哥斯拉Godzilla使用中基于PHP的加密流量分析

最新推荐文章于 2024-01-02 10:53:48 发布
最新推荐文章于 2024-01-02 10:53:48 发布
阅读量2.4k 收藏 14
点赞数 4
分类专栏: 流量分析 文章标签: 网络安全 数据分析 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zlloveyouforever/article/details/129189396
版权

哥斯拉Godzilla简介

据说是护网期间,各大厂商的waf不断在静态查杀、流量通信等方面对webshell进行拦截,众红队急需一款优秀的权限管理工具 , 虽说冰蝎3.0也不错 , 但是还是多多少少有一点bug的。于是@BeichenDream决定公开他所开发的一款shell权限管理工具,名为“哥斯拉”Godzilla。

相较于其他同类型工具的特点

  • 哥斯拉全部类型的shell均过市面所有静态查杀

  • 哥斯拉流量加密过市面全部流量waf

  • 哥斯拉的自带的插件是冰蝎、蚁剑不能比拟的

下载

github地址:https://github.com/BeichenDream/Godzilla/releases
实验过程

首先使用哥斯拉生成一个马

内容如下简单粗暴

设置好代理尝试添加连接

点击测试连接后会发起三个POST请求

第一个请求没有携带cookie,但是设置了session,在之后的数据包中都会携带该session

第一个请求中需要关注的key值如下:

将其利用解密脚本进行解密

解密原理:从pass=编码数据中提取数据,依次URL解码和base64解码,再与shell密钥(如上生成马时key的md5值前16位字符为3c6e0b8a9c15224a)按位异或即可得到原始请求数据。

见上,哥斯拉第一次连接shell时,将这些函数定义发送给服务器并存储在session中,后续的shell操作只需要发送函数名称以及对应的函数参数即可。包含run,bypass_open_basedir,formatParameter,evalFunc等二十多个功能函数,具备代码执行、文件操作、数据库操作等诸多功能。

如上是第二个请求,将其进行解密:

methodName\x02\x04\x00\x00\x00test  //请求内容
Ok   //返回内容

第2个POST请求实际上是向服务器提交了原始数据为methodName=test的加密数据,如果服务器返回值(解密后)为ok,则说明shell测试连接成功。

如上是第三个请求,和第二个请求略微不同。将其进行解密:

methodName\x02\x07\x00\x00\x00g_close
ok

第三个请求和第二个请求类似,是测试连接时弹出success点击确认才会发起的请求.

进入连接

进入连接时会发起三个POST请求,前两个类似与上述前两个请求

如上是进入连接时发起的第三个请求.将其进行解密:

methodName\x02\r\x00\x00\x00getBasicsInfo
OsInfo : Windows NT LAPTOP-V7JUK7HN 10.0 uild 19044 (Windows 10) AMD64\nCurrentUser : \xe5\xa5\xa5\xe7\x89\x9\xe6\x9\xc\xe7\x9a\x84\xe5\x0\x8f\xe6\x80\xaa\xe5\x85\xd\nREMOTE_ADDR : 127
.0.0.1\nREMOTE_PORT : 13365\nHTTP_X_FORWARDED_FOR : \nHTTP_CLIENT_IP : \nSERVER_ADDR : 127.0.0.1\nSERVER_NAME : 127.0.0.1\nSERVER_PORT : 80\ndisale_functions : \nOpen_asedir : \ntimezo
ne : Asia/Shanghai\nencode : \nextension_dir : D:\\phpstudy\\phpstudy_pro\\Extensions\\php\\php7.3.4nts\\ext\nsystempdir : C:\\WINDOWS/\ninclude_path : .;C:\\php\\pear\nDOCUMENT_ROOT :
 D:/phpstudy/phpstudy_pro/WWW\nPHP_SAPI : cgi-fcgi\nPHP_VERSION : 7.3.4\nPHP_INT_SIZE : 8\nProcessArch : x64\nPHP_OS : WINNT\ncanCallGzipDecode : 1\ncanCallGzipEncode : 1\nsession_name
 : PHPSESSID\nsession_save_path : D:\\phpstudy\\phpstudy_pro\\Extensions\\tmp\\tmp\nsession_save_handler : files\nsession_serialize_handler : php\nuser_ini_filename : .user.ini\nmemory
_limit : 256M\nupload_max_filesize : 100M\npost_max_size : 100M\nmax_execution_time : 0\nmax_input_time : 60\ndefault_socket_timeout : 60\nmygid : 0\nmypid : 19680\nSERVER_SOFTWAREypid
 : Apache/2.4.39 (Win64) OpenSSL/1.1.1 mod_fcgid/2.3.9a mod_log_rotate/1.02\nloaded_extensions : Core,cmath,calendar,ctype,date,filter,hash,iconv,json,SPL,pcre,readline,Reflection,sess
ion,standard,mysqlnd,tokenizer,zip,zli,lixml,dom,PDO,openssl,SimpleXML,xml,wddx,xmlreader,xmlwriter,cgi-fcgi,curl,fileinfo,gd,mstring,mysqli,Phar,pdo_mysql,pdo_sqlite\nshort_open_tag :
 true\nasp_tags : false\nsafe_mode : false\nCurrentDir : D:/phpstudy/phpstudy_pro/WWW/p/vul/unsafeupload/uploads\nFileRoot : C:/;D:/;F:/;\n

即请求报文为获取服务器基础信息的命令getBasicsInfo,返回包中是服务器的基础信息.

命令执行

如下在终端输入命令whoami

发起了单个请求如下:

将其解密:

稍微改进一下脚本:

cmdLineUcmd /c "cd /d "D:/phpstudy/phpstudy_pro/WWW/p/vul/unsafeupload/uploads/"&whoami"2>&1methodName
execCommand
laptop-v7juk7hn\\\x0\xc2\xcc\xd8\xc2\xfc\x5\xc4\xd0\xa1\x9\xd6\xca\xde\r\n

即在该路径下执行命令whoami。Cmdline创建一个命令行解析器,值是路径和具体命令,methodName参数的值为execCommand,即执行命令。返回内容即执行命令的回显,如上是存在webshell的服务器当前用户名laptop-v7juk7hn。

点击刷新

进行解密: 

methodNamegetFiledirName8D:/phpstudy/phpstudy_pro/WWW/p/vul/unsafeupload/uploads/
ok\nD:/phpstudy/phpstudy_pro/WWW/p/vul/unsafeupload/uploads//\nshell.php\t1\t2022-11-07 21:37:56\t30\tRW\n

methodName是参数,getFiledirName是一个方法,获取指定路径下的所有文件名,返回内容即ok,后接该路径下存在的文件以及当前时间。

上传文件

如下上传一个fscan工具:

发起单个请求如下:

由于数据过于庞大,所以请求数据没有进行解密。猜测key的内容就是这个工具的加密数据,返回包解密即为ok.

总结

哥斯拉的大部分操作都是单请求命令,例如文件管理中的文件浏览功能,命令执行功能,刷新功能等等。部分命令是多请求命令,例如通过插件实现的功能大部分都是多请求命令。

哥斯拉的流量特征

  • Cookie (强特征)

在请求包的Cookie中有一个非常致命的特征,最后的分号。标准的HTTP请求中最后一个Cookie的值是不应该出现;的,这个可以作为现阶段的一个辅助识别特征。

  • 响应体特征 (强特征)

从代码可以看到会把一个32位的md5字符串按照一半拆分,分别放在base64编码的数据的前后两部分。整个响应包的结构体征为:md5前十六位+base64+md5后十六位。

  • 连接特征(强特征)

请求1:发送一段固定代码(payload),返回内容为空;

请求2:发送一段固定代码(test),返回内容为固定字符串,如下

72a9c691ccdaab98fL1tMGI4YTljO/79NDQm7r9PZzBiOA==b4c4e1f6ddd2a488

解密后即为ok。如果连接失败返回内容为空,且不发起请求3;

请求3:发送一段固定代码(getBacisInfo),返回内容为固定字符串

补充:使用哥斯拉时点击测试连接会立即发起请求1和2,如果弹出success并点击确认会立即发起请求3,同理,测试结果失败则不会发起请求3并且请求2的返回内容为空。直接添加连接而不测试连接则不会发起任何请求,当进入连接或其他操作时会优先发起请求1和请求2,连接失败会提示初始化失败,不会发起请求3且请求2的返回内容为空。

  • 请求中Accept和响应中Cache-Control字段(弱特征)

所有请求中Accept: 

text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8

所有响应中Cache-Control: 

no-store, no-cache, must-revalidate

以上两个字段都可以修改,所以作为弱特征参考。

结语:文章原创作者是本人,只是先发布在公众号上,原始截图已经找不到了,希望大家体谅一下。同时欢迎大家关注公众号:星航安全实验室。

热爱画家夫人
关注
  • 4
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
30-1 webshell 流量分析 - 哥斯拉
weixin_43263566的博客
03-24 128
响应包:Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0。请求包:Accept-Language: zh-CN,zh;我这里的操作是在之前已经有链接的基础上,如果是刚创建就在这个地方设置代理。链接我直接用之前的,这里我就改一下代理。
哥斯拉v4.0流量分析
热爱学习,喜欢折腾!
10-09 950
哥斯拉(Godzilla)是一款国内流行且优秀的红队 webshell 权限管理工具,使用 java 开发的可视化客户端,shell 支持 java、php、asp 环境,通信流量使用 AES 算法加密,具有文件管理、数据库操作、命令执行、内存马、隧道反弹等后门功能。“pass=”起始。请求包较长 响应包为0一个tcp包里面有三个http。
渗透测试概念,分类及流程
m0_62207482的博客
12-09 448
14、 根据之前的扫描,得知靶机使用的是nginx,所以推测靶机的错误日志存放路径是/var/log/nginx/error.log,所以尝试在浏览器上进行访问。8、 发现有个名称可以的文件footer.php,对其进行访问,kali火狐,输入链接:192.168.10.136/footer.php,该文件内容恰好】是底部的年份信息。所以,操作时,需要注意php的版本。36、 在rootshell.c文件,第二行添加语句#include<unistd.h>,在文件的倒数第二行,删掉一个多余的NULL .
godzilla使用
m0_63510587的博客
11-26 2003
下载godzilla 链接:https://pan.baidu.com/s/1zqZ_1I-oqFY4HvJiAJzqgw 提取码:vwlc 新建一个文件夹将下载后的jar文件放进去 双击打开打开后会生成一个data.db文件 启动需要java环境 启动后进入以下界面 生成一句话木马 点击顶部菜单栏的管理,选择生成打开以下界面 设置密码、密钥、有效载荷、加密器点击生成,设置文件名为phpphp文件放入测试机的html目录下 回到godzilla...
完全解决蚁剑{“code“:“ECONNRESET“,“errno“:“ECONNRESET“,“syscall“:“read“}和哥斯拉连接fail的问题
最新发布
weixin_62843906的博客
01-02 1530
如果没有开系统代理 ,那就是wifi的问题,看看自己是否连接了公司的无线网或者是校园网,因为一般像这种企业级的wifi都会在顶部做一些防护手段来保证安全性,就比如说放置一些安全设备,这也是大家经常发现照着教程一步一步来的但是最后却总是失败的具体原因。但是蚁剑却连接不上,总是出现{"code":"ECONNRESET","errno":"ECONNRESET","syscall":"read"}这种报错,甚至离谱的是有时候明明已经连接上了但还是会出现这种错误。网上给出的解决办法大概率大多数都是不管用的。
kingkong:解密哥斯拉webshell管理工具流量
04-16
kingkong 解密哥斯拉Godzilla-V2.96 webshell管理工具流量 目前只支持jsp类型的webshell流量解密 Usage 获取攻击者上传到服务器的webshell样本 获取wireshark之类的流量包,一般甲方有科来之类的全流量镜像设备,联系运维人员获取,这里以test.papng为例。 导出所有http对象,放置到文件夹 编辑kingkong.py脚本,找到#config这行,配置获取到的样本password、key,以及刚才的文件夹路径 py -2 kingkong.py Config #config #配置webshell的key key = '3c6e0b8a9c15224a' #配置webshell的password password = 'pass' #配置wireshark导出http对象的路径 filepath = '.' #配置是否为jsp+b
(菜刀,蚁剑,冰蝎,哥斯拉)流量特征分析总结
weixin_54603520的博客
05-15 3820
在红蓝攻防的过程,webshell工具的流量特征分析一直时蓝队成员需要关注的重点。
初识哥斯拉流量
weixin_59343712的博客
07-11 535
到公司实习之后玩了玩应急响应平台流量监测平台,发现基于哥斯拉流量来进行上传攻击取得成功案例有多个,觉得有必要了解一下什么是哥斯拉流量,下面写一下对于哥斯拉流量的认识名叫“哥斯拉”的webshell管理工具,与冰蝎类似,哥斯拉也采用了加密流量通信来躲避WAF等安全设备的检测,另外该工具自带了一些插件模块,实现了写内存webshell、与Meterpreter联动、bypass open_basedir等功能。
攻击工具分析:哥斯拉(Godzilla)1
08-03
介绍的也差不多了,我们来分析看看他到底强在哪。加密模块分析分析脚本类型:PHP_XOR_base64具版本:3.031. 先进反编译,加密代码的位置位于:”sh
php 木马的分析(加密破解)
12-17
分析可以知道,此木马经过了base64进行了编码,然后进行压缩。虽然做了相关的保密措施,可是php代码要执行,其最终要生成php源代码,所以写出如下php程序对其进行解码,解压缩,写入文件。解码解压缩代码如下:复制...
Godzilla:哥斯拉
05-10
Godzilla 运行环境 JavaDynamicPayload -> jre1.0及以上 CShapDynamicPayload -> .net2.0及以上 PhpDynamicPayload -> php5.0及以上 简介 Payload以及加密器支持 哥斯拉内置了3种Payload以及6种加密器,6种支持脚本后缀,20个内置插件 JavaDynamicPayload JAVA_AES_BASE64 jsp jspx JAVA_AES_RAW jsp jspx CShapDynamicPayload CSHAP_AES_BASE64 aspx asmx ashx JAVA_AES_RAW aspx asmx ashx PhpDynamicPayload PHP_XOR_BASE64 php PHP_XOR_RAW php Raw or Base64 加密器区别 Raw : Raw是将加
哥斯拉流量特征已经检测思路
buffedon的博客
12-25 7031
哥斯拉流量特征已经检测思路WebShell上传特征WebShell通信特征1.User-Agent (弱特征)2.Accept(弱特征)3.Cookie (强特征)4.请求体特征 (较强特征)5.响应体特征 (强特征) 近日,网上发布了一款名为“哥斯拉”的webshell管理工具。与冰蝎类似,哥斯拉也采用了加密流量通信来躲避WAF等安全设备的检测,另外该工具自带了一些插件模块,实现了写内存webshell、与Meterpreter联动、bypass open_basedir等功能。由于哥斯拉实现了众多强大的
常见webshell工具流量特征分析(哥斯拉、冰蝎、蚁剑、菜刀)
weixin_45971758的博客
06-23 3009
message 是一段超极长的字符串,分析冰蝎请求PHP 代码,发现他就是 content 经过 base64 -> aes 加密后生成的,作用和请求的 content 一致都是绕过 $Content-Length。冰蝎与webshell建立连接的同时,javaw也与目的主机建立tcp连接,每次连接使用本地端口在49700左右,每连接一次,每建立一次新的连接,端口就依次增加。content:“浏览器版本”。流量解密过程: 解AES密钥为(连接密码的MD5的前16位) --> 解base64两次。
冰蝎、菜刀、蚁剑、哥斯拉流量特征
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
07-18 2420
菜刀,蚁剑,冰蝎,哥斯拉
哥斯拉v4.0流量解密
热爱学习,喜欢折腾!
10-09 1904
哥斯拉(Godzilla)是一款国内流行且优秀的红队 webshell 权限管理工具,使用 java 开发的可视化客户端,shell 支持 java、php、asp 环境,通信流量使用 AES 算法加密,具有文件管理、数据库操作、命令执行、内存马、隧道反弹等后门功能。
Webshell工具的流量特征分析(菜刀,蚁剑,冰蝎,哥斯拉
热门推荐
告白的博客
05-31 2万+
0x00 前言 使用各种的shell工具获取到目标权限,即可进行数据操作,今天来简要分析一下目前常使用的各类shell管理工具的流量特诊,帮助蓝队同学在风险识别上快速初值 0x01 国菜刀流量分析 0x02 ......
php操作数据流的加密解密
weixin_42195947的博客
05-04 207
一个经典的PHP加密解密算法 项目有时我们需要使用PHP将特定的信息进行加密,也就是通过加密算法生成一个加密字符串,这个加密后的字符串可以通过解密算法进行解密,便于程序对解密后的信息进行处理。 最常见的应用在用户登录以及一些API数据交换的场景。 最常见的应用在用户登录以及一些API数据交换的场景。 笔者收录了一些比较经典的PHP加密解密函数代码,分享给大家。加密解密原理一般都是通过一定的加密解密算法,将密钥加入到算法,最终得到加密解密结果。 1、非常给力的authcode加密函数,Discuz!经
攻击工具分析丨哥斯拉v4.0流量解密及特征流量提取
wangluoanquan111的博客
08-19 1188
哥斯拉是一款webshell权限管理工具,由java语言开发。它的特点有:全部类型的shell能绕过市面大部分的静态查杀、流量加密能绕过过市面绝大部分的流量Waf、Godzilla自带的插件是冰蝎、蚁剑不能比拟的。它能实现的功能除了传统的命令执行、文件管理、数据库管理之外,根据shell类型的不同还包括了:MSF联动、绕过OpenBasedir、ZIP压缩、ZIP解压、代码执行、绕过。
哥斯拉工具通讯流量(jsp_raw)
09-04
哥斯拉工具通讯流量(jsp_raw)是哥斯拉(Gozilla)安全工具的一种用于网络通信的流量类型。哥斯拉是一款用于网络安全测试和评估的开源工具,其目的是帮助系统管理员评估网络的安全性,发现网络的漏洞和风险。 在网络安全测试,通常需要模拟恶意攻击者的行为,以测试系统的抵御能力。哥斯拉工具则提供了各种类型的网络流量,其包括了jsp_raw流量类型。 jsp_raw是一种特定的网络通信流量,用于测试JSP(Java Server Pages)应用程序的安全性。JSP是一种动态网页技术,它使用Java代码嵌入在HTML,可用于生成动态内容。然而,由于JSP可执行Java代码,系统可能面临各种安全风险,例如远程命令执行、代码注入、会话劫持等。 通过使用哥斯拉工具的jsp_raw流量类型,系统管理员可以模拟恶意攻击者对JSP应用程序发起的各种攻击,以测试其安全性和鲁棒性。该流量类型可能包含了常见的攻击负载和恶意代码,例如尝试执行系统命令的代码、试图绕过输入验证的代码等。通过模拟这些攻击行为,系统管理员可以及时发现和修复潜在的漏洞,提高系统的安全性。 总之,哥斯拉工具的通讯流量类型之一,jsp_raw,用于模拟恶意攻击者对JSP应用程序的攻击,以评估其安全性和发现潜在的漏洞。它是网络安全测试的重要工具,有助于保护系统免受潜在的安全威胁。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值