【免杀】-哥斯拉魔改(入门)

最新推荐文章于 2024-10-03 08:30:00 发布
最新推荐文章于 2024-10-03 08:30:00 发布
阅读量2.7k 收藏 49
点赞数 65
文章标签: 网络安全 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55349490/article/details/139456396
版权

目录

魔改哥斯拉-JAR反编译打包构建

1、反编译Jar

在线反编译Java decompiler online / APK decompiler - Decompiler.com
IDEA反编译

java -cp IDEA_HOME/plugins/java-decompiler/lib/java-decompiler.jar org.jetbrains.java.decompiler.main.decompiler.ConsoleDecompiler -dgs=true <src.jar> <dest dir>
2、新建项目,lib文件夹,添加源码
  • idea新建一个项目。我这里取名为godzilla
    选择1.8的SDK
  • 在项目根目录里面新建一个lib文件夹,将原版的哥斯拉文件拖进去
  • 将反编译后的文件夹放到项目根目录
3、配置模块 工件
  • 添加godzilla.jar模块

  • 添加工件,选择主类

4、简单测试一下
  • 尝试修改上面的内容
  • 全局搜索
  • 修改并移动到原根
  • ctrl+f9 构建项目,然后构建工件
  • 运行查看效果
  • 显示hash校验失败。
关闭哈希效验

尝试搜索关键词搜索不到,发现是uinicode编码的问题,关键词被转换成了unicode编码

  • 修改配置unicode自动转换成中文
  • 如果修改后没有效果尝试下面的操作
    鼠标移动到unicode编码上,选择更多操作

    然后就可以找到关键点了
  • 我们将其中的代码注释掉即可
  • 再次尝试
    修改成功

魔改哥斯拉-防识别-打乱特征指纹

抓包获取流量特征
  • 先抓包看看哥斯拉原版的流量特征


    这里选择的是第一种加密

    这三种对应不同的数据包加密。
POST http://192.168.8.8/gsl.php HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:84.0) Gecko/20100101 Firefox/84.0
Cookie: PHPSESSID=it3umnh62e33lfvc8g9dpiq8gi;
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Host: 192.168.8.8
Content-type: application/x-www-form-urlencoded
Content-Length: 1277
Connection: close

pass=eval%28base64_decode%28strrev%28urldecode%28%27K0QfK0QfgACIgoQD9BCIgACIgACIK0wOpkXZrRCLhR...省略&key=DlMRWA1cL1gOVDc%2FMjRhVAZCJ1ERUQJKKl9TXQ%3D%3D
哥斯拉的三个强特征

分析多个流量包可以发现哥斯拉有3个强特征

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:84.0) Gecko/20100101 Firefox/84.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

除了这三个强特征,还有数据包的加密特征(3种默认加密对应三种不同的特征)

修改强特征
  • 全局搜索相关特征,修改相应的字段

    修改后

    重新构建工件查看效果
    发现失败了
  • 经过检验是发现修改的是添加而不是更新因为添加数据在前,更新数据在后,只添加不更改,等于没改
  • 修改更新函数的信息
    直接复制过来

    如果代码能力够好,还可以在这里实现实时变动,更加牛逼
  • 重新验证效果(这里要哥斯拉重新添加shell,否则可能不会更新)
    更新成功

魔改哥斯拉-防查杀-新增后门插件

除了修改指纹外,我们还需要修改数据包的加密方式,以及魔改生成的shell以实现免杀的效果。

1、获取shell生成逻辑

我们都知道哥斯拉默认生成的shell是很容易被安全软件检测出来的。所以我们需要修改shell生成逻辑,以达到免杀 。

  • 以魔改php的shell为例,其原版shell生成逻辑在这个位置
  • 其生成逻辑是根据其同目录下的template目录下的模板文件生成的

    也正确对应了哥斯拉生成的php三种加密器
2、修改shell生成逻辑
  • 由于本人代码能力有限,只能借组大佬的免杀shell生成工具来生成免杀shell。 这里采用的小刚大佬的免杀工具:GitHub - xiaogang000/XG_NTAI: 用于Webshell木马免杀、流量加密传输
  • 先复制原版哥斯拉生成出来的php后门到免杀工具里面生成加密后的免杀shell(这里选择的是第二种加密)
    不能用模板里面的代码直接取生成,要用它生成出来的shell去生成免杀shell

    注意:图中圈出的变量不能是数字开头否则会报错
  • 将生成出来的后门替换掉默认的模板后门
  • 编译看看效果
    哥斯拉生成第二种加密的php后门,可以发现成功更改了生成逻辑
  • 成功连接
  • 成功免杀
3、新增插件(表面)

我们知道,哥斯拉强大之处就在于它的插件功能。插件我们也可以尝试自己开放插件。

  • 插件目录
  • 这里我就先尝试复制里面的一个插件。只更改其名字,看能不能成功新增一个插件。(后续再修改功能)
    复制portsacn到同级目录取名portscan2

    修改name
  • 成功新增了一个一模一样的插件
4、新增插件(功能)
  • 插件的界面显示代码目录
  • 插件的功能实现代码目录
  • 总结:如果要实现新增自定义插件,需要修改三个地方。
    界面显示代码、功能实现代码、插件显示框代码
    对代码能力要求较高,我能力有限就不做了

更多玩法(进阶)

哥斯拉-流量分析OR流量隐藏OR免杀初探

遇到的问题

  1. 连接shell时显示initialloperation。。。
    查看网站后门是不是被删掉了
  2. 更新指纹后,抓包发现没有更新
    哥斯拉删除原来的shell重新添加shell再试
  3. shells目录下没有template文件夹
    解压原版的jar包,将里面的template文件夹放进来
为几何欢
关注
哥斯拉加密WebShell过杀软
悦分享
08-03 3030
哥斯拉是继菜刀、蚁剑、冰蝎之后具有更多优点的Webshell管理工具,由java语言开发,如名称一样,他的“凶猛”之处主要体现在:1、哥斯拉全部类型的shell均过市面所有静态查杀。2、静态免杀这个问题,要客观;工具放出来之后可能会免杀一段时间,后来就不行了,但是,改改代码还能继续过狗。重点还是要看流量加密和一些自带的插件。3、哥斯拉流量加密能过市面全部流量waf。4、哥斯拉的自带的插件是冰蝎、蚁剑不能比拟的。如此简单的操作界面,实际效果和功能可绝不简单。MSF联动。...
红队攻防渗透技术实战流程:红队目标上线之免杀对抗-Webshell篇&魔改哥斯拉&打乱特征指纹&新增后门混淆&过云查杀&过流量识别
HACKONE的博客
06-30 483
这下面的逻辑就是我们再使用模式PHP_XOR_RAW和 PHP_XOR_BASE64生成木马时,会先通过代码中的genenrate找到template模板下的木马文件。通过替换密钥和key后直接按照template模板下的木马生成wenshell,所以我们把原来木马的模板替换成免杀的模板后,替换密钥和key后可直接生成免杀马。setting是控制下面显示的界面 asseet是实现端口扫描的,php目录下的文件是界面的显示的东西。这里定义的生成类,就是要找template下的生成文件。
[二开]_哥斯拉-PHP流量特征修改
qq_52579508的博客
05-09 979
一. 说明哥斯拉的流量特征很容易就会被杀软、EDR识别,修改哥斯拉的流量特征可以绕过EDR等杀毒软件。本次二开是哥斯拉4.0.1。原版地址:https://github.com/BeichenDream/Godzilla/releases/tag/v4.0.1-godzilla环境:IDEA、JAVA1.8二. 反编译反编译有三种方式。在线反编译:https://www.decompiler.co...
.NET 一款支持哥斯拉免杀WebShell
最新发布
ahhacker86的专栏
10-03 314
Sharp4BypassGodzilla是一款哥斯拉服务端WebShell,具有很强的隐蔽性,可以绕过常见的安全检测和拦截机制。设计上采用HTML和JavaScript的组合,模仿正常的.NET文件结构,利用代码中的注释、Unicode编码以及一些不可见字符来实现绕过。
哥斯拉木马解析 + bypass 免杀代码分析+回调webshell
m0_64180167的博客
12-28 3073
这里也是跟着大佬走的这里首先我是去看了看bypass 学习一下然后我们就可以发现对比我这里将混淆什么的都去掉下面是原版的哥斯拉能发现 确实通过特殊的编码和对字符串的处理,实现bypass落地的时候确实火绒扫不出来我们将两种放到 阿里云中查看一下可以发现已经被识别到了(肯定是被抓特征了)这里我们首先就开始分析一下哥斯拉的php木马类别是 php xor base64这里是基本的代码查看 这里有些是我自己加上去进行判断的这里给出一下大致流程顺便给出session的解释。
哥斯拉jsp/jspx免杀webshell生成器
潇湘信安的博客
07-19 1250
本工具是根据“那些牛马那些事儿”一文中的本质马部分写的一个哥斯拉java类型webshell生成工具,已测试可过:360、火绒、D盾,其他的自己去测下。
webshell免杀项目-ByPassGodzilla(一)
siu~
08-09 844
哥斯拉WebShell免杀生成工具。
.NET最新漏洞 | 某SLMS系统存在SQL注入
ahhacker86的专栏
06-03 533
此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他方面。
实战分析某红队魔改哥斯拉Webshell
热门推荐
include_voidmain的博客
05-31 1万+
声明 以下内容,来自先知社区的ga0weI作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,长白山攻防实验室以及文章作者不承担任何责任。 0x01 前言 前两天从某次演习中拿到了一个webshell样本,该webshell通信未产生相关任何告警,因此该样本在免杀以及bypass相关waf和ids设备上是非常值得学习的。 分析过程中不难发现其实这个就是一个魔改的Godzilla,其魔改的思路比较出奇,并且其免杀做的很到位。 为什么说这个webshell是魔改的哥斯
强大的webshell管理工具-哥斯拉
12-27
标题中的“强大的webshell管理工具-哥斯拉”指的是一个名为“哥斯拉”的软件工具,它是专门设计用于管理和控制Webshell的。Webshell是一种在Web服务器上运行的后门程序,通常由黑客植入,以远程控制服务器或执行恶意...
玄机应急响应哥斯拉4.0-流量分析
Lucker_YYY的博客
09-24 764
ssh查看服务器history得到将/tmp/pam_unix.so复制到了/lib/x86_64-linux-gnu/security/pam_unix.so。将pam_unix.so文件下载下来ida打开分析查看函数pam_sm_authenticate 这个函数是用来控制认证的,pam后门常常放在这里。黑客留下后门的反连的IP和PORT是什么?黑客连接webshell时查询当前shell的权限是什么?黑客连接webshell后执行的第一条命令是什么?黑客通过什么漏洞进入服务器的(提交cve编号)
Godzilla:哥斯拉
03-17
哥斯拉 运行环境 JavaDynamicPayload-> jre5及以上 CShapDynamicPayload-> .net2.0及以上 PhpDynamicPayload-> php5.0及以上 简介 有效载荷以及加密器支持 哥斯拉内置了3种有效载荷以及6种加密器,6种支持脚本后缀,20个内置插件 JavaDynamicPayload JAVA_AES_BASE64 jsp jspx JAVA_AES_RAW jsp jspx CShapDynamicPayload CSHAP_AES_BASE64 aspx 阿姆斯 阿什克斯 JAVA_AES_RAW aspx 阿姆斯 阿什克斯 PhpDynamic有效载荷 PHP_XOR_BASE64 PHP PHP_XOR_RAW PHP Raw或Base64加密器区别 Raw:将加密后的数据直接发送或输出 Base
哥斯拉1.0_webshell管理_
09-30
webshell管理工具哥斯拉,适用于各种webshell管理
红队攻防渗透技术实战流程:红队目标上线之免杀对抗-Webshell篇&静态查杀&行为拦截&流量监控&代码混淆&内存加载&工具魔改
HACKONE的博客
05-27 407
上面的实验代表了webshell查杀的几个特征:表面代码只能解决代码表面的查杀操作行为哥斯拉执行命令无提示antsword执行命分有提示哥斯拉执行命令无提示但是执行net user 有提示antsword执行命分有提示工具指纹源码魔改(指纹打乱,调用逻辑(行为绕过))对抗:流量产品 和 杀毒产品换冷内工具(自己写的工具)让产品没来得及集成这个工具的检测导致绕过(特征库)
一些免杀工具
5L2g556F5ZWl77yf
11-07 3425
一些免杀工具,shellcode免杀webshell免杀
手把手全套过狗(附tamper和哥斯拉免杀
mingyqf的博客
04-20 677
本文转自:先知社区 原文链接:手把手全套过狗(附tamper和哥斯拉免杀马) - 先知社区 (aliyun.com) 手把手全套过狗(附tamper和哥斯拉免杀马) lushun丶 / 2020-10-19 09:53:25 / 浏览数 12164 安全技术 众测渗透[顶(3)](javascript:) [踩(0)](javascript:) 本问主要介绍过绕过安全狗的注入以及上传方法,内容偏新手,大佬勿喷。。 知识点介绍 开始先将本文所使用到的绕过方法知识点列出来 1.内联注释绕过 在mysql的语法
.NET 分享一款免杀哥斯拉WebShell
ahhacker86的专栏
05-17 397
为了更好地应对基于.NET技术栈的风险识别和未知威胁,dotNet安全矩阵星球从创建以来一直聚焦于.NET领域的安全攻防技术,定位于高质量安全攻防星球社区,也得到了许多师傅们的支持和信任,通过星球深度连接入圈的师傅们,一起推动.NET安全高质量的向前发展。目前dot.Net安全矩阵星球已成为中国.NET安全领域最知名、最活跃的技术知识库之一,从.NET Framework到.NET Core,从Web应用到PC端软件应用,无论您是初学者还是经验丰富的开发人员,都能在这里找到对应的安全指南和最佳实践。
探秘Z-Godzilla_ekp:哥斯拉Webshell的超强二开版
gitblog_00023的博客
05-30 562
探秘Z-Godzilla_ekp:哥斯拉Webshell的超强二开版 去发现同类优质开源项目:https://gitcode.com/ 项目介绍 Z-Godzilla_ekp是一个针对哥斯拉webshell的深度二次开发项目,旨在帮助网络安全专家们绕过流量检测设备,实现更隐蔽、更安全的远程控制。这个开源项目不仅提供了php、java、net三种语言的流量修改支持,还计划集成一键免杀功能和各种实用插...
渗透干货分享:从0到1哥斯拉项目反编译初步搭建
xnxqwzy的博客
08-01 1171
今天上github搜索哥斯拉项目时,看到了有人发布了哥斯拉源码的项目。最初以为是哥斯拉作者发布了项目源码,点进这个项目一看,原来是反编译构建的哥斯拉源码。于是心血来潮,决定也对该哥斯拉3.0.3版本,也就是哥斯拉作者发布的最新版本进行反编译生成可运行的项目。0x02 构建pom.xml此次使用的环境:。项目地址如下:下载最新版的v3.0.3-godzilla将下载后的文件用jd-gui打开。
python画图哥斯拉
03-17
Python中可以使用多种库来进行图形绘制,比如Matplotlib、Seaborn和Plotly等。如果你想要画一幅哥斯拉的图像,可以使用Matplotlib库来实现。 首先,你需要安装Matplotlib库。可以使用以下命令来安装: ``` pip install matplotlib ``` 接下来,你可以使用以下代码来画一幅哥斯拉的图像: ```python import matplotlib.pyplot as plt import matplotlib.image as mpimg # 读取哥斯拉的图像文件 img = mpimg.imread('godzilla.jpg') # 显示图像 plt.imshow(img) plt.axis('off') # 关闭坐标轴 plt.show() ``` 在上述代码中,我们使用了`mpimg.imread()`函数来读取哥斯拉的图像文件,并使用`plt.imshow()`函数来显示图像。`plt.axis('off')`用于关闭坐标轴的显示。最后,使用`plt.show()`函数来展示图像。 请注意,你需要将代码中的'godzilla.jpg'替换为你自己的哥斯拉图像文件路径。
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值