菜刀(Cknife)是一款廣泛使用的遠程管理工具,多用於網路攻擊和滲透測試中。它的流量特徵主要包括以下幾個方面:
HTTP協定通信:
控制命令和數據都通過POST請求傳輸。
請求體中存在`assert`, `eval`, `base64`等特徵字元。
請求體中傳遞的payload為base64編碼,並且存在固定的`@ini_set`等特徵。
加密方式:
使用base64的方式加密了傳送給「菜刀馬」的指令。
其中`z1`和`z2`是關鍵payload的名稱,這個名字是可變的。
數據包特徵:
請求包執行了`base64_decode`函式對`z1`進行base64後,經過`eval`函式執行命令。
回響包中給出上傳到www目錄下,對檔案進行查看。
其他特徵:
可以通過HTTP請求頭中的User-Agent、Referer等信息進行識別。
eval函式必不可少,有可能會被assert代替。
綜上所述,菜刀的流量特徵主要體現在HTTP協定通信、加密方式、數據包特徵以及其他一些細節上。通過分析這些特徵,可以有效地識別和防範使用菜刀進行的網路攻擊和滲透測試活動。