webshell

蚁剑：

特征：

静态：
蚁剑中php使用assert、eval执行；asp只有eval执行；在jsp使用的是Java类加载（ClassLoader），同时会带有base64编码解码等字符特征。
动态：
我们使用一句话木马上传webshell，抓包后会发现每个请求体都存在以
@ini_set(“display_errors”,”0″);@set_time_limit(0)开头。并且响应体的返回结果是base64编码发混淆字符，格式为：
随机数 结果 随机数。

检测方法：

请求中的User-Agent值是：antSword/*
也有可能是：Mozilla/5.0 (Windows NT ) AppleWebKit/ (KHTML, like Gecko) Chrome/* Safari/
请求中可以检测到的关键字：“eval””eVAL”
请求体存在@ini_set(“display_errors”, “0”);@set_time_limit(0);（开头可能是菜刀或者是蚁剑）
加密后的明显参数多数是0x……=这种形式所以0x开头的参数名，以及dirname、get_current_user函数的字眼（需要讲请求内容解密后判断），后面为加密数据的数据包可以鉴定为蚁剑的流量特征

解密：

去除混淆字符（随机数）后进行base64解码，解码后响应体的返回结果的格式为：随机数 解码后的结果 随机数。观察payload可以发现攻击行为。
另外，蚁剑混淆加密后还有一个比较明显的特征，即为参数名大多以“_0x…..=”这种形式（下划线可替换为其他）所以，以_0x开头的参数名，后面为加密数据的数据包也可识别为蚁剑的流量特征。

菜刀：

菜刀使用一句话木马，特征十分明显，在PHP、ASP、ASP.NET的网站都可以：
PHP: <?php @eval([$_post[‘test’]]); ?>
ASP: <% eval request(“test”)%>
ASP.NET: <%@ Page Language=”Javascript”%><% eval(Request.Item[“test”],”unsafe”);%>
动态特征：
payload在请求体中，采用url编码+base64编码，payload部分是明文传输。
payload中有eval或assert、base64_decode这样的字符。
payload中有默认固定的&z0=QGluaV9zZXQ…这样base64加密的攻击载荷，参数z0对应$_POST[z0]接收到的数据，且固定为QGluaV9zZXQ开头。进行base64解码后可看到代码：@ini_set(“display_errors”,”0″);@set_time_limit(0);@set_magic_quotes_runtime(0);这段意思是首先关闭报错和magic_quotes，接下来去获取主机的信息。

冰蝎：

冰蝎2.0

使用“`AES加密 + base64编码“`，AES使用动态密钥对通信进行加密，进行请求时内置了十几个User-Agent头，每次请求时会随机选择其中的一个。因此当发现一个ip的请求头中的user-agent在频繁变换，就可能是冰蝎。

冰蝎3.0

使用AES加密 + base64编码,取消了2.0的动态获取密钥，使用固定的连接密钥，AES加密的密钥为webshell连接密码的MD5的前16位，默认连接密码是”rebeyond”(即密钥是md5(‘rebeyond’)[0:16]=e45e329feb5d925b)。进行请求时内置了十几个User-Agent头，每次请求时会随机选择其中的一个。因此当发现一个ip的请求头中的user-agent在频繁变换，就可能是冰蝎。3.0连接jsp的webshell的请求数据包中的content-type字段常见为application/octet-stream。

冰蝎4.0

提供了传输协议自定义的功能，让用户对流量的加密和解密进行自定义，实现流量加解密协议的去中心化。v4.0版本不再有连接密码的概念，自定义传输协议的算法就是连接密码。
1.Accept字段（弱特征），通常是Accept: application/json, text/javascript, /; q=0.01 意思是浏览器可接受任何文件，但最倾向application/json 和 text/javascript。
2.Content-Type字段（弱特征），通常是Content-type: Application/x-www-form-urlencoded与冰蝎的前述版本相似，进行请求时内置了十几个User-Agent头，每次请求时会随机选择其中的一个。
连接的端口有一定的特征，冰蝎与webshell建立连接的同时，java也与目的主机建立tcp连接，每次连接使用本地端口在49700左右(就是比较大的端口)，每连接一次，每建立一次新的连接，端口就依次增加。使用长连接，避免了频繁的握手造成的资源开销。
默认情况下，请求头和响应头里会带有 Connection：Keep-Alive有固定的请求头和响应头，请求字节头：dFAXQV1LORcHRQtLRlwMAhwFTAg/M ，响应字节头：TxcWR1NNExZAD0ZaAWMIPAZjH1BFBFtHThcJSlUXWEd默认时，冰蝎 webshell都有“e45e329feb5d925b” 一串密钥，与冰蝎3.0相同。

哥斯拉：

哥斯拉支持多种加密方式，采用了和冰蝎 2.0 类似的密钥交换方式。它的webshell需要动态生成，可以根据需求选择不同的加密方式。

哥斯拉静态特征：
在默认脚本编码的情况下，jsp会出现xc、pass字符和Java反射(ClassLoader，getClass().getClassLoader())，base64加解码等特征。
哥斯拉动态特征：
User-Agent字段（弱特征），如果采用默认的情况，会暴露使用的jdk信息。不过哥斯拉支持自定义HTTP头部，这个默认特征是可以很容易去除的。Accept字段（弱特征），默认是Accept:text/html, image/gif, image/jpeg, *; q=.2, /; q=.2。同上，这个也可修改，只能作为辅助检测的特征。Cookie中有一个非常关键的特征，最后会有个分号。估计后续的版本会修复。
响应体的数据有一定特征，哥斯拉会把一个32位的md5字符串按照一半拆分，分别放在base64编码的数据的前后两部分。整个响应包的结构体征为：md5前十六位+base64+md5后十六位。

结尾

以上内容是本人根据网上信息结合安全设备检测得到的总结，如有错误和补充欢迎留言！