文章总结： 本文系统梳理了HVV行动中常见攻击工具的流量特征，涵盖WebShell管理工具、C2框架、扫描器及各类漏洞利用手法。关键发现包括菜刀使用eval+base64编码、冰蝎采用动态AES加密、CobaltStrike存在规律心跳包等特征。可操作建议包括通过UA头、加密模式、端口规律等维度快速识别恶意流量，为防守方提供实战检测参考。 综合评分： 78 文章分类： 渗透测试,漏洞分析,安全工具,威胁情报,WEB安全

HVV常见流量特征总结

原创

临夏川 临夏川

临夏川

2026年5月4日 22:41 河南

在小说阅读器读本章

去阅读

 随着一年一度HVV行动的临近，流量分析作为防守方的核心技能，无论在面试考核还是日常实战中都至关重要。为此，我系统梳理了各类常见工具、漏洞及异常行为的流量特征，供大家参考备查：

一、WebShell 管理工具流量特征

1. 菜刀

payload特征：eval函数传递数据数据包流量特征：1.请求包中：UA头为百度、火狐2.请求体中存在eval，base64等特征字符3.请求传递的payload为base64编码，并且存在固定的一串字符

2. 蚁剑

默认的UA头为antsword一般将payload进行分段，分别进行base64加密每个请求体都以@ini_set("dispay_error","0")；开头，并且后面存在base64字符响应包返回格式为随机数，响应内容，随机数

3. 冰蝎

冰蝎 4.0

默认AES加密连接，随机16种UA头，请求体和返回体都是AES密文每次与目标主机连接使用端口在49700左右默认请求头和响应头会带有connection：keep-Alive字段有固定的请求头和响应头字节

冰蝎 3.0

分为两个阶段，分别是密钥交换阶段和加密通信阶段密钥交换阶段：MD5加密，返回16位的密钥加密通信阶段：base64加密，然后再AES或XOR加密user-agent：内置20多个请求包中content-length为5740或5720每个请求头都存在pragma：no-cache，cache-control：no-cache和Accpet的字段

冰蝎 2.0

AES+base64加密，jsp类型的webshell请求体为base64加密第一阶段请求的返回包状态码为200，返回内容必定为16位密钥accept字段很特殊，里面存在q=2

二、C2 / 后渗透框架

1. Cobalt Strike（CS）

AES + RSA 混合加密心跳包特征：间隔一段时间，均有通信，且上下行数据强度固定前期和中期更容易捕获心跳包特征字符：有自定义的UA头里面包含Cobalt Strike字符指令特征：下发指令时，服务端返回的包更长；指令完成后，请求体要经过加密和base64编码在请求的返回包中，通信数据均隐藏在jqeury*.js中。

CS流量解密

利用RSA私钥进行解密如果没有私钥，可以从进程内存dump转储文件和加密流量的捕获文件中提取AES密钥

2. Metasploit（MSF）

存在规律性的心跳包维持连接使用默认的4444端口作为反向连接端口；数据包中包含metepreter，revshell等特定字符

三、扫描器 / 自动化攻击工具

1. sqlmap

静态特征：

UA头：默认UA头有sqlmap及其版本的字样payload会有SQL语句和命令执行代码会有上传内存马的代码，还会有一段出现命令执行函数的代码

动态特征：

使用--os -shell成功写入命令马后，会有一个测试语句echo command execution test，在之后会判断当前操作系统会使用@@version_compile_os这个函数

2. AWVS（Acunetix）

请求包有acunetix wvs字段可能添加 X-Forwarded-For、X-Scanner等自定义头部字段Accept 头可能包含非常规的 MIME 类型组合

3. Nessus

请求包含有nessus特有字段某些 payload 有特定的格式或编码特征

4. FRP（隧道工具）

服务端通常使用 7000-7010/7500 端口，客户端使用 6000-6100 端口定期发送心跳包维持连接，具有固定间隔连接建立时发送包含详细版本等信息的 JSON 数据可能包含客户端主机名、操作系统、架构等敏感信息服务端响应会包含 run_id、server_udp_port等标识字段

四、漏洞利用流量特征

1. SQL注入

请求包请求体包含SQL语句或者命令执行或者经过大小写、双写、编码等处理的SQL语句响应包里可能会有数据库报错信息

2. XXE

请求特征：

URL后缀为 .ashx、.asmx、.svc等ASP.NET处理程序包含外部实体引用：<!ENTITY %&nbsp;xxe&nbsp;SYSTEM&nbsp;"file:///etc/passwd">可能使用参数实体：%xxe;或&nbsp;&xxe;

响应特征：

响应体为XML格式文档可能包含文件内容、目录列表或错误信息HTTP状态码通常为200，但可能因解析错误返回500

3. 文件上传

看请求体是否有上传webshell代码响应体是否有返回路径或者上传成功等如果响应体中有success等上传成功的字样或者该文件的访问记录，则说明webshell上传成功

4. XSS

看请求参数和请求体里是否有JS代码或者JS伪协议，以及一些编码变种

5. 命令执行

请求参数、请求头、请求体中是否包含恶意代码或者命令分隔符返回命令执行结果

6. Log4j2

包含JNDI注入payload及其变种主机一定会有一个rmi的恶意流量无回显判断是否成功：看主机是否加载恶意类，看受害主机有没有恶意回连，本地日志分析

7. Shiro

请求特征：

Cookie中包含 rememberMe字段rememberMe值为Base64编码的序列化数据可能使用AES-CBC加密（密钥硬编码问题）

漏洞利用特征：

rememberMe值异常长（包含恶意序列化数据）包含Java反序列化payload（CommonsCollections、CB等）可能使用URL编码或双重Base64编码

响应特征：

服务器返回Java反序列化异常可能设置 rememberMe=deleteMe的Cookie无回显时观察DNS/HTTP外连

8. Struts2

数据包中有OGNL表达式，一般在URL中会出现action？method=查看请求头、请求体是否存在命令执行代码查看响应体是否返回命令执行结果或者异常堆栈信息

9. Fastjson

@type函数会调用Java恶意类请求报文中看json格式的数据，看是否加载非常见Java类，看JNDI连接请求

10. WebLogic

路径包含 /wls-wsat/、/_async/、/ws_utc/包含Java序列化数据可能使用T3或IIOP协议包含恶意类加载代码会有命令执行的痕迹;上传的恶意文件会有编码加混淆;payload中包含加载的一些恶意类

11. ThinkPHP

URL路径包含ThinkPHP路由特征看是否有phpinfo()、system()、eval()等恶意函数，

五、异常行为类特征

1. 挖矿病毒

占用大量CPU和GPU资源，电脑变卡顿生成大量日志文件生成大量临时文件产生大量网络流量产生大量进程

2. 蠕虫

持续性的端口扫描特征较高的网络带宽占用产生大量漏洞利用的流量

3. 僵尸网络

CC通信特征，有心跳连接，与CC服务器保持频繁通信频繁快速更改域名或IP地址，客户端在短时间内产生大量NXDOMAIN响应使用不常用端口协议通信

文章内容仅限于交流学习；同时受限于个人经验，文中难免存在疏漏或不足之处，还望各位师傅不吝赐教、留言交流。

后续我会持续更新相关内容，同时我也整理了一份个人收集的Hvv资料，有需要的朋友欢迎后台私信交流。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：临夏川 临夏川 临夏川《HVV常见流量特征总结》