常见的webshell连接工具流量

中国菜刀

连接过程中使用base64编码对发送的指令进行加密，其中两个关键payload z1 和 z2，名字都是可变的。

然后还有一段以QG开头，7J结尾的固定代码。

蚁剑

默认的user-agent请求头是antsword xxx，不过可以修改。

一般将payload进行分段，然后分别进行base64编码，一般具有像eval这样的关键字，然后呢大概率还有@ini_set("display","0");这段代码。

冰蝎

php代码中可能存在eval，assert等关键词，jsp代码中可能会有getclass()，getclassLoader()等字符特征。

冰蝎2.0

第一阶段请求中返回包的状态码是200，返回内容是16位的密钥。建立连接后的cookie格式都是Cookie：PHPSessid=xxxx ；path=/；特征。

冰蝎3.0

请求包中的conten-length字段是5740或者5720，然后请求头也具有特征信息，不过这个比较长，没有记住。

哥斯拉

1.jsp代码中可能会具有getclass，getclassLoader等关键字，payload使用base64编码等特征。php和asp则是普通的一句话木马。

2.在响应包的cache-control字段中有no-store，no-cache等特征。

3.所有请求中的cookie字段最后面都存在；特征

热门相关：骑士归来   薄先生，情不由己   网游之逆天飞扬   刺客之王   豪门闪婚：帝少的神秘冷妻