冰蝎流量特征：

流量特征

1. 请求都通过POST传递但是没有参数，而且很长，请求和响应的内容都很混乱，熵值很高
2. 第二个响应包很大Content-Length: 236788，用于传输系统基本信息
3. base64异或加密默认密钥e45e329feb5d925b下有如下特征：TxcWR1NNExZAD0ZaAWMIPAZjH1BFBFtHThcJSlUXWEd 解密出来是{"status":"c3VjY2Vzcw==","msg":"
4. 一些header头中的弱特征（可以修改）：
   1. 请求：
      1. Accept: application/json, text/javascript, /; q=0.01
      2. Content-Type: application/octet-stream
      3. User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 11_2_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.114 Safari/537.36
   2. 响应：
      1. Pragma: no-cache
      2. Cache-Control: no-store, no-cache, must-revalidate

另外:冰蝎管理webshell管理方式是，通过加载器加载post输入流中的恶意类实现的，这也是请求包很大的原因。

webshell特征

php

1. e45e329feb5d925b
2. eval
3. Decrypt(file_get_contents("php://input"))

jsp

1. this.getClass().getClassLoader()).g(Decrypt(bos.toByteArray())).newInstance().equals(pageContext)
2. equals(pageContext)
3. e45e329feb5d925b

aspx

1. e45e329feb5d925b
2. System.Text.Encoding.UTF8.GetBytes(Convert.ToBase64String(aes.CreateEncryptor().TransformFinalBlock(data, 0, data.Length)));
3. 0x53,0x79,0x73,0x74,0x65,0x6d,0x2e,0x52,0x65,0x66,0x6c,0x65,0x63,0x74,0x69,0x6f,0x6e,0x2e,0x41,0x73,0x73,0x65,0x6d,0x62,0x6c,0x79