菜刀

使用了base64的方式加密了发送给“菜刀马”的指令，其中的两个关键payload z1和z2，这个名字是可变的

蚁剑

默认的USER-agent请求头 是 antsword xxx，但是 可以通过修改：/modules/request.js 文件中 请求UA绕过，现在版本已经自己修改const USER_AGENT = require(‘random-fake-useragent’);也可以看随机useragent访问同一个文件的频率

其中流量最中明显的特征为@ini_set(“display_errors”,“0”);这段代码基本是所有WebShell客户端链接PHP类WebShell都有的一种代码。一些敏感函数比如@str_rot13 chr(105) @ini_set 这种类型的。常规waf 可以拦截的很死

蚁剑混淆加密后还有一个比较明显的特征,即为参数名大多以“_0x……=”这种形式（下划线可替换），所以以_0x开头的参数名也很可能就是恶意流量

冰蝎

看包没有发现什么特征，但是可以发现它是POST请求的

1、Accept头有application/xhtml+xmlapplication/xmlapplication/signed-exchange属于弱特征（UA头的浏览器版本很老）

2、特征分析Content-Type: application/octet-stream 这是一个强特征查阅资料可知octet-stream的意思是，只能提交二进制，而且只能提交一个二进制，如果提交文件的话，只能提交一个文件,后台接收参数只能有一个，而且只能是流（或者字节数组）；很少使用

#冰蝎2特征：

默认Accept字段的值很特殊,而且每个阶段都一样冰蝎内置了十余种UserAgent ，每次连接 shell 会随机选择一个进行使用。但都是比较老的，r容易被检测到，但是可以在burp中修改ua头。

Content-Length: 16, 16就是冰蝎2连接的特征

#冰蝎3特征：

冰蝎3取消动态密钥获取，目前很多waf等设备都做了冰蝎2的流量特征分析，所以3取消了动态密 钥获取；php抓包看包没有发现什么特征，但是可以发现它是POST请求的

1）Accept头application/xhtml+xmlapplication/xmlapplication/signed- exchange属于弱特征

2）ua头该特征属于弱特征。通过burp可以修改,冰蝎3.0内置的默认16个userAgent都比较老。现实生活中很少有人使用，所以这个也可以作为waf规则特征

jsp抓包特征分析Content-Type: application/octet-stream 这是一个强特征查阅资料可知 octet-stream的意思是，只能提交二进制，而且只能提交一个二进制，如果提交文件的话，只能提交 一个文件,后台接收参数只能有一个，而且只能是流（或者字节数组）；很少使用。