WEBSHELL管理工具流量特征——基础篇

最新推荐文章于 2026-05-22 11:16:32 发布

原创

最新推荐文章于 2026-05-22 11:16:32 发布 · 2k 阅读

标签

#php #开发语言

收录于

本文介绍了WEBSHELL管理工具流量分析的基础知识，以中国菜刀和蚁剑为例，详细剖析了它们的流量特征。中国菜刀的请求头通常伪装成常见浏览器，请求包体包含特定标识符；蚁剑则有明显的URL编码和BASE64编码，且在连接时请求两次，第二次列出目录，并使用base64编码执行eval命令。这些特征有助于识别和防范WEBSHELL流量。

前言

前一阵子帮别人做取证题目，有很多关于WEBSHELL的流量要分析，想起来还有没好好分析过于是准备写篇文章总结一下帮助大家能够快速的辨别WEBSHELL流量，下面我们展开文章来讲。

中国菜刀

这个应该是大家最熟悉的WEBSHELL管理工具，这里先附一个下载链接供大家下载：

github.com/raddyfiy/ca…

这里我用wireshark抓取到了流量进行一下分析：

可以看到特征还是很明显的，首先请求头的ua头，也就是用户代理(User Agent)，通常是百度或者火狐的浏览器，再看上图的请求包体，通常是附带着下面这个标识符：

eval=(base64_decode($_POST[z0]))

而z0后面的通常也是一样的，只不过进行了base64加密，解密后的结果如下（这里只取最明显的头部解密后的代码):

@ini_set("display_errors","0");@set_time_limit(0);

这就是中国菜刀WEBSHELL管理工具最常见的流量特征，在进行攻击时为了防止被人发现可以尝试将上面的特征进行混淆以此来防止被发现。

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

白帽Allen

关注关注

1
点赞
踩
7

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

常见的webshell流量特征

m0_63944205的博客

09-04

943

3.蚁剑混淆加密后还有一个比较明显的特征,即为参数名大多以“0x加密后”“这种形式(下划可换》，所以以-0x开头的参数也很可能就是恶意流量。key进行爆破的成功的特征就是，返回包不再出现Set-Cookie:rememberMe=deleteMe.stager其实是一段很简单的加载器，是socketedi协议请求的一段shellcode，它的作用是向。值很长，并且下面伴随着设置密码，和路径的参数，最后请求体出现一个参数，数值是加密的，并且非常长。现实生活中很少有人使用。的长度，后面是shellcode。

参与评论您还未登录，请先登录后发表或查看评论

webshell客户端流量特征

buffedon的博客

07-14

5347

webshell客户端流量特征概述：1. 冰蝎2. 中国菜刀2011，2014版本2016版本3. Cknife4. 蚁剑5. 哥斯拉 webshell客户端用于webshell后门和攻击者之间的通信程序，我们可以通过webshell客户端的流量来判断服务器上是否存在Webshell后门。概述：中国菜刀：流量特征比较明显，2011,2014版本中，流量中有的php代码，asp代码是明文形式，jsp代码有固定格式，容易被检测出来。2016版本隐蔽性增强，对php，asp代码增加了混淆，还对ASP代码进行

Webshell流量特征分析：从HTTP头到TLS握手的检测与对抗

热门推荐

告白的博客

05-31

3万+

0x00 前言使用各种的shell工具获取到目标权限，即可进行数据操作，今天来简要分析一下目前常使用的各类shell管理工具的流量特诊，帮助蓝队同学在风险识别上快速初值 0x01 中国菜刀流量分析 0x02 ......

常见的webshell工具的流量特征

m0_66458291的博客

01-19

4275

常见的webshell工具流量的简单分析（菜刀、蚁剑、冰蝎、哥斯拉）

常见的webshell的流量特征和检测思路

weixin_45585955的博客

04-11

8637

所以分析如上：该流量是WebShell链接流量的第一段链接流量，其中特征主要在i=A&z0=GB2312，菜刀链接JSP木马时，第一个参数定义操作，其中参数值为A-Q，如i=A，第二个参数指定编码，其参数值为编码，如z0=GB2312，有时候z0后面还会接着又z1=、z2=参数用来加入攻击载荷。最后传给cmd的这些流量字符中有自己的特征，1、都是系统命令；2、必须以分号结尾；至此，冰蝎成为了一个完美的开箱即用的工具，本体内存马免杀，流量免杀，功能齐全，兼容性好，在连续几年的攻防演练中，成为最热门的工具。

三种常见webshell工具的流量特征分析

mashiro_hibiki的博客

04-10

2156

webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境，主要用于网站管理、服务器管理、权限管理等操作。使用方法简单，只需上传一个代码文件，通过网址访问，便可进行很多日常操作，极大地方便了使用者对网站和服务器的管理。正因如此，也有小部分人将代码修改后当作后门程序使用，以达到控制网站服务器的目的，也可以将其称做为一种网页后门。

流量特性log/WEBSHELL管理工具流量特征——基础篇_新手攻防指南

程序员三九的博客

05-09

435

本文正在参加「金石计划 . 瓜分6万现金大奖」前言前一阵子帮别人做取证题目，有很多关于的流量要分析，想起来还有没好好分析过于是准备写篇文章总结一下帮助大家能够快速的辨别流量

webshell管理工具及其流量特征分析

Goodric的博客

07-22

1883

—对常见四款webshell进行分析，对工具连接流量有个基本认识。——

Webshell管理工具的流量特征

w2361734601的博客

04-29

2952

Webshell流量特征因工具而异，但通常包含加密、固定参数或异常协议等行为。通过结合特征检测和行为分析，可有效识别攻击。防御需多层联动，从流量监控到文件管理，形成完整防护体系。防御核心：早发现、早阻断、早溯源。

常见webshell工具的流量特征

weixin_75158417的博客

03-03

1561

使用AES加密+base64编码，AES使用动态密钥对通信进行加密，进行请求时内置了十几个U-A头，每次请求时会随机选择其中一个。因此当发现一个IP的请求头中的u-a头在不断的发生变化，就有可能是冰蝎。因此当发现一个ip的请求头中的u-a在频繁变换，就可能是冰蝎。3.0连接jsp的webshell的请求数据包中的content-type字段常见为application/octet-stream。使用AES加密+base64编码，取消了2.0的动态获取密钥，使用固定的连接密钥，随机数结果随机数。

Webshell的各种流量特征超级详细版

BanDaPao的博客

06-23

2378

冰蝎：动态密钥幽灵，AES全程加密伪装二进制流，心跳包维持长连接。哥斯拉：内存马刺客，MD5分段响应藏密文，Cookie分号留痕，文件分片遁形。蚁剑：明文刺客，_0x参数+Base64编码暴露马脚，高危函数高频触发。天蝎：.NET伪装大师，HTML/JS混合免杀，密钥硬编码却隐于乱码。 💡 核心差异：从明文暴露（蚁剑）→ 动态加密（冰蝎）→ 协议定制（哥斯拉）→ 代码隐身（天蝎），攻防博弈永不停歇！

webshell工具流量特征：

qq_52973916的博客

08-11

632

这段代码基本是所有WebShell客户端链接PHP类WebShell都有的一种代码，但是有的客户端会将这段编码或者加密，而蚁剑是明文，所以较好发现，同时蚁剑也有eval这种明显的特征。冰蝎与webshell建立连接的同时，javaw也与目的主机建立tcp连接，每次连接使用本地端口在49700左右，每连接一次，每建立一次新的连接，端口就依次增加。由于蚁剑中包含了很多加密、绕过插件，所以导致很多流量被加密后无法识别，但是蚁剑混淆加密后还有一个比较明显的特征，即为参数名大多以。冰蝎中，任何请求，最终都会调用。

常见的webshell连接工具的流量特征总结

qq_52486507的博客

03-25

2918

1.Accep和Content-Type为弱特征且Content-type:一般为Application/x-www-form-urlencoded，这里可作为辅助特征。1.请求包中会有eval，assert, base64的特征字符（这里如果用eval方法就是eval ,如果是assert方法就是assert）1.流量最明显的特征就是会有明文是@ini_set(“display_errors”,“0”)这个函数，也会有eval这个函数。2.在请求包的Cookie中有一个非常致命的特征是会在最后出现分号。

常见webshell流量分析

学生

06-27

2456

鐜鍙橀噺:

常见WebShell客户端的流量特征

m0_49025459的博客

04-18

3774

以下的全是我在各个大佬哪里看文章做的总结-相当于我的笔记。

Webshell 流量特征分析

qq_69775412的博客

09-22

1838

主要利用方式：eval函数参数名：z1、z2、z3。z0用于设置环境变量、z1为密码、z2为执行的命令。加密方式： base64加密、url编码User-Agent: 百度的或者是火狐的。其他：下面几个环境变量也可以作为流量特征来进行研判分析。蚁剑目前的流量分析，都是没有使用编码器和解码器的，而蚁剑相比于菜刀的优势就在于这个编码器和解码器，能够更方便的隐藏自己，后面有想进一步了解的小伙伴可以点个关注哟。@ini_set。

webshell流量分析

qq_61740845的博客

11-28

1575

冰蝎内置了17种ua头，每次连接shell都会随机一个进行使用，如果发现历史流量中同一个IP访问URL的时候，命令了以下列表中的多个ua头，可以基本确定为冰蝎。(img-1eSYCSDC-1732796753166)]\TP\image-20241128195740195.png)2）服务器使用随机数 MD5 的高16位作为密钥，存储到会话的 $_SESSION 变量中，并返回密钥给攻击者。1）客户端把待执行命令作为输入，利用 AES 算法或 XOR 运算进行加密，并发送至服务端；

（菜刀，蚁剑，冰蝎，哥斯拉）流量特征分析总结

weixin_54603520的博客

05-15

5622

在红蓝攻防的过程中，webshell工具的流量特征分析一直时蓝队成员需要关注的重点。

流量分析总结（实战HTTP流量分、Webshell混淆流量分析、TLS流量分析、[INSHack2019]Passthru）

晓梦林的博客

12-17

2423

webshell 是进行网站攻击的一种恶意攻击脚本环境，属于加密流量，局部字符串会被加密（使用Base64编码），对于加密的webshell，我们一开始可以不必对Base64等编码后的请求内容进行分析，可以看其相应的结果大致知道该webshell的作用。针对TLS流量分析题，我们可以通过某些方法得到TLS握手过程中协商的加密方法、密钥、随机数等信息，将上述导入Wireshark，即可完成对HTTPS流量的解密。其实http是明文传输数据，通过上述“追踪流”的方式，可以直接看到明文内容。