文章总结： 文档记录了楚慧杯线下赛的流量分析过程，通过解析HTTP流量识别出蚁剑和冰蝎3.x恶意软件特征。关键发现包括定位冰蝎马绝对路径、通过解密蚁剑流量获取冰蝎密钥、使用自定义Python脚本解密响应数据找到flag，并发现黑客上传至/tmp目录的扫描器。可操作建议涉及基于流量特征识别Webshell及多层编码数据的解密方法。 综合评分： 74 文章分类： 漏洞分析,应急响应,WEB安全,恶意软件,实战经验

楚慧杯线下流量分析

原创

江思澄 江思澄

云晞科技Sec

2026年4月24日 23:43 湖北

在小说阅读器读本章

去阅读

楚慧杯线下流量分析

找到冰蝎马的绝对路径

过滤http流量可以看到主要来源是.shE11.php和behind.php

.shE11.php 疑似蚁剑的特征流量

behind.php 疑似是冰蝎3.x的流量特征

打开第一条behind.php流量，发现存在冰蝎马的绝对路径

找到冰蝎的key

设想冰蝎马可能是通过蚁剑连接上传的

蚁剑流量特性（通常会使用base64编码)，找到最后的base64密文，把开头两位去掉进行base64解密 就是黑客执行的命令了

接着向下翻流挨个解密蚁剑流量

30流解密发现冰蝎马的绝对路径，而且该流有一串疑似十六进制编码的字符

找到key

找到流量包中的flag

接下来开始解密冰蝎马的流量，拿flag只需解密响应体的加密数据。

还有一层base64编码，从解密的json数据上看疑似ls命令执行的结果

import sys, json, base64

if len(sys.argv) > 1:
raw = open(sys.argv[1], "r", encoding="utf-8").read()
else:
raw = sys.stdin.read()
data = json.loads(raw)

for idx, entry in enumerate(data, start=1):
name = base64.b64decode(entry["name"]).decode()
size_bytes = int(base64.b64decode(entry["size"]))
last_modified = base64.b64decode(entry["lastModified"]).decode()
perm = base64.b64decode(entry["perm"]).decode()
ftype = base64.b64decode(entry["type"]).decode()
print(f"{idx}. name={name}, type={ftype}, size={size_bytes} bytes, "
f"lastModified={last_modified}, perm={perm}")

接着向下解密，重复操作

在第39流 解密出flag

找到黑客上传至/tmp目录下的扫描器

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：云晞科技Sec 江思澄 江思澄《楚慧杯线下流量分析》