哥斯拉v4.0流量解密

已于 2022-10-09 19:43:03 修改
阅读量2.1k 收藏 2
点赞数 4
分类专栏: 安全工具流量分析 文章标签: php 服务器 安全
于 2022-10-09 19:40:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44281295/article/details/127232586
版权

目录

0x01 声明

0x02 协议解密思路:

PHP:

PHP_EVAL_XOR:

PHP_XOR:

PHP_XOR_RAW:

JAVA&AES:

JAVA_AES_BASE64:

JAVA_AES_RAW:

ASPXOR:

ASP_RAW:

ASP_BASE64:

ASP_EVAL_BASE64:

ASP_XOR_BAE64:

ASP_XOR_RAW:

CSHAPAES:

CSHAP_AES_BASE64:

CSHAP_AES_RAW:

CSHAP_EVALAES_BASE64:

CSHAP_ASMX_AES_BASE64:

0x03 解密实例:

0x01 声明

仅供学习参考使用,请勿用作违法用途,否则后果自负。

0x02 协议解密思路:

(大佬文章:)

https://mp.weixin.qq.com/s/Y7J6xIlwBfQj1KwML5UNVA

PHP:

PHP_EVAL_XOR:

请求体明文可执行代码+加密数据,

了解本专栏 订阅专栏 解锁全文 超级会员免费看
Kang_Sec
关注
专栏目录
订阅专栏
哥斯拉v4.0流量分析
热爱学习,喜欢折腾!
10-09 1165
哥斯拉(Godzilla)是一款国内流行且优秀的红队 webshell 权限管理工具,使用 java 开发的可视化客户端,shell 支持 java、php、asp 环境,通信流量使用 AES 算法加密,具有文件管理、数据库操作、命令执行、内存马、隧道反弹等后门功能。“pass=”起始。请求包较长 响应包为0一个tcp包里面有三个http。
蚁剑v4.0流量分析
热爱学习,喜欢折腾!
12-09 1035
中国蚁剑是一款开源的跨平台网站管理工具,它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员,中国蚁剑的核心代码模板均改自伟大的中国菜刀。
哥斯拉还原加密流量
热门推荐
u011250160的博客
09-28 1万+
感谢大佬的文章:哥斯拉Godzilla加密流量分析 首先在自己的网站上上传个马 设置好代理,方便burp抓包 注意以下为PHP_XOR_BASE64加密的数据包 一共抓到了三个包 第一个包 第二个包 第三个包 第一个包 Request解密脚本 <?php function encode($D,$K){ for($i=0;$i<strlen($D);$i++){ $c = $K[$i+1&15]; $D[$i] = $D[$i]^$c;
观成科技:某修改版哥斯拉Webshell流量分析
最新发布
GCKJ_0824的博客
06-26 655
这意味着,无论是通过增加请求参数数量来混淆请求,还是通过将响应体内容从HTML格式修改为JSON或JS等其他格式,都可以通过已知的加密特征对其进行识别和分析。利用哥斯拉Webshell工具进行的通信,攻击者可以对通信方式进行修改、混淆从而规避传统明文流量设备的检测,但是基于人工智能、流行为特征检测的加密威胁智能检测系统能够检测此类加密通信行为。哥斯拉Webshell还可以通过各种魔改,绕过流量检测设备,近期,观成安全研究团队获取了哥斯拉的某个修改版本,并对其进行了分析和研究。图3:响应体对比图,修改版右。
kingkong:解密哥斯拉webshell管理工具流量
04-16
kingkong 解密哥斯拉Godzilla-V2.96 webshell管理工具流量 目前只支持jsp类型的webshell流量解密 Usage 获取攻击者上传到服务器的webshell样本 获取wireshark之类的流量包,一般甲方有科来之类的全流量镜像设备,联系运维人员获取,这里以test.papng为例。 导出所有http对象,放置到文件夹 编辑kingkong.py脚本,找到#config这行,配置获取到的样本password、key,以及刚才的文件夹路径 py -2 kingkong.py Config #config #配置webshell的key key = '3c6e0b8a9c15224a' #配置webshell的password password = 'pass' #配置wireshark导出http对象的路径 filepath = '.' #配置是否为jsp+b
攻击工具分析丨哥斯拉v4.0流量解密及特征流量提取
2401_85023853的博客
06-19 1539
哥斯拉是一款webshell权限管理工具,由java语言开发。它的特点有:全部类型的shell能绕过市面大部分的静态查杀、流量加密能绕过过市面绝大部分的流量Waf、Godzilla自带的插件是冰蝎、蚁剑不能比拟的。
初识哥斯拉流量
weixin_59343712的博客
07-11 631
到公司实习之后玩了玩应急响应平台流量监测平台,发现基于哥斯拉流量来进行上传攻击取得成功案例有多个,觉得有必要了解一下什么是哥斯拉流量,下面写一下对于哥斯拉流量的认识名叫“哥斯拉”的webshell管理工具,与冰蝎类似,哥斯拉也采用了加密流量通信来躲避WAF等安全设备的检测,另外该工具自带了一些插件模块,实现了写内存webshell、与Meterpreter联动、bypass open_basedir等功能。
哥斯拉Godzilla使用中基于PHP的加密流量分析
zlloveyouforever的博客
02-23 2762
对webshell连接工具哥斯拉在连接过程中的简单流量分析。
(菜刀,蚁剑,冰蝎,哥斯拉流量特征分析总结
weixin_54603520的博客
05-15 4293
在红蓝攻防的过程中,webshell工具的流量特征分析一直时蓝队成员需要关注的重点。
流量分析----CTF
qq_50854662的博客
10-10 2364
流量分析----CTF
冰蝎、蚁剑、哥斯拉流量特征
qq_53218512的博客
06-11 4506
webshell管理工具,蚁剑、冰蝎哥斯拉流量特征
常见webshell工具流量特征分析(哥斯拉、冰蝎、蚁剑、菜刀)
weixin_45971758的博客
06-23 3619
message 是一段超极长的字符串,分析冰蝎请求中的 PHP 代码,发现他就是 content 经过 base64 -> aes 加密后生成的,作用和请求中的 content 一致都是绕过 $Content-Length。冰蝎与webshell建立连接的同时,javaw也与目的主机建立tcp连接,每次连接使用本地端口在49700左右,每连接一次,每建立一次新的连接,端口就依次增加。content:“浏览器版本”。流量解密过程: 解AES密钥为(连接密码的MD5的前16位) --> 解base64两次。
ctf流量分析学习
一大口木的博客
11-13 2131
链接:https://pan.baidu.com/s/1e3ZcfioIOmebbUs-xGRnUA?pwd=9jmc提取码:9jmc前几道比较简单,是经常见、常考到的类型。
第26篇:蓝队分析辅助工具箱V0.3发布,含shiro解密|cas解密|log4j2解密|冰蝎哥斯拉解密|端口连接分析等功能...
ABC_123的博客
10-13 1260
Part1 前言最近几年各种攻防演习比赛越来越多,网络攻击事件越来越频繁,各种加密变形的漏洞利用payload的出现,让蓝队分析难度也越来越高。在最近几年参加的几次蓝队分析工作中,我陆续写了各种各样的小工具,于是就把这些小工具集合起来,形成了这么一个“蓝队分析辅助工具箱”分享给大家使用,重点解决蓝队分析工作中的一些痛点,比如说让大家头疼的加密数据包解密问题,netstat -an无ip对应的国...
流量分析】Godzilla分析
sinat_31884905的博客
08-29 5216
哥斯拉客户端使用JAVA语言编写,在默认的情况下,如果不修改User-Agent,User-Agent会类似于Java/1.8.0_121(具体什么版本取决于JDK环境版本)。但是哥斯拉支持自定义HTTP头部,这个默认特征是可以很容易去除的。Accept为text/html, image/gif, image/jpeg, *;q=.2, /;q=.2哥斯拉的作者应该还没有意识到,在请求包的Cookie中有一个非常致命的特征,最后的分号。
攻击工具分析:哥斯拉(Godzilla)
wangluoanquan111的博客
08-19 1246
对,你没有看错,本期我们要研究的目标是哥斯拉。[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-oafeRjkq-1692333362279)(https://image.3001.net/images/20210709/1625812505_60e7ee19253ce63efdfc1.png!small)]不过,此哥斯拉非彼哥斯拉,他是继菜刀、蚁剑、冰蝎之后具有更多优点的Webshell管理工具,由java语言开发,如名称一样,他的“凶猛”之处主要体现在:
如何用哥斯拉判断流量类型
05-24
哥斯拉是一款网络流量分析工具,可以通过分析网络流量的特征来判断其类型。以下是一些常见的流量类型及其特征: 1. HTTP 流量:HTTP 流量通常使用 TCP 协议,源端口为 80 或 443,目的端口为任意。HTTP 流量还会包含 HTTP 请求和响应头部信息。 2. HTTPS 流量:HTTPS 流量使用 TLS 加密,源端口为 443,目的端口为任意。哥斯拉可以通过解密 TLS 流量来分析 HTTPS 流量的内容和特征。 3. DNS 流量:DNS 流量通常使用 UDP 协议,源端口和目的端口均为 53。DNS 流量还会包含域名查询请求和响应信息。 4. SMTP 流量:SMTP 流量通常使用 TCP 协议,源端口为 25,目的端口为任意。SMTP 流量还会包含邮件头和邮件正文信息。 5. FTP 流量:FTP 流量通常使用 TCP 协议,源端口为 20 或 21,目的端口为任意。FTP 流量还会包含 FTP 命令和数据传输信息。 哥斯拉可以通过上述特征来判断流量的类型,并进行相应的分析和处理。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Kang_Sec

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值