哥斯拉

哥斯拉是一個基于流量、HTTP全加密的webshell管理工具
特點
1.內置了3種Payload以及6種加密器，6種支持腳本后綴，20個內置插件
2.基于java，可以跨平臺使用
3.可以自己生成webshell，根據管理來生成一些payload，然后再根據自己生成的木馬進行鏈接與上傳
4.全部類型的shell均過市面所有靜態查殺
5.流量加密過市面全部流量waf
6.采用雙加密模式

加密原理：AES加密
冰蝎在服務端支持open_ssl時，使用AES加密算法，密鑰長度16位也可稱為AES-16。此在軟件及硬件（英特爾處理器的AES指令集包含六條指令）上都能快速地加解密，內存需求低，非常適合流量加密。
下載地址：https://github.com/BeichenDream/Godzilla

webshell流量分析

1.使用工具：wiresharkBurpSuite
優勢區別對比：
wireshark：可以詳細分析具體數據包（可具體詳細到OSI七層，TCP/IP四層）
BurpSuite：可以對數據包進行修改與轉發
2.應急流程：
webshell何時被部署-->通過什么洞打進來-->找到webshell的存放位置-->獲取webshell的文件-->通過提取文件中的key（密鑰）為連接密碼32位md5值的前16位作為我們AES的解密密鑰，對流量進行解密，進一步還原全流量進行回溯，了解攻擊者后續做了那些行為。

蟻劍流量特征

可通過BP抓包查看，若內容經過加密則通過在線解碼工具解碼后查看分析

特征：1.每個請求體都由以下數據開始@iniset("display_errors""0"):@set_time_limit(0)；

2.返回包中內容為明文

Content-Length:長度1000左右

冰蝎流量特征

特征：1.? Accept:application/json,text/javascript,*/*;q=0.01(非明顯特征點，因為請求包的請求頭可
以進行修改）
2.? header字段：必定包含Cookie：PHPSESSID=(PHP版本）或動態密鑰頭，且user-Agent字段會頻繁變化
3.? 在body字段中：由于采用AES加密，長度對齊16字節，因此會常伴隨HEX編碼的二進制數據
4.? 響應上：狀態碼通常為200，返回數據為AES加密后的二進制，解密后會包含如-><與|<等分隔符
5.? 端口特征：冰蝎與webshell建立連接時，java也會與目的主機建立TCP連接，每次連接使用本地端口都在49700左右，每建立一次新連接，端口依次增加。

哥斯拉流量特征

特征：

1.Cookie處為PHPSESSID=k162v3u8q6fmbhgbgv2Ivtdvs1;結尾處有一個；正常請求cookie結尾是沒有分號
2.數據包長度達萬個
3. 請求包中含:Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,/q=0.8
響應包中含：Cache-Control: no-store,no-cache,must-revalidate,
4.編碼連接特征：編碼開頭以eval開頭

中國菜刀流量特征

明顯特征：

1. 在user-Agent字段中把自己偽裝成一個爬蟲文件（spider.html）

2. 請求體中存在固定字符
QGluaV9zZXQoImRpc3BsYXIfZXJyb3JzliwiMCIpO0BzZXRfdGItZV9saW1pdCgwKTtpZihQ
SFBfVkVSU0IPTjwnNS4zLjAnKXtAc2V0X21hZ2IjX3F1b3RIc19ydW50aW1IKDApO307ZWN
obygiWEBZIik7J