Webshell流量分析

介绍

• 在流量分析中，我们要分析webshell，首先要了解这些webshell属于哪一种shell管理软件的，还要了解PHP相关代码和Java相关代码，这样我们才能了解，攻击者使用webshell到底执行了什么操作。
• 如果对网络攻击相关的PHP和Java代码不熟练，建议先去学PHP命令执行和PHP代码的一些语法，这样我们在分析流量中的webshell代码就会更轻松
• 或者我们也可以边分析webshell边练习代码审计的能力。

Webshell

• 什么是Webshell：webshell就相当于一个木马，这个当我们将木马注入到对方的计算机中，我们就在远程获得了权限，这就可以导致我们可以在远程执行计算机操作相关的命令，从而达到操纵对方计算机的目的
• Webshell：本质上是利用web网页的前后端漏洞，然后将木马发送到对方的主机中，所以这就是webshell中为什么含有web

常用的Webshell客户端

1. 中国菜刀**(现在比较少用了)**：raddyfiy/caidao-official-version: 中国菜刀官方版本，拒绝黑吃黑，来路清晰
2. 蚁剑**(现在最经常使用)**：Releases · AntSwordProject/antSword
3. 冰蝎**(可能也比较经常使用,还可以自定义加密流量)**：Releases · rebeyond/Behinder
4. 哥斯拉**(可能也比较经常使用)**：Releases · BeichenDream/Godzilla
5. Weevely**(kali中的加密客户端)**：

Webshell特征

• 接下来我们要了解一些对应的webshell的特征，这样有助于我们在流量分析的时候能更快的识别出webshell是哪种客户端发出的。
• 有的时候我们就更好做出反应，还原现场等，可能还有一些用相应客户端加密的，我们就可以使用对应的客户端解密。

菜刀

蚁剑

冰蝎

• 冰蝎有3个版本，分别为冰蝎v2、冰蝎v3、冰蝎v4

哥斯拉

Weevely