菜刀🙏

1，请求包中：ua头为百度，火狐

2，请求体中存在eavl，base64等特征字符

3，请求体中传递的payload为base64编码，并且存在固定的

蚁剑👌

每个请求体都存在@ini_set(“display_errors”, “0”);@set_time_limit(0)开头。并且后面存在base64等字符

响应包的结果返回格式为：

随机数

响应内容

随机数

使用base64加密的payload，数据包存在以下base加密的eval命令执行，数据包的payload内容存在几个分段内容，分别都使用base加密，解密后可以看到相关的路径，命令等

响应包的结果返回格式为：

随机数

编码后的结果

随机数

ua头也有蚁剑字样

冰蝎👍

冰蝎2.0流量特征：

第一阶段请求中返回包状态码为200，返回内容必定是16位的密钥

请求包存在：Accept: text/html, image/gif, image/jpeg,

; q=.2, /; q=.2

建立连接后的cookie存在特征字符 所有请求 Cookie的格式都为: Cookie: PHPSESSID=; path=/；

**冰蝎3.0流量特征：
请求包中content-length 为5740或5720（可能会根据Java版本而改变）
每一个请求头中存在
Pragma: no-cache，Cache-Control: no-cache
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,/*;q=0.8,application/signed-exchange;v=b3;q=0.9**

哥斯拉❤️️

所有请求中Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,/;q=0.8
所有响应中Cache-Control: no-store, no-cache, must-revalidate,
同时在所有请求中Cookie中后面都存在；特征

啊哈哈，忘记之前在哪里整理的了，分享一下