抓包时，你会发现抓到了两个请求，也就是说，连接时请求了两次，那么第二次都干了些什么呢？

简单分析后会发现，不光只有上面的信息，它还把目录给列了出来，我们可以看到文件目录了。若我们不使用默认编码而是用base64编码会有什么特别的地方吗？

简单尝试会发现：数据包存在以下base加密的eval命令执行。

并且base64解码后的字符明显看出是通过{}符合分成了一段一段的，流量特征十分明显，这里找到了蚁剑base64编码的脚本流程供大家参考：

use strict';
module.exports = (pwd, data, ext = null) => {// 生成一个随机变量名let randomID;if (ext.opts.otherConf['use-random-variable'] === 1) {randomID = antSword.utils.RandomChoice(antSword['RANDOMWORDS']);} else {randomID = `${antSword['utils'].RandomLowercase()}${Math.random().toString(16).substr(2)}`;}data[randomID] = Buffer.from(data['_']).toString('base64');data[pwd] = `@eval(@base64_decode($_POST[${randomID}]));`;delete data['_'];return data;
}

简单分析一下，这里用到了random函数来产生随机数，而data[pwd]则是作为参数传递，我们可以在请求包里找到对应的信息，randomID也是作为密钥随机生成的，base64编码就分析到这里了。