哥斯拉

哥斯拉是一个基于流量、HTTP全加密的webshell管理工具
特点
1.内置了3种Payload以及6种加密器，6种支持脚本后缀，20个内置插件
2.基于java，可以跨平台使用
3.可以自己生成webshell，根据管理来生成一些payload，然后再根据自己生成的木马进行链接与上传
4.全部类型的shell均过市面所有静态查杀
5.流量加密过市面全部流量waf
6.采用双加密模式

加密原理：AES加密
冰蝎在服务端支持open_ssl时，使用AES加密算法，密钥长度16位也可称为AES-16。此在软件及硬件（英特尔处理器的AES指令集包含六条指令）上都能快速地加解密，内存需求低，非常适合流量加密。
下载地址：https://github.com/BeichenDream/Godzilla

webshell流量分析

1.使用工具：wiresharkBurpSuite
优势区别对比：
wireshark：可以详细分析具体数据包（可具体详细到OSI七层，TCP/IP四层）
BurpSuite：可以对数据包进行修改与转发
2.应急流程：
webshell何时被部署-->通过什么洞打进来-->找到webshell的存放位置-->获取webshell的文件-->通过提取文件中的key（密钥）为连接密码32位md5值的前16位作为我们AES的解密密钥，对流量进行解密，进一步还原全流量进行回溯，了解攻击者后续做了那些行为。

蚁剑流量特征

可通过BP抓包查看，若内容经过加密则通过在线解码工具解码后查看分析

特征：1.每个请求体都由以下数据开始@iniset("display_errors""0"):@set_time_limit(0)；

2.返回包中内容为明文

Content-Length:长度1000左右

冰蝎流量特征

特征：1.  Accept:application/json,text/javascript,*/*;q=0.01(非明显特征点，因为请求包的请求头可
以进行修改）
2.  header字段：必定包含Cookie：PHPSESSID=(PHP版本）或动态密钥头，且user-Agent字段会频繁变化
3.  在body字段中：由于采用AES加密，长度对齐16字节，因此会常伴随HEX编码的二进制数据
4.  响应上：状态码通常为200，返回数据为AES加密后的二进制，解密后会包含如-><与|<等分隔符
5.  端口特征：冰蝎与webshell建立连接时，java也会与目的主机建立TCP连接，每次连接使用本地端口都在49700左右，每建立一次新连接，端口依次增加。

哥斯拉流量特征

特征：

1.Cookie处为PHPSESSID=k162v3u8q6fmbhgbgv2Ivtdvs1;结尾处有一个；正常请求cookie结尾是没有分号
2.数据包长度达万个
3. 请求包中含:Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,/q=0.8
响应包中含：Cache-Control: no-store,no-cache,must-revalidate,
4.编码连接特征：编码开头以eval开头

中国菜刀流量特征

明显特征：

1. 在user-Agent字段中把自己伪装成一个爬虫文件（spider.html）

2. 请求体中存在固定字符
QGluaV9zZXQoImRpc3BsYXIfZXJyb3JzliwiMCIpO0BzZXRfdGItZV9saW1pdCgwKTtpZihQ
SFBfVkVSU0IPTjwnNS4zLjAnKXtAc2V0X21hZ2IjX3F1b3RIc19ydW50aW1IKDApO307ZWN
obygiWEBZIik7J