[二开]_哥斯拉-PHP流量特征修改

最新推荐文章于 2024-09-24 20:12:33 发布
最新推荐文章于 2024-09-24 20:12:33 发布
阅读量867 收藏 13
点赞数 16
文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52579508/article/details/139758813
版权

一. 说明

哥斯拉的流量特征很容易就会被杀软、EDR识别,修改哥斯拉的流量特征可以绕过EDR等杀毒软件。
本次二开是哥斯拉4.0.1。
原版地址:
https://github.com/BeichenDream/Godzilla/releases/tag/v4.0.1-godzilla
环境:IDEA、JAVA1.8

二. 反编译

反编译有三种方式。

  1. 在线反编译:
    https://www.decompiler.com/

  2. IDEA插件
    位于idea的根目录下的\plugins\java-decompiler\lib\java-decompiler.jar,命令如下:

    java -cp java-decompiler.jar org.jetbrains.java.decompiler.main.decompiler.ConsoleDecompiler -dgs=true godzilla.jar ./

    会重新生成一个jar,然后用解压工具解压就行了。

    注:该插件好像是需要最新的jdk才能跑成功,反正我1.8没成功,换成最新的Java就行了。

  3. 下载我的

    可以,但没必要。

三. 导入IDEA

开idea,新建项目,名称:R0_Godzilla,路径自定义:
f2c4c476fcf21fa97f11b93802dd404f.png

新建个lib,并把原版jar包拖进来,并运行一下,生成一个data.db,
再将反编译完的代码也拖进来,最终项目目录如下:
5fda16ff19d2213b5fda0d7c59b98e64.png

依赖关系建立
文件 —> 项目结构 —> 项目设置 —> 模块 —> 依赖

添加模块依赖:
f0e1575a310f01c77a2953b74620888f.png

添加工件:
文件 —> 项目结构 —> 项目设置 —> 工件:

添加jar:
3d19d6b152bea53895cca5b2ddec9443.png

选择主类,注意勾选:
6eb77b571a144b9fa49c128c14f55910.png

一路确定出去,基本环境就好了。

先试试能不能重新打包,简单的改个版本先。查找一下特定值:
0a4f372c8c8012340b3def2b1b79efb0.png

然后把该文件导入到src:
e58eba5c998948b3befa8b2cf7b17566.png

修改版本号:
ef3836244f4406c8b109e001299e3d27.png

成功了。

需改什么功能,直接去原来的反编译文件里吧啦,然后带目录结构的放到src里改叭改叭,运行就可以了。

但是发现有个校验:
4cf858bf173a2f60b02840f6d52cec57.png

应该没有改动到核心代码,所以校验通过了,这里可以规避校验:
ef01c550c27484fe9d467876409d4c2f.png

再次运行:
a92313ca40b06ed7124fe49e292228fc.png

未出现校验。

打个jar包看看:
构建 —> 构建工件
57d85da3591ef38b96f074569bc72174.png

搞定,运行:
9accec956211d3c8179b14ce2d6c20f8.png

至此,环境部署完成,可以愉快的魔改了。

四. 开始魔改

一个强特征,就是哥斯拉base64编码器的响应包,具有固定格式:
0be1312119c5be2ea008ae4003fb67d8.png

固定的前16位MD5头:

72a9c691ccdaab98

和固定的后16位MD5尾:

b4c4e1f6ddd2a488

跟进相关响应的代码查看:
4eebb369d553a55dd2b2eafeebd32e59.png

理一下代码逻辑,主要的返回特征就下面这些:
94d65306a7a8ad901900bed93eb59fef.png

所以这里改叭改叭,然后在哥斯拉解析的地方改叭改叭就差不多了。
把路径建好:
ae13b2d5d4648f7dcb38866c64579002.png

然后把原包里的evalxor的java和bin分别复制进去,改特征:
dfa77eaba0ca6b379dac67c96acfa43d.png

然后修改客户端对响应匹配的逻辑:
c4dfd46a5603ab1b010e976aa92d933e.png

最后修改一下包名,形成一个自己的加载器模式:
c3d249a49d25bcc2e33fd3aaccfaaeba.png

然后打包,抓个包瞅瞅,前后对比。
修改特征前:
07a259bfbb23412ca9d87a68204db004.png

修改特征后:
817c10e6aef25c1b917960a15ffc7e0d.png

基本上看不出哥斯拉流量特征了,再混入一些杂七杂八的无用参数基本能过人工甄别,这里只做个抛砖引玉,可以结合自己写的加解密算法来实现都是可以的,代码基本都是比较清晰的。

后续再改叭改叭。

五. END

本文参考艾总的文章:

https://mp.weixin.qq.com/s/ktXCzQrzthcde0PrKIA_vA

小龙_(
关注
哥斯拉v4.0流量解密
热爱学习,喜欢折腾!
10-09 2192
哥斯拉(Godzilla)是一款国内流行且优秀的红队 webshell 权限管理工具,使用 java 开发的可视化客户端,shell 支持 java、php、asp 环境,通信流量使用 AES 算法加密,具有文件管理、数据库操作、命令执行、内存马、隧道反弹等后门功能。
哥斯拉webshell管理工具二开秒过流量检测设备
Fly_鹏程万里
06-18 399
哥斯拉Webshell管理工具二次开发规避流量检测设备,目前测了国内两安全厂商的态感,连接和执行命令无告警,java,net,php 流量修改已经全部支持,以后还会集成一键免杀功能和一些插件 觉得好用的师傅点点star~(更新的动力!!!
探秘Z-Godzilla_ekp:哥斯拉Webshell的超强二开
gitblog_00023的博客
05-30 449
探秘Z-Godzilla_ekp:哥斯拉Webshell的超强二开版 项目地址:https://gitcode.com/kong030813/Z-Godzilla_ekp 项目介绍 Z-Godzilla_ekp是一个针对哥斯拉webshell的深度二次开发项目,旨在帮助网络安全专家们绕过流量检测设备,实现更隐蔽、更安全的远程控制。这个开源项目不仅提供了php、java、net三种语言流量修改支持...
Z-Godzilla_ekp -哥斯拉webshell管理工具二次开发规避流量检测设备
seoppg的博客
06-13 373
许多师傅提出市面上net webshell免杀工具较少,想隐匿流量却对默认生成的shell不会免杀,这里首先更新一下net的生成即免杀以及随机html(后续推出其他语言的免杀,最近很多攻防,还有学校的考试课,太忙了,师傅们体谅一下)生成webshell选择bypass1(尽量不要用默认密码密钥,安天的引擎只要你输入pass和key就报红,aspx的马报jspwebshell就很离谱。php 流量修改已经全部支持,以后还会集成一键免杀功能和一些插件 觉得好用的师傅点点star~(更新的动力!
Cobalt Strike流量特征分析
weixin_52741673的博客
07-21 5497
cobalt strike流量特征分析
剖析哥斯拉WebShell管理工具
Rockboy777的博客
09-15 483
本篇主要分析哥斯拉工具生成以及二开方面的内容。
流量分析】Godzilla分析
sinat_31884905的博客
08-29 5334
哥斯拉客户端使用JAVA语言编写,在默认的情况下,如果不修改User-Agent,User-Agent会类似于Java/1.8.0_121(具体什么版本取决于JDK环境版本)。但是哥斯拉支持自定义HTTP头部,这个默认特征是可以很容易去除的。Accept为text/html, image/gif, image/jpeg, *;q=.2, /;q=.2哥斯拉的作者应该还没有意识到,在请求包的Cookie中有一个非常致命的特征,最后的分号。
玄机应急响应哥斯拉4.0-流量分析
最新发布
Lucker_YYY的博客
09-24 562
ssh查看服务器history得到将/tmp/pam_unix.so复制到了/lib/x86_64-linux-gnu/security/pam_unix.so。将pam_unix.so文件下载下来ida打开分析查看函数pam_sm_authenticate 这个函数是用来控制认证的,pam后门常常放在这里。黑客留下后门的反连的IP和PORT是什么?黑客连接webshell时查询当前shell的权限是什么?黑客连接webshell后执行的第一条命令是什么?黑客通过什么漏洞进入服务器的(提交cve编号)
shiro 内存马_GitHub - Veraxy00/Shiro-EXP: Apache Shiro 反序列化漏洞检测与利用工具,一键注入内存马...
weixin_39961943的博客
01-30 1万+
项目介绍基于Apache Shiro反序列化漏洞进行利用链的探测,附内存马。利用时需要修改POST请求两处数据,分别为Header头RememberMe字段值和携带的data数据(由于payload设定,data中须指定名字为c的参数值)。探测到利用链后,根据提示,将屏幕输出的payload粘贴至POST请求Header头RememberMe字段处,至于data携带的数据,自行决策,本文文末附内存...
菜刀、冰蝎、蚁剑、哥斯拉流量特征
热门推荐
eternitymd的博客
04-29 2万+
菜刀流量特征(最开始是明文传输,后来采用base64加密):PHP类WebShell链接流量 如下图: 第一:“eval”,eval函数用于执行传递的攻击payload,这是必不可少的; 第二:(base64_decode($_POST[z0])),(base64_decode($_POST[z0]))将攻击payload进行Base64解码,因为菜刀默认是使用Base64编码,以避免被检测; 第三:&z0=QGluaV9zZXQ...,该部分是传递攻击payload,此参数z0对应$_
Godzilla.jar
08-31
哥斯拉-WEBshell管理工具,一个基于流量、HTTP全加密的webshell管理工具,在2020年8月份发布,原版MD5MD5 (Godzilla-t00ls.jar) = 14bcb18d33d3863c8b0468d6ef865b77 MD5 (Godzilla.jar) = eddea6ad7d52e4a93dea7a8e43e80099 下载记得核对!
哥斯拉4.0.1.rar
03-05
哥斯拉,好用的用后门软件
哥斯拉v4.0流量分析
热爱学习,喜欢折腾!
10-09 1175
哥斯拉(Godzilla)是一款国内流行且优秀的红队 webshell 权限管理工具,使用 java 开发的可视化客户端,shell 支持 java、php、asp 环境,通信流量使用 AES 算法加密,具有文件管理、数据库操作、命令执行、内存马、隧道反弹等后门功能。“pass=”起始。请求包较长 响应包为0一个tcp包里面有三个http。
实战分析某红队魔改哥斯拉Webshell
include_voidmain的博客
05-31 9959
声明 以下内容,来自先知社区的ga0weI作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,长白山攻防实验室以及文章作者不承担任何责任。 0x01 前言 前两天从某次演习中拿到了一个webshell样本,该webshell通信未产生相关任何告警,因此该样本在免杀以及bypass相关waf和ids设备上是非常值得学习的。 分析过程中不难发现其实这个就是一个魔改的Godzilla,其魔改的思路比较出奇,并且其免杀做的很到位。 为什么说这个webshell是魔改的哥斯
菜刀,蚁剑,冰蝎,哥斯拉流量特征
2301_76786857的博客
12-24 2541
菜刀,蚁剑,冰蝎,哥斯拉四大webshell工具的流量特征
攻防兼备:Godzilla使用指南及流量特征
qq_61553520的博客
04-12 1744
图形化界面,傻瓜式操作,进去逛一圈就会用了。哥斯拉作为一款webshell管理工具来说,功能强大,而且在一些可以实现命令执行,文件管理,网站打包,数据库管理等多种功能,功能强大。流量特征:在流量查杀方面几乎没有特征,默认的有一些弱特征,但不能作为查杀依据,稍微一修改就很难别识别,基本无解,只能查杀落地的shell。攻防礼盒:哥斯拉Godzilla Shell管理工具 - FreeBuf网络安全行业门户!!
Godzilla-流量特征
milu_Sec的博客
12-30 872
之后程序⽤处理过后的 base64GlobalCode.bin内容以及读取到的base64Code.bin 内容来分别替换shell.jsp⽂件中的{globalCode} 以 及 {code}字符, 替换成功后就会在⽤户指定的⽬录下⽣成真正的哥斯拉jsp版本的webshell⽂件。接着代码会调⽤ cryptionModel.init() 和 cryptionModel.check()先来到 init() ⽅法,这个⽅法会将属性state设置为true,以此通过 check() ⽅法的逻辑判断。
哥斯拉Godzilla使用中基于PHP的加密流量分析
zlloveyouforever的博客
02-23 2796
对webshell连接工具哥斯拉在连接过程中的简单流量分析。
冰蝎,蚁剑,哥斯拉的初步流量特征分析
w2vmany的博客
03-14 2974
默认的情况下,User-Agent会有类似于Java/1.8.0_121(具体取决于JDK环境版本)。但是哥斯拉可以自定义HTTP头,所以这个特征是容易去除的。
怎么修改哥斯拉流量特征
05-23
修改哥斯拉流量特征需要进行以下步骤: 1. 打开哥斯拉控制台并进入“配置”页面。 2. 找到“流量特征”选项并点击进入。 3. 在“流量特征”页面中,可以看到已经定义的流量特征列表。 4. 选择需要修改流量特征,并点击“编辑”按钮。 5. 在编辑页面中,可以修改流量特征的名称、类型、描述、规则等信息。 6. 修改完成后,点击“保存”按钮,保存修改后的流量特征。 需要注意的是,在修改流量特征时,需要确保修改后的规则与实际场景相符,否则可能会影响哥斯拉的检测效果。同时,也需要注意修改后的流量特征是否会影响哥斯拉的性能和稳定性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值