木马的连接密码是多少
黑客执行的第一个命令是什么
id
黑客读取了哪个文件的内容,提交文件绝对路径
/etc/passwd
黑客上传了什么文件到服务器,提交文件名
黑客上传的文件内容是什么
黑客下载了哪个文件,提交文件绝对路径
蚁剑流量特征总结
第一特征
蚁剑的请求包加密,返回包以明文形式传输
第二特征
http头中存在init_set字段并且content-type是urlencoded
蚁剑字段分析
可以看到一般在蚁剑的请求包中会出现如下情形
1=@init这一串是url编码,解码后是一串PHP代码,当我们发送此包到服务端,配合我们的木马,服务端实际执行了解密后的PHP代码,而下面的参数是真正的蚁剑载荷,也就是我们需要输入的命令
蚁剑截取了参数的字符串,并进行了base64解密