第六章-哥斯拉4.0流量分析

最新推荐文章于 2025-07-15 20:12:19 发布

cjchsh

最新推荐文章于 2025-07-15 20:12:19 发布

阅读量814

点赞数 19

CC 4.0 BY-SA版权

文章标签：服务器运维

本文链接：https://blog.youkuaiyun.com/cjchsh/article/details/145174864

简介

请你登录服务器结合数据包附件来分析黑客的入侵行为

用户名：root

密码：xj@gsl4.0

SSH连接：ssh root@ip -p 222

先附件下载pcap包，丢到wirdshark进行分析

1、黑客的 ip 是什么？

搜索http数据包，可以看到攻击 ip 有俩
192.168.31.168 / 192.168.31.190
根据源地址进行排序可以看到192.168.31.190在对192.168.31.168地址进行目录扫描，190 为黑客 ip

所以第一个flag{192.1668.31.190}

2、黑客是通过什么漏洞进入服务器的？（提交 CVE 编号）

最低0.47元/天解锁文章

200万优质内容无限畅学

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

cjchsh

关注关注

19
点赞
踩
19

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

哥斯拉v4.0流量分析

热爱学习，喜欢折腾！

10-09

1463

哥斯拉(Godzilla)是一款国内流行且优秀的红队 webshell 权限管理工具，使用 java 开发的可视化客户端，shell 支持 java、php、asp 环境，通信流量使用 AES 算法加密，具有文件管理、数据库操作、命令执行、内存马、隧道反弹等后门功能。“pass=”起始。请求包较长响应包为0一个tcp包里面有三个http。

玄机——第六章-哥斯拉4.0流量分析 wp

焦虑的焦虑

09-30

5018

第六章-哥斯拉4.0流量分析

参与评论您还未登录，请先登录后发表或查看评论

Wireshark(流量分析题）WP

Fear1e4的博客

03-11

1351

一个pcap包，一个hink。要我们找私钥，打开之后先用过滤找tcp包里带有“key”的。发现带有base64编码，追踪流拿出来用工具解码一下。没解出来，发现带着个png。下载下来发现里面看着像私钥。用ocr识别完，再纠正一下，用hink里的套一下。然后搜一下http传输内容，追踪一下流，发现flag。

kingkong:解密哥斯拉webshell管理工具流量

04-16

kingkong 解密哥斯拉Godzilla-V2.96 webshell管理工具流量目前只支持jsp类型的webshell流量解密 Usage 获取攻击者上传到服务器的webshell样本获取wireshark之类的流量包，一般甲方有科来之类的全流量镜像设备，联系运维人员获取，这里以test.papng为例。导出所有http对象，放置到文件夹编辑kingkong.py脚本，找到#config这行，配置获取到的样本password、key，以及刚才的文件夹路径 py -2 kingkong.py Config #config #配置webshell的key key = '3c6e0b8a9c15224a' #配置webshell的password password = 'pass' #配置wireshark导出http对象的路径 filepath = '.' #配置是否为jsp+b

玄机 第六章 哥斯拉4.0流量分析

2301_79716382的博客

03-03

1111

玄机 哥斯拉流量 流量分析

哥斯拉配置和流量分析

weixin_48776804的博客

05-27

3046

哥斯拉配置和流量分析

webshell客户端流量特征

buffedon的博客

07-14

5130

webshell客户端流量特征概述：1. 冰蝎2. 中国菜刀2011，2014版本2016版本3. Cknife4. 蚁剑5. 哥斯拉 webshell客户端用于webshell后门和攻击者之间的通信程序，我们可以通过webshell客户端的流量来判断服务器上是否存在Webshell后门。概述：中国菜刀：流量特征比较明显，2011,2014版本中，流量中有的php代码，asp代码是明文形式，jsp代码有固定格式，容易被检测出来。2016版本隐蔽性增强，对php，asp代码增加了混淆，还对ASP代码进行

玄机-第六章-哥斯拉4.0流量分析的测试报告

ccc_9wy的博客

04-07

706

玄机靶场；第六章-哥斯拉4.0流量分析；流量分析；pam_unix.so；反汇编；哥斯拉流量解码；CVE-2017-12615；蓝队分析工具箱。

玄机应急响应哥斯拉4.0-流量分析

Lucker_YYY的博客

09-24

963

ssh查看服务器history得到将/tmp/pam_unix.so复制到了/lib/x86_64-linux-gnu/security/pam_unix.so。将pam_unix.so文件下载下来ida打开分析查看函数pam_sm_authenticate 这个函数是用来控制认证的，pam后门常常放在这里。黑客留下后门的反连的IP和PORT是什么？黑客连接webshell时查询当前shell的权限是什么？黑客连接webshell后执行的第一条命令是什么？黑客通过什么漏洞进入服务器的(提交cve编号)

【蓝队技能】【webshell流量】菜刀&蚁剑&冰蝎&天蝎&哥斯拉

天天学安全专属博客

10-12

1276

菜刀&蚁剑&冰蝎&天蝎&哥斯拉流量分析及特征提取

流量分析--------webshell工具冰蝎原理

qq_36448110的博客

05-12

3489

冰蝎，菜刀，哥斯拉是webshell管理工具，比较出名，也被经常使用。之前只知道冰蝎经过加密，具体原理不是很清楚。我想如果我是蓝方的成员，如果能懂这里面·的传输原理，是不是就能在流量分析，在底层的时候就给与阻挡，杜绝危机。所以今天就来仔细研究以下： 1.首先宿主机10.77是攻击者，虚拟机是受害者10.222，事先上传号木马文件 2.打开冰蝎和抓包软件（科来进行抓包） 3.双击连接，进行抓包原理分析： 1.按理来说上传shell之后，第一次应该有个客户端和服务器之间交换aes密钥的环节，但是没

zabbix以SNMP（V2C）监控网络设备，以华为设备为例

zhm120456的博客

07-13

947

zabbix服务器安装snmp（centos8以上版本）命令用法解析snmpwalk -v 版本 -c 团体 IP MIB例如我要对获取snmp版本为V2C，团体为test@123,IP地址为192.168.0.1的接口信息下面讲一下华为交换机以及华为防火墙开启SNMP的方法。

告别手动迁移：使用 PowerShell 一键导出 IIS 配置，让服务器迁移更轻松

十年运维开发经验的王义杰在此分享自己的知识和经验

07-15

507

自动化是现代 IT 运维的基石。通过 PowerShell，我们可以将复杂、易错的 IIS 迁移任务转变为一个简单、可靠的自动化流程。今天分享的这个脚本是一个很好的起点，我们可以根据自己的特定需求进行修改和扩展，比如增加对特定应用程序配置文件（`web.config`）或注册表项的备份。

Linux|服务器|二进制部署nacos（不是集群，单实例）（2025了，不允许还有人不会部署nacos）

zsk_john的技术分享专用博客

07-13

673

naocs是一个服务治理软件，如果没有记错的话，该软件是阿里出品的，后面该软件开源在了apache社区那么，现在市面上有N多的服务治理，服务管理软件，本文不打算讨论什么consul，etcd，Eureka，zookeeper等等软件和nacos的性能差异，本文只强调一点，nacos可以作为 Spring Cloud Alibaba 的组件，提供动态服务注册与发现功能，支持服务实例的心跳监测和清单更新，帮助实现服务治理的自动化 nacos的软件架构是由java语言编写的j一个jar包，也就是说一个jar

解决Linux绑定失败地址已使用(端口被占用)的问题

qq_35803412的博客

07-11

725

摘要：bind failed: Address already in use是网络编程中常见的端口占用错误。主要原因是（1）端口被其他程序占用；（2）TCP连接的TIME_WAIT状态；（3）程序异常退出未释放端口。解决方法包括：使用netstat/ss命令检查端口占用情况；通过lsof查找并kill占用进程；等待TIME_WAIT状态自动解除；在开发环境中设置SO_REUSEADDR选项强制重用端口；或直接更换可用端口。这些措施能有效解决端口绑定失败问题。

服务器怎么跑Python项目？

m0_69484557的博客

07-12

844

gunicorn -w 4 -b 0.0.0.0:8000 app:app # app:app 表示模块名:应用实例。# 转发到 Gunicorn。source myprojectenv/bin/activate # 激活（Linux/macOS）flask run --host=0.0.0.0 --port=5000 # 允许外部访问。curl https://pyenv.run | bash # 安装 Pyenv。python3 --version # 或 python --version。

网络基础10--ACL与包过滤

最新发布

2301_76981288的博客

07-15

642

ACL（访问控制列表）是通过规则匹配实现数据包过滤或分类的核心技术，广泛应用于包过滤、NAT、QoS、路由策略等场景。其核心由规则条目组成，每条规则包含匹配条件（如源 / 目 IP、端口、协议）和执行动作（Permit/Deny），最终隐含 “拒绝所有” 规则（思科设备）或依赖全局默认策略（华为设备）。ACL 通过规则匹配实现网络细粒度控制，其核心在于理解设备差异（如隐含规则、匹配顺序）、灵活运用通配符与端口操作符，并结合时间、方向等条件实现场景化需求。

Linux修改ssh默认端口，禁止root登录，禁止密码登录并同时开启公钥认证

weixin_43441262的博客

07-15

119

Linux修改ssh默认端口，禁止root登录，禁止密码登录并同时开启公钥认证

银河麒麟(Kylin) - V10 GFB高级服务器操作系统ARM64部署昇腾910b训练机以及Docker安装

alin、m

07-15

635

银河麒麟(Kylin) - V10 GFB高级服务器操作系统ARM64部署昇腾910b训练机以及Docker安装

蚁剑冰蝎哥斯拉的流量特征

04-23

<think>嗯，用户想了解蚁剑、冰蝎、哥斯拉这些WebShell工具的流量特征，可能用于安全分析或检测规则制定。首先，我需要回忆一下之前学过的相关知识，并结合提供的引用内容来整理答案。首先，用户提到的三个工具：蚁剑、冰蝎、哥斯拉，每个工具的网络流量特征可能不同。根据引用内容，引用[3]提到Webshell工具的流量特征分析，其中提到蚁剑在默认编码连接时流量有可读性，而使用base64编码时会加密载荷。冰蝎的流量特征主要是TLS加密和固定请求头，而哥斯拉则使用AES加密和自定义User-Agent，如Shiro等。接下来，我需要分别整理每个工具的静态和动态特征。比如，蚁剑的流量在默认情况下可能包含特定的参数名，如“ant”或“antsword”，这在引用[3]中有提到。此外，蚁剑的流量中可能会有base64编码的痕迹，尤其是当用户选择base64编码器时，载荷会被多层编码，这可能作为检测点。对于冰蝎，引用[2]和引用[3]都提到冰蝎2.0和3.0的动态特征。冰蝎2.0的HTTP请求中有固定的Content-Type，如application/octet-stream，而冰蝎3.0则使用更复杂的加密，每次请求会携带不同的Cookie值。同时，冰蝎的流量通常经过TLS加密，所以检测需要关注HTTP头部特征，如User-Agent或Content-Type。 哥斯拉方面，引用[2]指出哥斯拉使用AES加密，生成的payload有默认密码和密钥。此外，哥斯拉的User-Agent可能包含Shiro框架的特征，如“java/1.8”等。在流量中，哥斯拉的请求参数名可能为“pass”，响应内容则是加密后的二进制数据，这需要解密才能识别。用户可能需要将这些特征用于安全检测规则的制定，所以需要具体指出每个工具的特征点，如HTTP头部的特定字段、加密方式、参数名称等。同时，用户可能关心如何区分这些工具，因此需要对比它们的异同，比如冰蝎和哥斯拉都使用加密，但加密方式和头部特征不同。另外，引用中提到的哥斯拉支持内存shell和自定义HTTP头，这可能影响检测方法，比如检查异常的User-Agent或Cookie长度。冰蝎的Cookie在3.0版本每次请求都会变化，这可能作为行为分析的依据。需要确保回答结构清晰，分点说明每个工具的特征，并给出检测建议。可能还需要提醒用户结合静态和动态特征，以及流量解密和日志分析，来增强检测能力。最后，生成相关问题时，可以围绕检测方法、加密流量识别、工具更新带来的特征变化等方面提问。</think>### 蚁剑、冰蝎、哥斯拉WebShell流量特征分析 #### 一、蚁剑（AntSword） 1. **流量特征** - **默认编码连接**：HTTP请求参数名可能包含`ant`或`antsword`，载荷明文传输，例如：`data=@eval(base64_decode($_POST[z0]))`[^3]。 - **Base64编码模式**：请求参数值会经过多层Base64编码，如`z0=JG...`（原始载荷编码后），响应内容也通过Base64返回[^3]。 - **User-Agent**：默认包含`AntSword`标识，但可通过插件修改。 2. **检测建议** - 检查HTTP请求中是否存在`antsword`相关参数名。 - 分析Base64编码后的载荷是否包含PHP函数（如`eval`、`assert`）。 --- #### 二、冰蝎（Behinder） 1. **冰蝎2.0** - **静态特征**： - 请求头中`Content-Type`固定为`application/octet-stream`[^3]。 - 载荷使用AES加密，密钥硬编码在WebShell文件中（如`e45e329feb5d925b`）[^2]。 - **动态特征**： - 首次连接会发送`20`字节的随机密钥协商数据包。 - 后续请求Cookie值固定，如`PHPSESSID=xxx`[^3]。 2. **冰蝎3.0** - **改进特征**： - Cookie值每次请求动态变化，长度固定为16字节。 - 支持TLS加密流量，User-Agent伪装为浏览器（如`Mozilla/5.0`）[^2]。 3. **检测建议** - 识别固定`Content-Type`与异常Cookie长度。 - 分析加密流量是否包含AES加密模式（如CBC模式）。 --- #### 三、哥斯拉（Godzilla） 1. **流量特征** - **加密方式**：默认使用AES加密，密钥动态生成，部分版本存在默认密码（如`pass`）。 - **HTTP头部**： - User-Agent可能包含`Shiro`框架标识（如`java/1.8`）。 - 请求参数名通常为`pass`，响应内容为加密二进制数据[^3]。 - **协议特征**： - JSP型WebShell会调用`ClassLoader`等Java反射机制。 - PHP型WebShell流量中可能包含`xc`、`pass`等关键字[^3]。 2. **检测建议** - 检测异常User-Agent（如`Shiro`相关）。 - 监控Java反射调用或PHP的`eval`函数特征。 --- #### 四、通用检测策略 1. **静态分析**：检查WebShell文件中的硬编码密钥或特定函数（如`ClassLoader`）。 2. **动态流量分析**： - 识别固定参数名（如`ant`、`pass`）。 - 分析加密载荷的熵值，判断是否为AES/Base64编码。 3. **行为检测**：关注异常HTTP请求频率或非常规端口通信。 ---