常見WebShell的流量特征

菜刀

payload的特征：

1. php:
2. asp:<%eval request("caidao")%>
3. asp.net:<%@Page Language="Jscript"%><%eval(Request.Item["caidao"],"unsafe");%>

數據包流量特征：

(資料圖片)

1. 請求包中：ua頭為百度
2. 請求體中有eval，base64等特征字符
3. 請求體中傳遞的payload為base64編碼，并且是固定的

蟻劍

payload的特征：

1. php中使用assert，eval執行
2. asp使用eval執行
3. jsp中使用的是Java類加載（ClassLoader），同時會帶有base64編碼解碼等字符特征

數據包流量特征：請求體中一定有@in_set("display_errors","0");@set_time_limit(0)開頭，后面存在base64等字符

冰蝎2.0

payload特征：

先base64加密，再經過AES對稱加密全部代碼，最后傳輸

1、 Accept字段

Accept是HTTP協議常用的字段，但冰蝎默認的Accept字段的值很特殊，而且存在于冰蝎的任何一個通訊階段

Accept: text/html,image/gif, image/jpeg, *; q=.2, */*; q=.2

2、 User agent字段

冰蝎內置了17種ua頭，每次連接shell都會隨機一個進行使用，如果發現歷史流量中同一個IP訪問URL的時候，命令了以下列表中的多個ua頭，可以基本確定為冰蝎

Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/14.0.835.163 Safari/535.1Mozilla/5.0 (Windows NT 6.1; WOW64; rv:6.0) Gecko/20100101 Firefox/6.0Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.50 (KHTML, like Gecko) Version/5.1 Safari/534.50Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.9.168 Version/11.50Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0; .NET CLR 2.0.50727; SLCC2; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3; .NET4.0C; Tablet PC 2.0; .NET4.0E)Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; InfoPath.3)Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB7.0)Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)Mozilla/5.0 (Windows; U; Windows NT 6.1; ) AppleWebKit/534.12 (KHTML, like Gecko) Maxthon/3.0 Safari/534.12Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3; .NET4.0C; .NET4.0E)Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3; .NET4.0C; .NET4.0E; SE 2.X MetaSr 1.0)Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.3 (KHTML, like Gecko) Chrome/6.0.472.33 Safari/534.3 SE 2.X MetaSr 1.0Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3; .NET4.0C; .NET4.0E)Mozilla/5.0 (Windows NT 6.1) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/13.0.782.41 Safari/535.1 QQBrowser/6.9.11079.201

但是用戶可以很容易的修改

3、 長連接

默認情況下，請求頭和響應頭里會有Connection。

Connection: Keep-Alive

4、 密鑰傳遞時URL參數

密鑰傳遞的時候，URI只有一個key-value型參數，Key是黑客給shell設置的密碼，一般為10位以下字母和數字?pass=[三位數字]

可以使用正則防守

\.(php|jsp|asp|aspx)\?(\w){1,10}=\d{2,3}  HTTP/1.1

5、 傳遞的密鑰

加密所使用的密鑰長度為16位隨機字符串，小寫+數字組成

冰蝎3.0

payload特征：

先base64加密，再經過AES對稱加密全部代碼，最后傳輸

AES加密的密鑰為webshell連接密碼的MD5的前16位，默認連接密碼是"rebeyond"(即密鑰是md5("rebeyond")[0:16]=e45e329feb5d925b)

1、 Accept&Cache-Control

Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2

Cache-Control: no-cache

Pragma: no-cache

User-Agent: java/1.8

2、 User agent字段

冰蝎內置了17種ua頭，每次連接shell都會隨機一個進行使用，如果發現歷史流量中同一個IP訪問URL的時候，命令了以下列表中的多個ua頭，可以基本確定為冰蝎

Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/14.0.835.163 Safari/535.1Mozilla/5.0 (Windows NT 6.1; WOW64; rv:6.0) Gecko/20100101 Firefox/6.0Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.50 (KHTML, like Gecko) Version/5.1 Safari/534.50Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.9.168 Version/11.50Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0; .NET CLR 2.0.50727; SLCC2; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3; .NET4.0C; Tablet PC 2.0; .NET4.0E)Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; InfoPath.3)Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB7.0)Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)Mozilla/5.0 (Windows; U; Windows NT 6.1; ) AppleWebKit/534.12 (KHTML, like Gecko) Maxthon/3.0 Safari/534.12Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3; .NET4.0C; .NET4.0E)Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3; .NET4.0C; .NET4.0E; SE 2.X MetaSr 1.0)Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.3 (KHTML, like Gecko) Chrome/6.0.472.33 Safari/534.3 SE 2.X MetaSr 1.0Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3; .NET4.0C; .NET4.0E)Mozilla/5.0 (Windows NT 6.1) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/13.0.782.41 Safari/535.1 QQBrowser/6.9.11079.201

但是用戶可以很容易的修改

3、content-type

該請求頭是冰蝎3.0中寫死的部分，除非反編譯，不然很難修改

Content-Type: application/octet-stream

4、 請求中content-length

為5740或5720（可能會根據Java版本而改變）

冰蝎4.0

第一階段：密鑰協商1）攻擊者通過 GET 或者 POST 方法，形如 http://127.0.0.1/shell.aspx?pass=645 的請求服務器密鑰；2）服務器使用隨機數 MD5 的高16位作為密鑰，存儲到會話的 $_SESSION 變量中，并返回密鑰給攻擊者。第二階段-加密傳輸1）客戶端把待執行命令作為輸入，利用 AES 算法或 XOR 運算進行加密，并發送至服務端；2）服務端接受密文后進行 AES 或 XOR 運算解密，執行相應的命令；3）執行結果通過AES加密后返回給攻擊者。

1、Accept字段

Accept: application/json, text/javascript, */*; q=0.01

2、流量特征Content-Type字段

PHP站點：Application/x-www-form-urlencodedASP站點：Application/octet-stream

3、流量特征User-agent 字段

冰蝎設置了10種User-Agent,每次連接shell時會隨機選擇一個進行使用

"Mozilla/5.0 (Macintosh; Intel Mac OS X 11_2_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.114 Safari/537.36","Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:87.0) Gecko/20100101 Firefox/87.0","Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36","Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.74 Safari/537.36 Edg/99.0.1150.55","Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36","Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:98.0) Gecko/20100101 Firefox/98.0","Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36","Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36","Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:79.0) Gecko/20100101 Firefox/79.0","Mozilla/5.0 (Windows NT 6.3; Trident/7.0; rv:11.0) like Gecko"

4、 流量特征長連接

冰蝎通訊默認使用長連接，避免了頻繁的握手造成的資源開銷。默認情況下，請求頭和響應頭里會帶有 Connection。

Connection: Keep-Alive

5、流量特征固定的請求頭和響應頭

PHP站點默認口令Default_xor_base64協議加密流量特征，請求字節頭：dFAXQV1LORcHRQtLRlwMAhwFTAg/M

響應字節頭：TxcWR1NNExZAD0ZaAWMIPAZjH1BFBFtHThcJSlUXWEd

PHP站點默認口令Default_aes協議加密流量特征，請求字節頭：m7nCS8n4OZG9akdDlxm6OdJevs/jYQ5/IcXK

響應字節頭：mAUYLzmqn5QPDkyI5lvSp6DmrC24FW39Y4YsJhUqS7

JSP站點默認口令Default_xor_base64協議，aes_with_magic協議，Default_aes協議,加密流量特征，響應字節頭：QhoVQgMXEUcUCBMHAGFZaQtuHFUVXlkWGhBcF1QVCRJ

6、流量特征連接密碼

默認時，所有冰蝎4.* webshell都有“e45e329feb5d925b” 一串密鑰。該密鑰為連接密碼32位md5值的前16位，默認連接密碼rebeyond

哥斯拉

哥斯拉(Godzilla)是一款國內流行且優秀的紅隊 webshell 權限管理工具，使用 java 開發的可視化客戶端，shell 支持 java、php、asp 環境，通信流量使用 AES 算法加密，具有文件管理、數據庫操作、命令執行、內存馬、隧道反彈等后門功能。

1、cookie

在Cookie中有一個很明顯的特征：最后有一個分號

2、響應體

從代碼中可以看到會把一個32位的md5字符串按照一半拆分，分別放在base64編碼的數據的前后兩部分

整個響應包的結構體征為：md5前十六位+base64+md5后十六位

72a9c691ccdaab98fL1tMGI4YTljO/5+/PlQm9MGV7lTjFUKUdfQMDL/j64wJ2UwYg==b4c4e1f6ddd2a488

按照這樣我們分開表示：

1. md5前十六位：72a9c691ccdaab98
2. base64：fL1tMGI4YTljO/5+/PlQm9MGV7lTjFUKUdfQMDL/j64wJ2UwYg==
3. md5后十六位：b4c4e1f6ddd2a488

我們可以根據這個特征對其所以的數據流量進行分析甄別篩查，符合此格式的統統篩選為威脅來源

3、連接特征

1. 請求1：發送一段固定代碼（payload），返回內容為空
2. 請求2：發送一段固定代碼（test），返回內容為固定字符串，如下：72a9c691ccdaab98fL1tMGI4YTljO/79NDQm7r9PZzBiOA==b4c4e1f6ddd2a488，解密后即為ok。如果連接失敗返回內容為空，且不發起請求3
3. 請求3：發送一段固定代碼（getBacisInfo），返回內容為固定字符串（對應服務器信息）