哥斯拉v4.0流量分析

已于 2022-10-09 19:55:29 修改
阅读量1.2k 收藏 1
点赞数 3
分类专栏: 安全工具流量分析 文章标签: java 开发语言 web安全
于 2022-10-09 19:33:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44281295/article/details/127232512
版权
本文介绍了哥斯拉(Godzilla)这款基于Java开发的红队Webshell管理工具,详细讲解了环境搭建、payload生成、流量分析及解密的过程,包括Web站点设置、连接命令及流量特征等内容。
摘要由CSDN通过智能技术生成

目录

0x01声明:

0x02简介:

0x03环境搭建:

Web站点:

Godzilla:

项目地址:

生成攻击payload:

连接:

0x04流量分析:

特征总结:

连接过程请求体:

连接过程响应体:

命令执行过程请求体:

命令执行过程响应体:

0x05流量解密:

0x01声明:

仅供学习参考使用,请勿用作违法用途,否则后果自负。

0x02简介:

哥斯拉(Godzilla)是一款国内流行且优秀的红队 webshell 权限管理工具,使用 java 开发的可视化客户端,shell 支持 java、php、asp 环境,通信流量使用 AES 算法加密,具有文件管理、数据库操作、命令执行、内存马、隧道反弹等后门功能。

0x03环境搭建:

了解本专栏 订阅专栏 解锁全文 超级会员免费看
Kang_Sec
关注
专栏目录
订阅专栏
30-1 webshell 流量分析 - 哥斯拉
weixin_43263566的博客
03-24 307
响应包:Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0。请求包:Accept-Language: zh-CN,zh;我这里的操作是在之前已经有链接的基础上,如果是刚创建就在这个地方设置代理。链接我直接用之前的,这里我就改一下代理。
哥斯拉v4.0流量解密
热爱学习,喜欢折腾!
10-09 2258
哥斯拉(Godzilla)是一款国内流行且优秀的红队 webshell 权限管理工具,使用 java 开发的可视化客户端,shell 支持 java、php、asp 环境,通信流量使用 AES 算法加密,具有文件管理、数据库操作、命令执行、内存马、隧道反弹等后门功能。
哥斯拉Godzilla使用中基于PHP的加密流量分析
zlloveyouforever的博客
02-23 2890
webshell连接工具哥斯拉在连接过程中的简单流量分析
玄机--哥斯拉流量
m0_75046593的博客
09-23 444
黑客通过tomcat的PUT任意文件上传漏洞实现哥斯拉木马的上传,之后使用哥斯拉连接木马实现命令执行,通过执行命令实现权限的持久化。
流量分析-哥斯拉
mrx56的博客
08-04 674
所以特征也类似,除了raw形式传输的类型弱特征:pass字段、Accept字段、UA、以based64传输数据(若选择raw方式则不会有此特征)强特征:1.首次请求的固定三个数据包,不论哪种类型的shell哥斯拉在刚开始都会发起这三个请求。(第一个请求包数据很大,响应包空并设置sessionid;第二个与第三个请求都会携带cookie且有响应数据);2.cookie后分号;
哥斯拉流量特征已经检测思路
buffedon的博客
12-25 7762
哥斯拉流量特征已经检测思路WebShell上传特征WebShell通信特征1.User-Agent (弱特征)2.Accept(弱特征)3.Cookie (强特征)4.请求体特征 (较强特征)5.响应体特征 (强特征) 近日,网上发布了一款名为“哥斯拉”的webshell管理工具。与冰蝎类似,哥斯拉也采用了加密流量通信来躲避WAF等安全设备的检测,另外该工具自带了一些插件模块,实现了写内存webshell、与Meterpreter联动、bypass open_basedir等功能。由于哥斯拉实现了众多强大的
(菜刀,蚁剑,冰蝎,哥斯拉)流量特征分析总结
weixin_54603520的博客
05-15 4482
在红蓝攻防的过程中,webshell工具的流量特征分析一直时蓝队成员需要关注的重点。
玄机应急响应哥斯拉4.0-流量分析
Lucker_YYY的博客
09-24 705
ssh查看服务器history得到将/tmp/pam_unix.so复制到了/lib/x86_64-linux-gnu/security/pam_unix.so。将pam_unix.so文件下载下来ida打开分析查看函数pam_sm_authenticate 这个函数是用来控制认证的,pam后门常常放在这里。黑客留下后门的反连的IP和PORT是什么?黑客连接webshell时查询当前shell的权限是什么?黑客连接webshell后执行的第一条命令是什么?黑客通过什么漏洞进入服务器的(提交cve编号)
蚁剑v4.0流量分析
热爱学习,喜欢折腾!
12-09 1068
中国蚁剑是一款开源的跨平台网站管理工具,它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员,中国蚁剑的核心代码模板均改自伟大的中国菜刀。
哥斯拉4.0.1.rar
03-05
哥斯拉,好用的用后门软件
攻击工具分析丨哥斯拉v4.0流量解密及特征流量提取
2401_85023853的博客
06-19 1884
哥斯拉是一款webshell权限管理工具,由java语言开发。它的特点有:全部类型的shell能绕过市面大部分的静态查杀、流量加密能绕过过市面绝大部分的流量Waf、Godzilla自带的插件是冰蝎、蚁剑不能比拟的。
kingkong:解密哥斯拉webshell管理工具流量
04-16
kingkong 解密哥斯拉Godzilla-V2.96 webshell管理工具流量 目前只支持jsp类型的webshell流量解密 Usage 获取攻击者上传到服务器的webshell样本 获取wireshark之类的流量包,一般甲方有科来之类的全流量镜像设备,联系运维人员获取,这里以test.papng为例。 导出所有http对象,放置到文件夹 编辑kingkong.py脚本,找到#config这行,配置获取到的样本password、key,以及刚才的文件夹路径 py -2 kingkong.py Config #config #配置webshell的key key = '3c6e0b8a9c15224a' #配置webshell的password password = 'pass' #配置wireshark导出http对象的路径 filepath = '.' #配置是否为jsp+b
蚁剑、冰蝎、哥斯拉流量特征分析
yggcwhat
08-19 487
冰蝎4.0就变了、是自定义传输协议的、因为传输的内容含有key:vule 这样的json字符串、所以如果是默认key的情况下(默认时,所有冰蝎4.0 webshell都有“e45e329feb5d925b” 一串密钥。冰蝎3.0变了、变成固定秘钥了、变成默认的秘钥rebeyond了、但是也可以改的、并且秘钥是拿MD5(rebeyond)的MD5值的前16位作为AES的秘钥进行加密再base64传输、特征的话就是每次请求都是不同的Accept、如果发现同一ip多次不同Accept就可能有问题了、
玄机——第六章-哥斯拉4.0流量分析 wp
最新发布
焦虑的焦虑
09-30 2732
第六章-哥斯拉4.0流量分析
常见webshell工具流量特征分析(哥斯拉、冰蝎、蚁剑、菜刀)
weixin_45971758的博客
06-23 3741
message 是一段超极长的字符串,分析冰蝎请求中的 PHP 代码,发现他就是 content 经过 base64 -> aes 加密后生成的,作用和请求中的 content 一致都是绕过 $Content-Length。冰蝎与webshell建立连接的同时,javaw也与目的主机建立tcp连接,每次连接使用本地端口在49700左右,每连接一次,每建立一次新的连接,端口就依次增加。content:“浏览器版本”。流量解密过程: 解AES密钥为(连接密码的MD5的前16位) --> 解base64两次。
冰蝎、菜刀、蚁剑、哥斯拉流量特征
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
07-18 3028
菜刀,蚁剑,冰蝎,哥斯拉
Webshell工具的流量特征分析(菜刀,蚁剑,冰蝎,哥斯拉
热门推荐
告白的博客
05-31 2万+
0x00 前言 使用各种的shell工具获取到目标权限,即可进行数据操作,今天来简要分析一下目前常使用的各类shell管理工具的流量特诊,帮助蓝队同学在风险识别上快速初值 0x01 中国菜刀流量分析 0x02 ......
冰蝎,蚁剑,哥斯拉的初步流量特征分析
w2vmany的博客
03-14 3067
默认的情况下,User-Agent会有类似于Java/1.8.0_121(具体取决于JDK环境版本)。但是哥斯拉可以自定义HTTP头,所以这个特征是容易去除的。
如何用哥斯拉判断流量类型
05-24
哥斯拉是一款流量分析工具,可以根据流量的不同特征来判断流量类型。以下是一些常见的流量类型及其特征: ...通过分析流量的源地址、目的地址、端口、协议以及数据包大小等特征,哥斯拉可以判断流量类型。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Kang_Sec

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值