一、简介丝袜 小说

对，你莫得看错，本期咱们要商榷的倡导是哥斯拉。

不外，此哥斯拉非彼哥斯拉，他是继菜刀、蚁剑、冰蝎之后具有更多优点的Webshell处理用具，由java讲话开导，如称号相通，他的“凶猛”之处主要体当今：

一王人类型的shell能绕过市面大部分的静态查杀

流量加密能绕过过市面绝大部分的流量Waf

Godzilla自带的插件是冰蝎、蚁剑不行相比的

图1 哥斯拉驱动界面

（如斯简便的操作界面，骨子成果和功能可毫不简便。）

它能罢了的功能除了传统的号令践诺、文献处理、数据库处理以外，左证shell类型的不同还包括了：

MSF联动 绕过OpenBasedir ZIP压缩 ZIP解压 代码践诺 绕过 DisableFunctions Mimikatz 读取劳动器 FileZilla Navicat Sqlyog Winscp XMangager 的设立信息以及密码 虚构结尾 不错用netcat结合 Windows权限进步 （2012-2019烂土豆） 读取劳动器 谷歌 IE 火狐 浏览器保存的账号密码 Windows权限进步烂土豆的C#版块 甜土豆 守旧 哥斯拉 冰蝎 菜刀 ReGeorg 的内存shell 况兼守旧卸载 屏幕截图 Servlet处理 Servlet卸载 内存加载Jar 将Jar加载到 SystemClassLoader

图2 功能界面

先容的也差未几了，咱们来分析望望他到底强在哪。

二、加密模块分析

分析剧本类型：PHP_XOR_base64 用具版块：3.03

1.先进行反编译，加密代码的位置位于：”shells” packet->”cryptions” packet->”phpxor” packet->phpxor class

图3 加密函数位置

从代码中不错分析出，发送的payload内容先经过XOR加密后，再将密文进行base64编码，终末进行URL编码，再发给客户端。

图4 加密函数

XOR加密的密钥来私用户提供的密钥经过MD5的32位纲目后，取前16位的值。

图5 密钥生成

图6 数据主要处理经过

2. 生成shell剧本

接下来稽察手动生成的剧本内容，不错看到shell对数据的处理形态基本和用具源码中的分析一致，变量key的值也确乎为进行MD5纲目后的前16位的值。

图7 shell剧本内容

图8 密钥的值为'key'

其中，encode()函数主淌若进行XOR操作。

主要的数据处理代码为：

$data=encode(base64_decode($_POST[$pass])，$key)

（代码先记下来，一会不错诈欺到。）

三、 尝试对数据进行解密

诈欺wireshark抓取挫折的流量包。

图9 流量包

抓取数据中等号之后的内容，即被加密编码后的数据内容，然后先将内容进行URL解码。

图10 URL解码

再诈欺第二点提到的代码，写一个简便的解密剧本，将”$POST”的内容替换为URL解码后的数据。

鑫系列第二季

图11 解密剧本

再践诺剧本，顷刻间嗅觉豁然广袤了有莫得，明文出现，诠释分析的念念路是正确的。简便分析了一下payload的内容，包含run、bypass_open_basedir、formatParameter、evalFunc等二十多个功能函数，具备代码践诺、文献操作、数据库操作等诸多功能。

图12 payload明文

三、回想

不得不佩服开导哥斯拉作家的念念路很有创造性，天然其罢了的旨趣并不是很难，但却有用地躲避了同类用具在网罗流量中出现的常见特征，加上用具设立了自界说http_header，使得一些诈欺UA等其他http_header数据的检测成果也大打扣头。

[培训]《安卓高等研修班(网课)》月薪三万蓄意，掌捏调试、分析复原ollvm、vmp的神色丝袜 小说，定制art虚构机自动化脱壳的神色