专栏名称: 红队蓝军
一群热爱网络安全的人,知其黑,守其白。不限于红蓝对抗,web,内网,二进制。
今天看啥  ›  专栏  ›  红队蓝军

webshell工具--Godzilla加密流量分析

红队蓝军  · 公众号  ·  · 2024-10-14 18:00
    

主要观点总结

哥斯拉(Godzilla)是一款由Java开发的Webshell管理工具,支持多种类型的Webshell和通信流量加密。

关键观点总结

关键观点1: 主要功能与支持环境

哥斯拉支持多种载荷,如jsp、php、aspx等。PHP使用异或加密,java和c#的载荷原生实现AES加密。主要功能包括MSF联动、绕过OpenBasedir、ZIP压缩与解压、代码执行、绕过DisableFunctions、Mimikatz、读取服务器配置信息、虚拟终端连接、Windows权限提升等。

关键观点2: 流量特征

哥斯拉的流量特征包括Accept字段(弱特征)、JDK引入的特征、Cookie中的特定结构等。特别是PHP shell,管理->生成->有效载荷PhpDynamicPayload加密器分类,使用XOR加密原理,对明文和密钥进行异或运算。

关键观点3: 操作过程与分析

操作哥斯拉生成的有效载荷,如PHP_EVAL_XOR_BASE64生成的shell,涉及编码、解码、异或运算等步骤。连接时发送三个数据包,第一个数据包请求体明显大量,后两个明显较小。第二个数据包返回内容为加密后的ok,第三个数据包返回内容为目标的基本环境信息。


文章预览

哥斯拉(Godzilla)是由Java开发的一款Webshell管理工具,支持多种类型的Webshell,支持加通信流量加密。 哥斯拉v4.0.1 :https://github.com/BeichenDream/Godzilla/releases/tag/v4.0.1-godzilla 依赖环境:jdk1.8 哥斯拉支持jsp、php、aspx等多种载荷,PHP使用异或加密。java和c#的载荷原生实现AES加密。 哥斯拉主要功能 (1)MSF联动 (2)绕过OpenBasedir (3)ZIP压缩 ZIP解压 (4)代码执行 (5)绕过 DisableFunctions (6)Mimikatz (7)读取服务器 FileZilla Navicat Sqlyog Winscp XMangager 的配置信息以及密码 (8)虚拟终端 可以用netcat连接 (9)Windows权限提升 (2012-2019烂土豆) (10)读取服务器 谷歌 IE 火狐 浏览器保存的账号密码 (11)Windows权限提升烂土豆的C #版本 甜土豆 (12)支持 哥斯拉 冰蝎 菜刀 ReGeorg 的内存shell 并且支持卸载 (13)屏幕截图 (14)Servlet管理 Servlet卸载 ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览