菜刀流量特征分析(中国菜刀流量特征)

菜刀流量特征分析

一、 Webshell简介

webshell以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境，主要用于网站管理、服务器管理、权限管理等操作。使用方法简单，只需上传一个代码文件，通过网址访问，便可进行很多日常操作，极大地方便了使用者对网站和服务器的管理。正因如此，也有不安分守己的人将代码修改后当作后门程序使用，以达到控制网站服务器的目的。

二、 中国菜刀

中国菜刀（Chopper）是一款经典的网站管理工具，具有文件管理、数据库管理、虚拟终端等功能。

它的流量特征十分明显，现如今的安全设备基本上都可以识别到菜刀的流量。现在的菜刀基本都是在安全教学中使用。

github项目地址：https://github.com/raddyfiy/caidao-official-version

由于菜刀官方网站已关闭，现存的可能存在后门最好在虚拟机运行，上面项目已经进行了md5对比没有问题。

三、 菜刀webshell的流量特征

1. “eval”，eval函数用于执行传递的payload，这是必不可少的；

2. (base64_decode($_POST[z0]))将代码payload进行Base64解码，因为菜刀默认是使用Base64编码，以避免被检测；

3. &z0=QGluaV9zZXQ...，该部分是传递代码payload，此参数z0对应$_POST[z0]接收到的数据，该参数值是使用Base64编码的，所以可以利用base64解码可以看到代码明文。

4. 请求代码解密明文：