写在前面HVV干了也有一段时间了，感觉实际场景中的蓝队应急跟之前看文章学习的还是有挺大区别，果然真正去行动才能理解学到的知识如何运用。所以本着知是行之始 行是知之成的原则，重新整理了以前的蓝队笔记，加了些应急场景中的具体命令 流量分析蚁剑流量特征 请求体以 @ini_set("display_errors","0");@set_time_limit(0) 开头。 如果要对数据加密，那么必须将解码函数在请求体中一并发送，而解码函数没法加密，因此会直接暴露出来，比如能看见 base64_decode 这样的函数明文传输。 默认的 user-agent 请求头是 antsword xxx（可修改），比如：User-Agent: antSword/v2.1 。 蚁剑混淆加密后还有一个比较明显的特征，即为参数名大多以 _0x.....= 这种形式（下划线可替换为其他）所以，以 _0x 开头的参数名，后面为加密数据的数据包也可识别为蚁剑的流量特征。 冰蝎流量特征冰蝎 2.0 使用 AES 加密 + base64 编码。这个版本冰蝎发送加密的 websh ...