冰蝎与哥斯拉流量分析技术详解<\/h1>

1. 对称密码AES基础<\/h2>

1.1 AES基本概念<\/h3>

明文\/密文长度可选：128bit、192bit、256bit（常见128bit）<\/li>

密钥长度对应：AES-128、AES-192、AES-256<\/li> <\/ul>

1.2 分组密码工作模式<\/h3>

ECB模式（电子密码本）<\/strong>：<\/p>

相同密钥加密相同明文产生相同密文<\/li>
不需要初始向量(IV)<\/li>
安全性较低，不推荐使用<\/li> <\/ul> <\/li>

CBC模式（密码分组链接）<\/strong>：<\/p>

前一块密文与当前块明文异或后再加密<\/li>
需要初始化向量(IV)处理第一块数据<\/li>
更安全，解决了ECB的重复性问题<\/li> <\/ul> <\/li> <\/ol>
其他模式：CFB、OFB等（文中未详细讨论）<\/p>
2. 冰蝎流量分析<\/h2>
2.1 冰蝎3特性<\/h3>

加密方式：openssl_decrypt($post, "AES128", $key)<\/code><\/li>
OpenSSL默认使用AES-128-CBC模式<\/li>
解密时需要：使用CBC模式<\/li> 初始向量通常设为全0<\/li> <\/ul> <\/li> <\/ul> 2.2 冰蝎4特性<\/h3> 加密方式可选： aes<\/code>和aes_with_magic<\/code>：使用ECB模式<\/li> 其他非AES加密方式<\/li> <\/ul> <\/li> 新功能"传输协议"：可直接查看加解密函数<\/li> 提供加解密操作界面<\/li> <\/ul> <\/li> <\/ul> 2.3 冰蝎4特殊加密方式<\/h3> xor_base64<\/strong>：<\/p> 特征：流量中可见较短密文<\/li> 解密方法：使用冰蝎4传输协议直接解密<\/li> <\/ul> <\/li> xor<\/strong>：<\/p> 特征：流量中有大量字符<\/li> 解密方法：同样使用传输协议解密<\/li> <\/ul> <\/li> <\/ol> 3. 哥斯拉流量分析<\/h2> 3.1 JAVA_AES_BASE64<\/h3> 3.1.1 特征识别<\/h4> 密钥长度：16字节（128bit）<\/li> 密钥生成：md5(pass+xc)<\/code>，取完整MD5值<\/li> 返回包格式：前16位：MD5前16位<\/li> 密文主体<\/li> 后16位：MD5后16位<\/li> <\/ul> <\/li> <\/ol> 3.1.2 解密流程<\/h4> 请求包解密配方<\/strong>：<\/p> URL_Decode() From_Base64('A-Za-z0-9+\/=',true,false) AES_Decrypt({ 'option':'UTF8', 'string':'密钥' \/\/ 如3c6e0b8a9c15224a },{ 'option':'Hex', 'string':'' },'ECB','Raw','Raw',{ 'option':'Hex', 'string':'' },{ 'option':'Hex', 'string':'' }) Gunzip() <\/code><\/pre> <\/li> 响应包解密配方<\/strong>：<\/p> 先手动删除前16位和后16位<\/li> <\/ul> From_Base64('A-Za-z0-9+\/=',true,false) AES_Decrypt(...) \/\/ 同上 Gunzip() <\/code><\/pre> <\/li> <\/ol> 3.2 JAVA_AES_RAW<\/h3> 3.2.1 与BASE64区别<\/h4> 不需要去除前后16位<\/li> 密文为十六进制格式<\/li> <\/ul> 3.2.2 解密配方<\/h4> From_Hex('Auto') AES_Decrypt({ 'option':'UTF8', 'string':'密钥' \/\/ 如748007e861908c03 },{ 'option':'Hex', 'string':'' },'ECB','Raw','Raw',{ 'option':'Hex', 'string':'' },{ 'option':'Hex', 'string':'' }) Gunzip() <\/code><\/pre> 3.3 连接密码获取<\/h3> 密钥为密码MD5值的前16位<\/li> 示例：xc=748007e861908c03<\/code> → 密码MD5前16位<\/li> 解密后可得连接密码（如14mk3y）<\/li> <\/ul> 4. 实战技巧<\/h2> 4.1 端口扫描识别<\/h3> TCP SYN扫描特征<\/strong>：攻击者发送SYN包<\/li> 端口开放：返回SYN,ACK<\/li> 端口关闭：返回RST<\/li> 端口过滤：无响应<\/li> <\/ul> <\/li> 过滤命令：tcp.connection.synack<\/code><\/li> <\/ul> 4.2 WebShell操作识别<\/h3> 查找JSP文件：<\/p> 过滤HTTP流查找文件头（如压缩包）<\/li> 使用foremost提取文件<\/li> <\/ul> <\/li> 查找关键信息：<\/p> 过滤HTTP 200响应<\/li> 查找包含密钥的流量包<\/li> <\/ul> <\/li> <\/ol> 4.3 密钥爆破<\/h3> 当密钥无法直接找到时：<\/p> 冰蝎密钥生成规律：密钥 = 密码32位MD5值的前16位<\/li> <\/ul> <\/li> 爆破方法：猜测可能的密码<\/li> 计算MD5并取前16位作为测试密钥<\/li> 能成功解密即找到正确密码<\/li> <\/ul> <\/li> <\/ol> 5. 工具推荐<\/h2> CyberChef<\/strong>：用于加解密操作<\/li> B神工具<\/strong>：自动分析工具（B站账号：183379727）<\/li> <\/ul> 6. 总结流程图<\/h2> 开始 │ ├─ 识别加密类型 │ ├─ 冰蝎3：AES-128-CBC │ ├─ 冰蝎4：可选(ECB\/xor_base64等) │ └─ 哥斯拉：JAVA_AES_BASE64\/RAW │ ├─ 获取密钥 │ ├─ 直接查找 │ └─ 爆破获取(md5(pass)[:16]) │ ├─ 解密流程 │ ├─ BASE64：去头尾→Base64→AES→Gunzip │ └─ RAW：Hex→AES→Gunzip │ └─ 分析解密内容获取flag\/操作记录等关键信息 <\/code><\/pre> 通过掌握这些关键技术和流程，可以有效分析冰蝎和哥斯拉的流量，识别WebShell活动并获取攻击证据。<\/p>