流量分析


一句话木马管理软件

菜刀

1、User-Agent头是百度的PC爬虫

image-20221110134552486

2、请求体部分

请求体用的是arrpay_map回调函数,assert函数和eval

请求体格式

array_map("ass"."ert",array("ev"."Al(\"\\\$xx%%3D\\\"Ba"."SE6"."4_dEc"."OdE\\\";@ev"."al(\\\$xx('%s'));\");"));

在请求体传递payload位base64编码,且存在固定内容

QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtpZihQSFBfVkVSU0lPTjwnNS4zLjAnKXtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO307ZWNobygiWEBZIik7J

image-20221110135107900

image-20221110135134418

3、响应报文是明文,且响应数据在X@Y之间

image-20221110135326034

蚁剑 antSword-2.1.15

1、User-Agent为爬虫

老的版本中有 User-Agent: antSword/v2.1 ,新版本都是随机采用预置的 UA 头,存储在 useragents.json 中,大概有一百多个。

image-20221110141659972

2、请求数据中固定格式URL编码

image-20221110141842554

image-20221110142616533

3、响应包的内容依然为明文传输

image-20221110142805415

Behinder_v3.0_Beta_11.t00ls


大屁股猛男 2023-08-14 05:32:03