冰蝎流量特征

¶PHP

先用冰蝎生成服务端（php马）这里使用aes加密。

生成一个shell.php文件

本地打开bp，配置冰蝎的代理为bp监听的ip和端口

将shell.php放到网站下，用冰蝎连接

抓取命令执行的请求包

冰蝎使用的AES（对称加密）16位密钥和base64编码

¶冰蝎流量特征

Accept字段：

请求头中存在：

Accept: application/json, text/javascript, /; q=0.01

也有可能*Accept: text/html,image/gif, image/jpeg, ; q=.2, /; q=.2

**Content-Type: application/octet-stream q=0.8

userAgent字段：

Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/533+ (KHTML, like Gecko) Element Browser/5.0
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0)
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.37 Edge/16.16299
Mozilla/5.0 (Windows NT 6.1; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/47.0.2526.106 Safari/537.36
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; AS; rv:11.0) like Gecko
Mozilla/5.0 (Windows NT 6.1; WOW64; rv:39.0) Gecko/20100101 Firefox/39.0
Mozilla/5.0 (Windows NT 5.1; rv:40.0) Gecko/20100101 Firefox/40.0
Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.100 Safari/537.36
Mozilla/5.0 (Windows NT 6.1; Trident/7.0; rv:11.0) like GeckoMozilla/7.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; Xbox)

Connection子段：

Connection: Keep-Alive（这里是另一个shell）是冰蝎默认使用的长连接特征

请求正文不能直接看出流量特征，因为冰蝎已经对生成的马子进行了加密

可以通过解码来看请求正文

对响应正文进行aes解码

解码以后是whoami的执行结果

¶JSP

jsp的流量特征以及响应包都和PHP相同，不同的地方在于请求正文的解析。

jsp的请求正文需要利用程序生成.class文件，再利用JAVA逆向的工具将.class文件解析成java源码。