本文仅用于技术讨论与学习，利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者及本公众号不为此承担任何责任。

冰蝎3.0流量特征：

• 使用AES加密 + base64编码,取消了2.0的动态获取密钥，使用固定的连接密钥，AES加密的密钥为webshell连接密码的MD5的前16位， 默认连接密码是rebeyond，它的md5前16为是：e45e329feb5d925b

• 内置了十几个User-Agent头，每次请求时会随机选择其中的一个。因此当发现一个ip的请求头中的user-agent在频繁变换，就可能是冰蝎

• 3.0连接jsp的webshell的请求数据包中的content-type字段常见为application/octet-stream

题目下载地址：

https://gitee.com/fengerxi/large-set-of-ctf-flow-problems/blob/master/3.流量日志分析分类/3.冰蝎/2.冰蝎3.0_php流量/bx3.pcapng

老规矩筛选出http请求：

看到流量是AES加密的，但是没有协商过程，疑似冰蝎3，尝试使用默认密码解密，成功了：

对msg字段进行AES解密得到flag