【护网蓝队】【初级监测】如何识别shell流量特征？_burp流量特征

冰蝎，哥斯拉流量特征
冰蝎：（AES对称加密）
①ACCEPT字段

冰蝎2.0版本默认Accept字段的值很特殊,而且每个阶段都一样，都是很长的一段

Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2

②攻击者通过GET方式请求服务器密钥，在url会有pass=（GET /hackable/uploads/shell.php?pass=300 HTTP/1.1），当我们输入命令的时候，请求方式会变成POST,cookie会存在pass=和PHPSessid=xxxx 

③请求中返回包的状态码是200，返回内容是16位的密钥

哥斯拉：（base64加密）
①用burp抓包。截取到特征发现请求都含有"pass="第一个包

②所有请求中的cookie字段最后面都存在；特征。

③请求ua头是以java/为主（User-Agent: Java/1.8.0_131）