哥斯拉Godzilla使用中基于PHP的加密流量分析

news2024/11/14 5:37:34

转载于:https://blog.csdn.net/zlloveyouforever/article/details/129189396

哥斯拉Godzilla简介

据说是护网期间,各大厂商的waf不断在静态查杀、流量通信等方面对webshell进行拦截,众红队急需一款优秀的权限管理工具 , 虽说冰蝎3.0也不错 , 但是还是多多少少有一点bug的。于是@BeichenDream决定公开他所开发的一款shell权限管理工具,名为“哥斯拉”Godzilla。

相较于其他同类型工具的特点

  • 哥斯拉全部类型的shell均过市面所有静态查杀

  • 哥斯拉流量加密过市面全部流量waf

  • 哥斯拉的自带的插件是冰蝎、蚁剑不能比拟的

下载

github地址:https://github.com/BeichenDream/Godzilla/releases
     
     

实验过程

首先使用哥斯拉生成一个马

内容如下简单粗暴

设置好代理尝试添加连接

点击测试连接后会发起三个POST请求

第一个请求没有携带cookie,但是设置了session,在之后的数据包中都会携带该session

第一个请求中需要关注的key值如下:

将其利用解密脚本进行解密

解密原理:从pass=编码数据中提取数据,依次URL解码和base64解码,再与shell密钥(如上生成马时key的md5值前16位字符为3c6e0b8a9c15224a)按位异或即可得到原始请求数据。

见上,哥斯拉第一次连接shell时,将这些函数定义发送给服务器并存储在session中,后续的shell操作只需要发送函数名称以及对应的函数参数即可。包含run,bypass_open_basedir,formatParameter,evalFunc等二十多个功能函数,具备代码执行、文件操作、数据库操作等诸多功能。

如上是第二个请求,将其进行解密:


     
     
  1. methodName\x02\x04\x00\x00\x00test //请求内容
  2. Ok //返回内容

第2个POST请求实际上是向服务器提交了原始数据为methodName=test的加密数据,如果服务器返回值(解密后)为ok,则说明shell测试连接成功。

如上是第三个请求,和第二个请求略微不同。将其进行解密:


     
     
  1. methodName\x02\x07\x00\x00\x00g_close
  2. ok

第三个请求和第二个请求类似,是测试连接时弹出success点击确认才会发起的请求.


进入连接

进入连接时会发起三个POST请求,前两个类似与上述前两个请求

如上是进入连接时发起的第三个请求.将其进行解密:


     
     
  1. methodName\x02\r\x00\x00\x00getBasicsInfo
  2. OsInfo : Windows NT LAPTOP-V7JUK7HN 10.0 uild 19044 (Windows 10) AMD64\nCurrentUser : \xe5\xa5\xa5\xe7\x89\x9\xe6\x9\xc\xe7\x9a\x84\xe5\x0\x8f\xe6\x80\xaa\xe5\x85\xd\nREMOTE_ADDR : 127
  3. .0.0.1\nREMOTE_PORT : 13365\nHTTP_X_FORWARDED_FOR : \nHTTP_CLIENT_IP : \nSERVER_ADDR : 127.0.0.1\nSERVER_NAME : 127.0.0.1\nSERVER_PORT : 80\ndisale_functions : \nOpen_asedir : \ntimezo
  4. ne : Asia/Shanghai\nencode : \nextension_dir : D:\\phpstudy\\phpstudy_pro\\Extensions\\php\\php7.3.4nts\\ext\nsystempdir : C:\\WINDOWS/\ninclude_path : .;C:\\php\\pear\nDOCUMENT_ROOT :
  5. D:/phpstudy/phpstudy_pro/WWW\nPHP_SAPI : cgi-fcgi\nPHP_VERSION : 7.3.4\nPHP_INT_SIZE : 8\nProcessArch : x64\nPHP_OS : WINNT\ncanCallGzipDecode : 1\ncanCallGzipEncode : 1\nsession_name
  6. : PHPSESSID\nsession_save_path : D:\\phpstudy\\phpstudy_pro\\Extensions\\tmp\\tmp\nsession_save_handler : files\nsession_serialize_handler : php\nuser_ini_filename : .user.ini\nmemory
  7. _limit : 256M\nupload_max_filesize : 100M\npost_max_size : 100M\nmax_execution_time : 0\nmax_input_time : 60\ndefault_socket_timeout : 60\nmygid : 0\nmypid : 19680\nSERVER_SOFTWAREypid
  8. : Apache/2.4.39 (Win64) OpenSSL/1.1.1 mod_fcgid/2.3.9a mod_log_rotate/1.02\nloaded_extensions : Core,cmath,calendar,ctype,date,filter,hash,iconv,json,SPL,pcre,readline,Reflection,sess
  9. ion,standard,mysqlnd,tokenizer,zip,zli,lixml,dom,PDO,openssl,SimpleXML,xml,wddx,xmlreader,xmlwriter,cgi-fcgi,curl,fileinfo,gd,mstring,mysqli,Phar,pdo_mysql,pdo_sqlite\nshort_open_tag :
  10. true\nasp_tags : false\nsafe_mode : false\nCurrentDir : D:/phpstudy/phpstudy_pro/WWW/p/vul/unsafeupload/uploads\nFileRoot : C:/;D:/;F:/;\n

即请求报文为获取服务器基础信息的命令getBasicsInfo,返回包中是服务器的基础信息.


命令执行

如下在终端输入命令whoami

发起了单个请求如下:

将其解密:

稍微改进一下脚本:


     
     
  1. cmdLineUcmd /c "cd /d "D:/phpstudy/phpstudy_pro/WWW/p/vul/unsafeupload/uploads/"&whoami"2>&1methodName
  2. execCommand
  3. laptop-v7juk7hn\\\x0\xc2\xcc\xd8\xc2\xfc\x5\xc4\xd0\xa1\x9\xd6\xca\xde\r\n

即在该路径下执行命令whoami。Cmdline创建一个命令行解析器,值是路径和具体命令,methodName参数的值为execCommand,即执行命令。返回内容即执行命令的回显,如上是存在webshell的服务器当前用户名laptop-v7juk7hn。


点击刷新

进行解密:


     
     
  1. methodNamegetFiledirName8D:/phpstudy/phpstudy_pro/WWW/p/vul/unsafeupload/uploads/
  2. ok\nD:/phpstudy/phpstudy_pro/WWW/p/vul/unsafeupload/uploads//\nshell.php\t1\t2022-11-07 21:37:56\t30\tRW\n

methodName是参数,getFiledirName是一个方法,获取指定路径下的所有文件名,返回内容即ok,后接该路径下存在的文件以及当前时间。


上传文件

如下上传一个fscan工具:

发起单个请求如下:

由于数据过于庞大,所以请求数据没有进行解密。猜测key的内容就是这个工具的加密数据,返回包解密即为ok.

总结

哥斯拉的大部分操作都是单请求命令,例如文件管理中的文件浏览功能,命令执行功能,刷新功能等等。部分命令是多请求命令,例如通过插件实现的功能大部分都是多请求命令。


哥斯拉的流量特征
  • Cookie (强特征)

在请求包的Cookie中有一个非常致命的特征,最后的分号。标准的HTTP请求中最后一个Cookie的值是不应该出现;的,这个可以作为现阶段的一个辅助识别特征。

  • 响应体特征 (强特征)

从代码可以看到会把一个32位的md5字符串按照一半拆分,分别放在base64编码的数据的前后两部分。整个响应包的结构体征为:md5前十六位+base64+md5后十六位。

  • 连接特征(强特征)

请求1:发送一段固定代码(payload),返回内容为空;

请求2:发送一段固定代码(test),返回内容为固定字符串,如下

72a9c691ccdaab98fL1tMGI4YTljO/79NDQm7r9PZzBiOA==b4c4e1f6ddd2a488
     
     

解密后即为ok。如果连接失败返回内容为空,且不发起请求3;

请求3:发送一段固定代码(getBacisInfo),返回内容为固定字符串

补充:使用哥斯拉时点击测试连接会立即发起请求1和2,如果弹出success并点击确认会立即发起请求3,同理,测试结果失败则不会发起请求3并且请求2的返回内容为空。直接添加连接而不测试连接则不会发起任何请求,当进入连接或其他操作时会优先发起请求1和请求2,连接失败会提示初始化失败,不会发起请求3且请求2的返回内容为空。

  • 请求中Accept和响应中Cache-Control字段(弱特征)

所有请求中Accept:

text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
     
     

所有响应中Cache-Control:

no-store, no-cache, must-revalidate
     
     

以上两个字段都可以修改,所以作为弱特征参考。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1131741.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

MessagePassing分析与说明

1 Motivation 在图神经网络中,如何像在欧式空间一样进行卷积操作,其重要的问题在于如何更新当前位置的信息。 其每个位置(或者叫节点node)的更新方式如下所示。 这一个式子既可以表达GCN,也可以表达Edge Conv。 2 函…

wangeditor 富文本编辑器使用

使用环境vue3 ts &#xff0c;添加了字数限制 尝试了两种&#xff0c;使用方法类似&#xff08;参考文档&#xff09;&#xff0c;工具栏图标有不同&#xff0c;最后选用了第一种。 一、wangeditor 安装 npm i wangeditor --save 使用 这里封装了个简单组件 <templat…

浅谈AcrelEMS-GYM文体建筑能效管理解决方案-安科瑞 蒋静

1 概述 AcrelEMS-CA 文体建筑能效管理聚焦建筑的能量和信息的流向搭建平台解决方案。该系统解决方案集变电站综合自动化、电力监控、电能质量分析及治理、电气安全、能耗分析、照明控制、设备运维于一体。打破子系统孤立&#xff0c;配置方便&#xff0c;运维便捷&#xff1b;…

vue3.0运行npm run dev 报错Cannot find module node:url

vue3.0运行npm run dev 报错Cannot find module 问题背景 近期用vue3.0写项目&#xff0c;npm init vuelatest —> npm install 都正常,npm run dev的时候报错如下&#xff1a; failed to load config from F:\code\testVue\vue-demo\vite.config.js error when starting…

golang搭建http服务

golang环境搭建好之后,搭建htto服务 1.创建目录 创建main文件 创建成功,里面改成package main 终端执行操作创建好go.mod go mod init golang package golangimport ("fmt""net/http" )func sayHello(w http.ResponseWriter, r *http.Request) {_, _ fm…

TP4057替代DP4057 500mA线性锂离子电池充电器芯片

描述 DP4057是一款完整的单节锂离子电池带电池正负极反接保护采用恒定电流/恒定电压线性充电器。其SOT封装与较少的外部元件数目使得DP4057成为便携式应用的理想选择。DP4057 可以适合USB电源和适配器电源工作。 由于采用了内部PMOSFET架构&#xff0c;加.上防倒充电路&#xf…

基于机器视觉的12306验证码识别 计算机竞赛

文章目录 0 简介1 数据收集2 识别过程3 网络构建4 数据读取5 模型训练6 加入Dropout层7 数据增强8 迁移学习9 结果9 最后 0 简介 &#x1f525; 优质竞赛项目系列&#xff0c;今天要分享的是 基于机器视觉的12306验证码识别 该项目较为新颖&#xff0c;适合作为竞赛课题方向…

ES6之Set集合(通俗易懂,含实践)

Set是什么&#xff1f;它的方法有哪些&#xff1f;它在实例开发中有什么作用&#xff1f; 让我为大家介绍一下吧&#xff01; ES6提供了新的数据结构 Set(集合) 。它类似于数组&#xff0c;但成员的值是唯一的。 创建方法&#xff1a; let s new Set()console.log(s)它属于什…

使用时间潜在瓶颈网络进行图像分类

介绍 简单的循环神经网络(RNN)对学习 时间压缩表示表现出强烈的归纳偏差。方程 1显示了递推公式,其中h_t是整个输入序列 的压缩表示(单个向量)x。 方程 1:递推方程。(来源:Aritra 和 Suvaditya)另一方面,Transformers(Vaswani 等人)对于学习时间压缩表示几乎没有归…

探索随机森林: 机器学习中的集成学习神器

机器学习 第七课 随机森林 概述机器学习机器学习的主要分类监督学习无监督学习强化学习 集成学习提高准确性增强稳定性提升泛化能力 集成学习的主要方法BaggingBoostingStacking 随机森林的理论基础决策树的基本原理随机森林的生成过程随机森林的优势与局限性 随机森林的实际应…

IDEA 构建web项目-详细教程

1、创建一个新项目 1、点击File,选择New,然后点击Project 2、选择Empty Project,然后点击Next 3、新建一个项目 4、在新建完项目后&#xff0c;点击Finish后会弹出Open Project这个窗口&#xff0c;建议选择New Window 5、在Project Structure中选择Project Settings --> M…

rosbag记录与回放数据以及通过GMapping算法创建地图与导航

1、引言 通过前面几章的介绍&#xff0c;明白了ROS的工作原理&#xff0c;并且我们也能遥控机器人了&#xff0c;那机器人如何在实际环境中自主导航呢&#xff1f;要做到这点&#xff0c;机器人必须知道它自己在哪以及需要到哪儿去。 意味着&#xff0c;机器人需要有一个周围环…

3分钟教你用Python+Appium实现自动化测试

一、环境准备 1.脚本语言&#xff1a;Python3.x IDE&#xff1a;安装Pycharm 2.安装Java JDK 、Android SDK 3.adb环境&#xff0c;path添加E:\Software\Android_SDK\platform-tools 4.安装Appium for windows&#xff0c;官网地址 Redirecting 点击下载按钮会到GitHub…

中创 | 数据泄露事件频发:卡西欧数据泄露涉及149个国家用户

49%的企业在过去两年中遭受了数据泄露 网络安全事件导致关键业务意外停机&#xff0c;平均损失为每小时20万美元\小时 一、卡西欧发生数据泄露事件 作为享有盛名的国际品牌&#xff0c;卡西欧40年来总销量突破1亿只&#xff0c;尽管卡西欧享誉全球&#xff0c;拥有顶级的网…

mac安装nodejs,跑vue程序

1. 下载node.js for mac&#xff0c;地址&#xff1a;Node.js。一路安装就可以了&#xff0c;无需修改。 2. mac终端&#xff0c;查看node和npm的版本。 3. 配置环境变量&#xff0c; vim .bash_profile增加PATH$PATH:/usr/local/bin/ 4. 但是毕竟npm安装一些东西还是太慢了所…

笔记本电脑的摄像头找不到黑屏解决办法

这种问题一般来说就是缺少驱动&#xff0c;就要下载驱动。 问题&#xff1a; 解决办法&#xff1a; 1.进入联想官网下载驱动 网站&#xff1a;https://newsupport.lenovo.com.cn/driveDownloads_index.html?v9d9bc7ad5023ef3c3d5e3cf386e2f187 2.下载主机编号检测工具 3.下…

类图表示法

设计模式&#xff0c;用设计图表示的话&#xff0c;主要用到类图。常见UML类图如下&#xff1a; 1、类图&#xff1a;矩形框&#xff0c;代表一个类&#xff08;Class&#xff09;。类图分为三层&#xff0c;第一层显示类的名称&#xff0c;如果是抽象类&#xff0c;则用斜体显…

ThinkPHP文件上传验证器

在thinkphp中的文件上传功能,添加验证器的过程中.踩得小坑&#xff0c;简单记录。 具体内容如下 代码如下. 视图层 就是简单的form表单,用来上传文件。 <form action"/admin/files/upFile" enctype"multipart/form-data" method"post">&…

项目部署Linux步骤

1、最小化安装centos7-环境准备 安装epel-release 安装epel-release&#xff0c;因为有些rpm包在官方库中找不到。前提是保证可以联网 yum install -y epel-release 修改IP net-tools net-tool&#xff1a;工具包集合&#xff0c;包含ifconfig等命令 yum install -y net-…

桶装水订水送水小程序开发搭建;

上门送水小程序桶装水配送是一款的同城上门配送平台&#xff0c;为用户提供便捷的桶装水配送服务。解决用户在获取干净健康的饮用水方面的需求&#xff0c;提供高效、便捷的在线预约和下单服务。 小程序平台开发&#xff0c;具备强大的技术支持和良好的用户体验。用户可以通过…