伊伊系列

一、简介播色网

对，你莫得看错，本期咱们要沟通的蓄意是哥斯拉。

不外，此哥斯拉非彼哥斯拉，他是继菜刀、蚁剑、冰蝎之后具有更多优点的Webshell处治用具，由java言语确立，如称呼相似，他的“凶猛”之处主要体当前：

一齐类型的shell能绕过市面大部分的静态查杀

流量加密能绕过过市面绝大部分的流量Waf

Godzilla自带的插件是冰蝎、蚁剑不成比较的

图1 哥斯拉驱动界面

（如斯浅薄的操作界面，内容成果和功能可毫不浅薄。）

它能竣事的功能除了传统的号召扩充、文献处治、数据库处治除外，字据shell类型的不同还包括了：

MSF联动绕过OpenBasedirZIP压缩 ZIP解压代码扩充绕过 DisableFunctionsMimikatz读取处事器 FileZilla Navicat Sqlyog Winscp XMangager 的建立信息以及密码假造终局 不错用netcat衔接Windows权限进步 （2012-2019烂土豆）读取处事器 谷歌 IE 火狐 浏览器保存的账号密码Windows权限进步烂土豆的C#版块 甜土豆补助 哥斯拉 冰蝎 菜刀 ReGeorg 的内存shell 何况补助卸载屏幕截图Servlet处治 Servlet卸载内存加载Jar 将Jar加载到 SystemClassLoader

图2 功能界面

先容的也差未几了，咱们来分析望望他到底强在哪。

二、加密模块分析

分析剧本类型：PHP_XOR_base64用具版块：3.03

1.先进行反编译，加密代码的位置位于：”shells” packet->”cryptions” packet->”phpxor” packet->phpxor class

图3 加密函数位置播色网

从代码中不错分析出，深夜激情网发送的payload内容先经过XOR加密后，再将密文进行base64编码，临了进行URL编码，再发给客户端。

图4 加密函数

XOR加密的密钥来私用户提供的密钥经过MD5的32位摘录后，取前16位的值。

图5 密钥生成

图6 数据主要处理经由

2. 生成shell剧本

接下来检察手动生成的剧本内容，不错看到shell对数据的处理姿色基本和用具源码中的分析一致，变量key的值也如实为进行MD5摘录后的前16位的值。

图7 shell剧本内容

图8 密钥的值为'key'

其中，encode()函数主淌若进行XOR操作。

主要的数据处理代码为：

$data=encode(base64_decode($_POST[$pass])，$key)

（代码先记下来，一会不错愚弄到。）

三、 尝试对数据进行解密

愚弄wireshark合手取挫折的流量包。

图9 流量包

合手取数据中等号之后的内容，即被加密编码后的数据内容，然后先将内容进行URL解码。

图10 URL解码

再愚弄第二点提到的代码，写一个浅薄的解密剧本，将”$POST”的内容替换为URL解码后的数据。

图11 解密剧本

再扩充剧本，顿然嗅觉豁然高峻了有莫得，明文出现，讲明分析的想路是正确的。浅薄分析了一下payload的内容，包含run、bypass_open_basedir、formatParameter、evalFunc等二十多个功能函数，具备代码扩充、文献操作、数据库操作等诸多功能。

图12 payload明文

三、转头

不得不佩服确立哥斯拉作家的想路很有创造性，固然其竣事的旨趣并不是很难，但却有用地遁入了同类用具在收罗流量中出现的常见特征，加上用具建立了自界说http_header，使得一些愚弄UA等其他http_header数据的检测成果也大打扣头。

[课程]FART 脱壳王！加量不涨价！FART作家耕种！播色网