【工具二开】魔改哥斯拉(二)

已于 2025-01-04 21:15:45 修改
阅读量489 收藏 10
点赞数 4
文章标签: 网络安全 web安全 java idea php
于 2025-01-04 21:04:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ggqiuhui/article/details/144934954
版权

修改响应体特征

哥斯拉响应体特征主要体现在base64模式的webshell连接上,以下是哥斯拉php、java、asp三种语言的webshell连接数据包截图,可以看到特征基本一致:md5+base64+md5

这里就拿PHP的xor_base64举例了,首先得看一下生成出来的webshell,发现输出语句

在源码中搜一下相应内容

找到bin文件,根据上级目录判断,这是webshell的模板文件,对照一下刚才的webshell,确定就是根据这个模板生成的

图片

依次点开shells下面的目录查看分析,cryptions目录就是webshell的生成逻辑所在

那么,接着找解析响应包的地方。看看与template目录同级的四个文件,根据名称判断Generate.java是生成webshell的,其它三个是加密器!

点开加密器,通读整个代码,发现处理请求和响应的地方:

下面第一张图,定义左右两边的数据,左边一个16位,右边一个16位

第二张图,定义一个findStr()方法,调用functions.subMiddleStr处理响应结果

问问GPT,大概意思就是截取两个16位MD5值之间的部分,作为结果再进行后续处理

为了不影响后续测试,我不去更改原加密器,新建一个加密器PhpXor_qh以及对应的bin文件base64_qh.bin(代码复制过来修改一下加密器名称)

打包运行看看,发现下拉菜单已经新增该加密器,没问题

首先,定义的地方改了,让它输出左右两边输出qiuhui、attack,这里仅仅举例,实战中当然要改得隐蔽一些!

其次,先不忙用新增的模板生成,先改之前的webshell看一下效果

打包,连接看看

连接没问题,看看响应包,已经成功修改

测试,功能正常

既然没问题,那再把生成模板改了,省得以后麻烦

上图改完还不行,还得关联加密器调用。先看最简单的eval那个一句话木马的bin文件是如何被调用的:

Generate就处理了原生的两个模板(一个raw,一个base64)

PhpEvalXor加密器自己处理自身的模板,里面有模板文件的加载

刚才新建的加密器,就能仿照PhpEvalXor的代码写了:注释掉原有的代码,写上自身需要的加载和替换

打包生成看看

图片

成功生成改好的webshell

连接看看,OK!

后续可以在webshell中输出一个html页面,起一定的迷惑作用

至此,响应体特征已改!

修改请求体特征

请求体这一块,不管是asp、php还是jsp,都是这种形式:

密码=base64加上url编码,示例:

pass=fL1tMGI4YTljMX78f8Wo%2FyhTV1QCWCn3LmDlfWRkKzUxH296TG6bPHo08BeXHfTCZnOcyoPZgMMpW9Ary73Yqik8I0YIvtiQRijMG0y92Jov6iXNyy3I8K3IjIu7TUgzw1H%2BzjU4YTk%3D

这一块怎么处理呢,看一下哥斯拉的功能,可以在其真实数据左右加一下内容进行伪装

测试一下,有点效果,至少比刚才光秃秃的强一些

那就在代码里固定一下,省的每次都要手动去加

打包测试,没问题

这个部分后续可改成json形式,见后面“更改数据交互方式”的内容

未完待续

仇辉攻防
关注
工具哥斯拉(三)
仇辉攻防的博客
01-04 338
工具/webshell工具/哥斯拉/哥斯拉
0x145 Webshell篇&冰蝎&打乱特征指纹&新增加密协议&过后门查杀&过流量识别
最新发布
m0_74048540的博客
02-25 928
本文探讨了恶意工具冰蝎和哥斯拉流量特征的过程。首先,通过抓包分析流量特征,修请求头和请求体以打乱原特征,增加加密算法以规避检测。冰蝎的涉及反编译数据包,分析流量特征及添加新加解密协议。相似地,哥斯拉过程同样包括反编译和修代码,以绕过hash校验并抓取流量特征。最终,针对生成的shell进行加密处理以增强隐蔽性,探讨了更为复杂的混淆技巧,为网络安全领域的技术研究提供了借鉴。
实战分析某红队哥斯拉Webshell
热门推荐
include_voidmain的博客
05-31 1万+
声明 以下内容,来自先知社区的ga0weI作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,长白山攻防实验室以及文章作者不承担任何责任。 0x01 前言 前两天从某次演习中拿到了一个webshell样本,该webshell通信未产生相关任何告警,因此该样本在免杀以及bypass相关waf和ids设备上是非常值得学习的。 分析过程中不难发现其实这个就是一个的Godzilla,其的思路比较出奇,并且其免杀做的很到位。 为什么说这个webshell是的哥斯
[]_哥斯拉-PHP流量特征修
qq_52579508的博客
05-09 1352
一. 说明哥斯拉的流量特征很容易就会被杀软、EDR识别,修哥斯拉的流量特征可以绕过EDR等杀毒软件。本次哥斯拉4.0.1。原版地址:https://github.com/BeichenDream/Godzilla/releases/tag/v4.0.1-godzilla环境:IDEAJAVA1.8. 反编译反编译有三种方式。在线反编译:https://www.decompiler.co...
【免杀】-哥斯拉(入门)
qq_55349490的博客
06-04 3707
我们都知道哥斯拉默认生成的shell是很容易被安全软件检测出来的。所以我们需要修shell生成逻辑,以达到免杀。除了修指纹外,我们还需要修数据包的加密方式,以及生成的shell以实现免杀的效果。我们知道,哥斯拉强大之处就在于它的插件功能。插件我们也可以尝试自己放插件。分析多个流量包可以发现哥斯拉有3个强特征。尝试搜索关键词搜索不到,发现是。
工具哥斯拉(一)
仇辉攻防的博客
01-04 575
工具/webshell工具/哥斯拉/哥斯拉
哥斯拉webshell管理工具秒过流量检测设备
Fly_鹏程万里
06-18 613
哥斯拉Webshell管理工具发规避流量检测设备,目前测了国内两安全厂商的态感,连接和执行命令无告警,java,net,php 流量修已经全部支持,以后还会集成一键免杀功能和一些插件 觉得好用的师傅点点star~(更新的动力!!!
探秘Z-Godzilla_ekp:哥斯拉Webshell的超强
gitblog_00023的博客
05-30 736
探秘Z-Godzilla_ekp:哥斯拉Webshell的超强版 去发现同类优质源项目:https://gitcode.com/ 项目介绍 Z-Godzilla_ekp是一个针对哥斯拉webshell的深度发项目,旨在帮助网络安全专家们绕过流量检测设备,实现更隐蔽、更安全的远程控制。这个源项目不仅提供了phpjava、net三种语言的流量修支持,还计划集成一键免杀功能和各种实用插...
剖析哥斯拉WebShell管理工具
MachineGunJoe666
09-15 527
本篇主要分析哥斯拉工具生成以及方面的内容。
哥斯拉解析
m0_62207482的博客
04-09 1176
5、还有一个地方需要注意的就是webshell连接,所以一般会设置长时间连接,所以connection这里会是keep-alive(弱特证)cookie这个值的地方有一个小特征,就是正常请求cookie最后结尾是没有分号的,而哥斯拉的cookie有分号。和请求体一样,请求响应体也分两个格式,如果请求体采用base64编码,响应体返回的也是base64编码的数据。数据包中会出现俩种形式的通讯数据base64加密和原始的raw请求体,都要进行解密后查看。全部类型的shell均过市面所有静态查杀。
攻击工具分析:哥斯拉(Godzilla)1
08-03
介绍的也差不多了,我们来分析看看他到底强在哪。加密模块分析分析脚本类型:PHP_XOR_base64具版本:3.031. 先进反编译,加密代码的位置位于:”sh
哥斯拉1.0_webshell管理_
09-30
webshell管理工具哥斯拉,适用于各种webshell管理
Godzilla:哥斯拉
03-17
哥斯拉 运行环境 JavaDynamicPayload-> jre5及以上 CShapDynamicPayload-> .net2.0及以上 PhpDynamicPayload-> php5.0及以上 简介 有效载荷以及加密器支持 哥斯拉内置了3种有效载荷以及6种加密器,6种支持脚本后缀,20个内置插件 JavaDynamicPayload JAVA_AES_BASE64 jsp jspx JAVA_AES_RAW jsp jspx CShapDynamicPayload CSHAP_AES_BASE64 aspx 阿姆斯 阿什克斯 JAVA_AES_RAW aspx 阿姆斯 阿什克斯 PhpDynamic有效载荷 PHP_XOR_BASE64 PHP PHP_XOR_RAW PHP Raw或Base64加密器区别 Raw:将加密后的数据直接发送或输出 Base
kingkong:解密哥斯拉webshell管理工具流量
04-16
kingkong 解密哥斯拉Godzilla-V2.96 webshell管理工具流量 目前只支持jsp类型的webshell流量解密 Usage 获取攻击者上传到服务器的webshell样本 获取wireshark之类的流量包,一般甲方有科来之类的全流量镜像设备,联系运维人员获取,这里以test.papng为例。 导出所有http对象,放置到文件夹 编辑kingkong.py脚本,找到#config这行,配置获取到的样本password、key,以及刚才的文件夹路径 py -2 kingkong.py Config #config #配置webshell的key key = '3c6e0b8a9c15224a' #配置webshell的password password = 'pass' #配置wireshark导出http对象的路径 filepath = '.' #配置是否为jsp+b
渗透干货分享:从0到1哥斯拉项目反编译初步搭建
xnxqwzy的博客
08-01 1314
今天上github搜索哥斯拉项目时,看到了有人发布了哥斯拉源码的项目。最初以为是哥斯拉作者发布了项目源码,点进这个项目一看,原来是反编译构建的哥斯拉源码。于是心血来潮,决定也对该哥斯拉3.0.3版本,也就是哥斯拉作者发布的最新版本进行反编译生成可运行的项目。0x02 构建pom.xml此次使用的环境:。项目地址如下:下载最新版的v3.0.3-godzilla将下载后的文件用jd-gui打
哥斯拉webshell免杀
2202_75361164的博客
11-28 532
许多师傅提出市面上net webshell免杀工具较少,想隐匿流量却对默认生成的shell不会免杀,这里首先更新一下net的生成即免杀以及随机html(后续推出其他语言的免杀)注:使用版本生成的webshell,用普通版本的哥斯拉是连不上的(选项中需要选择版本模式进行连接)直接生成webshell再用网上的工具或者自己的免杀方法进行免杀(后续可能会提供一键免杀的功能)这里注意:尽量不要用默认密码密钥,安天的引擎只要你输入pass和key就报红。2.去除响应包中md5前后16位匹配强特征。
红队攻防渗透技术实战流程:红队目标上线之免杀对抗-Webshell篇&哥斯拉&打乱特征指纹&新增后门混淆&过云查杀&过流量识别
HACKONE的博客
06-30 613
这下面的逻辑就是我们再使用模式PHP_XOR_RAW和 PHP_XOR_BASE64生成木马时,会先通过代码中的genenrate找到template模板下的木马文件。通过替换密钥和key后直接按照template模板下的木马生成wenshell,所以我们把原来木马的模板替换成免杀的模板后,替换密钥和key后可直接生成免杀马。setting是控制下面显示的界面 asseet是实现端口扫描的,php目录下的文件是界面的显示的东西。这里定义的生成类,就是要找template下的生成文件。
红队必备知识:哥斯拉流量以及模板生成
UUniversity的博客
12-19 263
这里可以很清楚的发现哥斯拉aspx脚本的处理流程:读取data-有无加解密-发送data,明白了这一点就可以直接上手。这是哥斯拉默认加密方法AES_RAW,加解密流程 读取data-AES解密-AES加密-发送data。data-解密-加密-data,其中javaAesRaw.java中的流程是加密-解密。其中的xc 也就是aes加密的密钥,就是哥斯拉pass+key的md5编码。unicode解密-base64解密-rc2解密。rc2加密-base64加密-unicode加密。
哥斯拉3.03: 先进的webshell工具介绍
资源摘要信息:"哥斯拉3.03"是一种被称为webshell的工具,它是一种黑客常用的攻击工具webshell这个名字来源于web(网络)和shell(外壳),它的主要功能是攻击者可以利用它远程控制服务器,就像操作自己的计算机...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值