- 综合排序
- 最热优先
- 最新优先
- 来自专栏红蓝对抗
哥斯拉流量分析
fL1tMGI4YTljMkBmf1uCBXOLjmdq0MQ8S2iHIZ2n+lJKLWZBxnK/T9gmt6T0AnrCwBLw6JvNfHMtBxhEPbapxCUF+fdVEo1jjWRNKQxEuKwhPyoaGN6nzM/qnGEKu7IL6uQg9CYD3jMcePZIYbIEpoStF3vRh3 返回包 符合预期 总结 哥斯拉无论是流量还是shell的实现方式都非常不同于冰蝎与蚁剑,他不仅功能强大,而且在evalXOR解码器下还兼容一句话shell,成也兼容,败也兼容,哥斯拉在使用evalXOR php代码来执行,而哥斯拉使用了session来存储payload,将常用的功能实现存储到了session中,调用仅需发送特制的数据包即可,对于插件的实现也是如此,只不过插件代码仅在需要时发送,也就是说我们可以通过解码发送返回包来确认哥斯拉使用了哪些插件 ,与插件的实现代码 总结 在phpXOR环境下哥斯拉的主要特征在与 1.PHPSESSID [正常的不会有分号] 2.UA头 [弱特征] 3.明文的完整shell [特定加密器才有] 总结到最后,不难发现 ,哥斯拉的一切努力似乎都在向隐蔽这一个方向发展并非对人,而是对于安全设备来说,在常用的三个webshell管理器中他的特征是最少的,如果让我在三个webshell管理器让我只能选择一个的话,我会选哥斯拉
1.3K10编辑于 2024-05-06 - 来自专栏FreeBuf
哥斯拉Godzilla运行原理探寻
前段时间在这里看到这个工具:哥斯拉Godzilla。团队小伙伴对称感兴趣,特意下载下来分析一下。 探寻原理 密码(pass)和密钥(key) 将jsp shell格式调整一下,分析。 思考 参考哥斯拉利用 加密:AES 编码:Base64 认证:MD5 我们可以选择异或方式来处理 先异或再编码,使用md5认证:XOR+base64+MD5 先编码再异或,使用sha1认证:base64 相关技术介绍可以看这个《浅谈哥斯拉内存Shell技术》。
3.1K20发布于 2020-11-23 - 来自专栏FreeBuf
冰蝎2和3及哥斯拉Godzilla特征分析
/ziTfTa5CnU3lfrnmCcadnmtgUKyTZDdb93DSqwyGn3cFb7BuIPkdCu6SpLov3+EExlHPbY/+6PiiDIpWGCxzkEIwli6zJiS8fa4fSxYcr Godzilla特征分析 介绍 哥斯拉是一个基于流量、HTTP全加密的webshell管理工具相对于蚁剑,冰蝎;哥斯拉具有以下优点。 在cmd下切换到哥斯拉所在目录,输入 java -jarGodzilla.jar 此时会在同目录下生成data.db数据库存放数据(2)Godzilla的webshell可以自定义生成操作方法:管理-生成所需的 webshell,哥斯拉支持jsp、php、aspx等多种载荷java和c#的载荷原生实现AES加密 ? htmlContent-Length: 0Date: Wed, 18 Nov 2020 15:19:56 GMTConnection: close 内存马 内存shell模块实现了在tomcat中上传一个哥斯拉的马或者冰蝎
3.9K10发布于 2021-01-08 - 来自专栏潇湘信安
哥斯拉内存马Suo5内存代理插件
前言 昨天在Github闲逛时看到@1ucky7师傅发了的一个哥斯拉内存马、Suo5内存代理的插件。这篇文章我们就来简单记录下这个插件的使用方法以及在测试过程中遇到的一些问题和注意事项。 插件简介 之前写了一个注入suo5的哥斯拉插件,在改装其他中间件的时候遇到一些问题,后面看到@pen4uin师傅写了一个生成各种马以及suo5代理的工具,于是直接给哥斯拉加了一个接口执行代码,方便注入其他管理工具内存马 哥斯拉配置->插件配置->添加->选择刚下载的插件 3. 使用@pen4uin师傅的jMG内存马生成工具生成一个base64格式的注入器直接执行即可。 连上哥斯拉,在CodeExec插件里粘贴我们在jMG生成的Base64执行即可,成功后会提示加载成功! 5. 现在我们已经可以直接去连接哥斯拉的这个内存马和Suo5内存代理了,如下图所示。 7.使用Proxifier代理工具测试可以看到也是能正常连通的,注意设置规则,如下图所示。
7K20编辑于 2023-09-21 - 来自专栏深入浅出区块链技术
太空哥斯拉(SpaceGodzilla)攻击事件分析
本文作者:小驹[1] 背景 SpaceGodzilla 是一个 ERC20 代币,项目没有官方网站,官方只在 twitter 上进行维护,项目介绍是“哥斯拉吸收了地球上所有的核能,向月球飞去!” ,然后官方 twitter 头图是张哥斯拉乘着火箭去月球的图片,目前官方有 300 人关注…….. 就在前天,这个项目被黑客攻击了。 细心的可能会发现,在 1 中将闪电贷换出了 73780928010061370325334249251641 Godzilla,在 3 中将 Godzilla 再换成 USDT 时的 Godzilla 这是因为 Godzilla 在_transfer 过程中会收取%3的takeFee,两个数字之间的差额就是被 Godzallia 合约收走的takeFee,这个 takeFee 是在_transfer中被收取的 总结 合约中不用的函数、测试的函数在发布前都删掉吧….…… 参考 https://mobile.twitter.com/BlockSecTeam/status/1547456617414660096[3]
77920编辑于 2022-11-07 - 来自专栏信安之路
给哥斯拉 webshell 管理工具加后门
本文简单介绍通过反编译 MSF 生成 java 后门和 WebShell 管理工具哥斯拉,并用最简单的方式将后门加入哥斯拉中。 void main(String[] args) throws Exception { Payload.main(new String[]{"shell"}); } } 将后门加入哥斯拉 根据同样的方法对哥斯拉进行反编译,与之前不同的是将哥斯拉原本的Jar文件作为依赖添加进项目,这样做的好处在于不需要对全部的源码进行修改,只需在 src 文件中创建想要修改的文件,进行修改后再打包便可以完成改动 而从 GitHub 上下载来的哥斯拉火狐浏览器就会报毒,而为了使用它以及对作者的信任我们自然而然的会选择信任该程序。那么此时,通过其他渠道下载有后门的哥斯拉同样报毒,你是否又会选择相信?
2.3K10发布于 2020-12-11 - 来自专栏giantbranch's blog
哥斯拉Godzilla PHP Webshell分析与检测特征提取
哥斯拉也有一定的优点,比冰蝎好一点,但是也存在固定长度的问题 实验环境 控制端:win10 + 哥斯拉Godzilla V1.00 服务端:Ubuntu 16.04 + Apache + PHP 7.0.33 function O($D){ return base64_decode($D); } $P='pass'; $V='payload'; $T='3c6e0b8a9c15224a substr(md5('key')),0,16)=='3c6e0b8a9c15224a' 这个代码单单这么看是看不出什么,$F是我们的输入,这有两种情况 1、不存在_SESSION[V],F就赋值给_SESSION var/www/html/Godzilla/info.txt", "--------------\n\n" , FILE_APPEND | LOCK_EX); 通过这个我们得到了初次连接webshell的3次通信解密后的明文 O($D){ return base64_decode($D); } function I(){ return "php://input"; } $V='payload'; $T='3c6e0b8a9c15224a
61300编辑于 2024-12-31 - 来自专栏新智元
谷歌新款「怪物制造机」,用GAN一键生成定制版「哥斯拉」
通过Chimera Painter ,你可以在体统提供或者自己上传的生物轮廓上进行「怪物创作」,点击「转换」按钮后,系统便会生成一个属于你自己的3D效果的「怪兽」。 为了解决这个问题,研究团队开发了一种新的用户主导的半自动化方法,用于从3D生物模型创建ML训练数据集,这使得团队能够进行大规模工作并根据需要快速迭代。 在此过程中,用户将创建或获取一组3D生物模型,每种所需的生物类型(例如鬣狗或狮子)都应建立一个模型。 实例数据集训练图像及其配对分割图 这些3D生物模型都被放置在一个简单的3D场景中,同样使用了虚幻引擎。 然后,一组自动化的脚本将采用这个3D场景,并在不同的姿势、视点和每个3D生物模型的缩放级别之间进行插值,创建全彩色图像和分割地图,形成 GAN 的训练数据集。
87020发布于 2020-11-24 - 来自专栏安全工具
魔改哥斯拉 | 反编译重打包 + 特征指纹打乱 + Webshell免杀对抗
魔改哥斯拉 | 反编译重打包 + 特征指纹打乱 + Webshell免杀对抗本文记录对哥斯拉(Godzilla)v4.01 进行魔改的完整过程,涵盖 JAR 反编译环境搭建、特征指纹修改、Webshell $$_p[$_k]); include($tmp); unlink($tmp);}执行流程:接收 POST 数据 ↓tempnam() 创建临时文件(如 /tmp/php3f2a1b) eval 效果完全一样,哥斯拉不感知任何区别。 使用现成免杀工具适配哥斯拉除了自己改,也可以直接用网上别人写好的免杀 Webshell,只要适配一下哥斯拉的连接方式就好。以这个工具为例:<?php// ... vfxg5e=cfile把哥斯拉生成的 shell 放上去,生成免杀webshell直接访问有效果(工具有模拟报错页面):但是直接用哥斯拉是连接不上的:工具说明里有写,并不完全适配哥斯拉,需要改一下连接方式
22010编辑于 2026-03-19 - 来自专栏Cyber Security
WAF攻防-菜刀&冰蝎&哥斯拉&流量通讯&特征绕过&检测反制&感知
ASCII字符(详见ASCII码表) 2016 尝试写入文件,抓包分析 数据包流量特征: 1,请求包中:ua头为百度,火狐 2,请求体中存在eavl,base64等特征字符 3, 请求体中传递的payload为base64编码,并且存在固定的base64编码段 QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtpZihQSFBfVkVSU0lPTjwnNS4zLjAnKXtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO307ZWNobygiWEBZIik7J 3.z0是菜刀默认的参数,这个地方也有可能被修改为其他参数名。 Accept-Encoding: gzip, deflate, br Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7 绕过 二次魔改,修改默认header设置 哥斯拉 -流量&绕过&特征&检测 特征 网上有哥斯拉解密异或的脚本…… User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:84.0) Gecko
45810编辑于 2024-07-18 - 来自专栏网络安全abc123
第26篇:蓝队分析辅助工具箱V0.3发布,含shiro解密|cas解密|log4j2解密|冰蝎哥斯拉解密|端口连接分析等功能
冰蝎及哥斯拉流量解密功能 对于冰蝎和哥斯拉的数据包解密,我逆向分析了冰蝎和哥斯拉的代码,参考了网上的各种解密工具,编写了这个解密功能。对于解密冰蝎,基本上拿到秘钥都可以正确解密。 对于哥斯拉,目前只支持解密JSP、JSPX型的webshell,支持哥斯拉3.x及4.x版本,不支持哥斯拉1.x及2.x版本,因为哥斯拉低版本的加密算法不一样。 后续有时间再更新这个功能吧,因为逆向分析不同版本、不同脚本的冰蝎及哥斯拉webshell,实在是太费精力了。 如下图所示,哥斯拉请求包和返回包算法不一样,需要点击相应的按钮进行解密。 Part3 总结 1. 后续还会继续更新这个工具,有好的建议可以在公众号后台给我留言。 2. 冰蝎、哥斯拉数据包解密功能,后续有时间会更新。
1.8K30编辑于 2022-12-06 - 来自专栏Khan安全团队
蓝队分析研判工具箱(更新2024.07.18)
蓝队分析研判工具箱,功能包括内存马反编译分析、各种代码整理、网空资产测绘功能、溯源辅助、解密冰蝎流量、解密哥斯拉流量、解密Shiro/CAS/Log4j2的攻击载荷、IP/端口连接分析、 https://github.com/abc123info/BlueTeamTools 2024.07.18修改冰蝎、哥斯拉、天蝎解密后中文乱码问题,可以手工选择相应编码进行切换。 2024.05.29 增加对哥斯拉3.x~4.x请求包、返回包的解密结果生成二进制文件功能,解决流量中掺杂附件的问题。 2024年5月28日修复“网空资产测绘”功能的多个bug,添加对域名搜索功能。 2023.10.14 识别哥斯拉webshell的流量解密结果,发现class文件格式,输出文件名为GodzillaDecode.class。 2023.10.02 更新哥斯拉webshell的C#流量解密功能,ASP流量解密功能,添加字符串功能。 2023.10.01 更新哥斯拉webshell的Java流量解密功能、PHP流量解密功能。
1K10编辑于 2024-07-26 - 来自专栏红蓝对抗
哥斯拉Godzilla | 基于tomcat webshell的有效通杀混淆方式&通用的java代码混淆
1 前言 该系列文章的前情参考: 哥斯拉Godzilla | 加密器与shell模板二开(上) 哥斯拉Godzilla | 加密器与shell模板二开(下) 本次对上文了解到的架构中,生成木马的代码部分进行再度的学习与分析 所定义的一致,W3C定义了三条XML解析器如何正确读取XML文件的编码的规则:1.如果文挡有BOM(字节顺序标记),就定义了文件编码2.如果没有BOM,就查看XML encoding声明的编码属性3.如果上述两个都没有 = b4[3] & 0xFF; if (b0 == 0x00 && b1 == 0x00 && b2 == 0x00 && b3 == 0x3C) { return new (4)}; } if (b0 == 0x00 && b1 == 0x3C && b2 == 0x00 && b3 == 0x3F) { return new && b2 == 0x3F && b3 == 0x00) { return new Object [] {"UTF-16LE", Boolean.FALSE, Integer.valueOf
1.5K10编辑于 2024-01-23 - 来自专栏网络安全abc123
第29篇:蓝队分析辅助工具箱V0.36发布,新增Java字节码反编译功能
3 新增“Hex编码二进制文件”功能,可以将二进制文件编码成16进制格式。 4 将Base64编码功能统一更换为第三方jar包,使其通用性更强。 冰蝎及哥斯拉流量解密功能 对于冰蝎和哥斯拉的数据包解密,我逆向分析了冰蝎和哥斯拉的代码,参考了网上的各种解密工具,编写了这个解密功能。对于解密冰蝎,基本上拿到秘钥都可以正确解密。 对于哥斯拉,目前只支持解密JSP、JSPX型的webshell,支持哥斯拉3.x及4.x版本,同时也支持哥斯拉1.x及2.x版本。 哥斯拉低版本的1.x-2.x与3.x-4.x版本的流量加密过程稍微有点不一样,因此解密功能分开写了。 Part3 总结 1. 后续还会继续更新这个工具,有好的建议可以在公众号后台给我留言。 2. 冰蝎、哥斯拉数据包解密功能,后续有时间会更新。
1.1K20编辑于 2022-12-06 - 来自专栏VRPinea
5.28 VR扫描:AMD发布性能分析工具beta版;aGlass DK Ⅱ适配HTC Vive Pro
东宝推HoloLens版《哥斯拉之夜》 近日,东宝株式会社推出HoloLens版《哥斯拉之夜》。 HoloLens用户在这款体验中,将能看见巨大的哥斯拉喷出血红色的火焰,肆虐他们的城市,并且一步步向他们逼近。目前,《哥斯拉之夜》仅是在东京开设体验。 VRPinea独家点评:胆小者慎入哦!
85580发布于 2018-06-11 - 来自专栏漏斗社区
专属| 谷歌提前关闭Google+
【出行】春运火车票23日起发售 据悉, 2019年春运时间为1月21日(腊月十六)至3月1日(正月廿五)。 【影讯】《哥斯拉:怪兽之王》震撼预告 华纳、传奇影业打造了《哥斯拉》、《金刚》之后,将在《哥斯拉:怪兽之王》展开更加恢弘的战争,官方今日公布该片正式版预告片,影片接续前作,Monarch组织的成员对抗怪兽之王哥斯拉 ,哥斯拉还将挑战其他三大怪兽。 【体育】NBA--篮网3年3400万续约妖星 北京时间12月14日消息,篮网队官方宣布,与后卫斯宾瑟-丁维迪签下一份为期3年的续约合同。 ESPN著名记者称:丁维迪和篮网队达成的是一份3年总价值3400万美元的续约协议,其中第3年为球员选项。
89820发布于 2018-12-27 - 来自专栏MixLab科技+设计实验室
Avatar是不是元宇宙入口?
哥斯拉,首次出现于1954年电影《哥斯拉》中,从那时起,哥斯拉就已经成为一个世界性的流行文化符号。 2015年6月,日本东京新宿区区长吉住健一为怪兽哥斯拉颁发了“特别住民票”,使其成为新宿区的“居民”。 特斯拉的人形机器人Tesla Bot,由 "轻质材料"制成,身高约173,体重56.7公斤。 Style3D的数字服装走秀:不仅是逼真数字人,而且面料是动态模拟仿真。
1.1K20发布于 2021-10-25 - 来自专栏用户7692554的专栏
CTF|陇剑杯线上-Wifi-WP
; hitokoto.innerText = data.hitokoto; } } xhr.send(); 前言 这道大题是我最有思路的一道题,可惜最后卡在最后一步,解密哥斯拉的返回流量 [aru_41] (不然感觉有希望进线下了[aru_15]) 题目描述 网管小王最近喜欢上了ctf网络安全竞赛,他使用“哥斯拉”木马来玩玩upload-labs,并且保存了内存镜像、wifi流量和服务器流量 密钥:key,也拿到了服务器ip:42.192.84.152 ,所以我们返回到wifi流量包,直接筛选服务器ip的包,找到几个哥斯拉加密的返回包 13.接下来需要解密哥斯拉的流量,在网上找到一个文章 /V31Qd1NxKQMCe3h4KwFQfVAEVworCi0FfgB+BlWZhjRlQuTIIB5jMTU=b4c4e1f6ddd2a488 真正内容:fL1tMGI4YTljMn75e3jOBS5 {5db5b7b0bb74babb66e1522f3a6b1b12}
1.3K20编辑于 2022-09-08 - 来自专栏网络安全abc123
蓝队分析研判工具箱V0.81,支持14种哥斯拉流量解密|溯源辅助|佛法搜索|shiro、log4j2解密|各种java反编译
Part2 使用说明及功能介绍 支持14种哥斯拉webshell算法解密功能 不少网友给我发邮件,希望我更新哥斯拉的流量解密功能,哥斯拉的算法总共14种,写起来实在是太麻烦了,这样我就利用十一假期,抽出一天的时间 冰蝎及哥斯拉webshell流量解密功能 编写这个功能耗费了我很大的精力,对于冰蝎webshell,从流量中找到秘钥即可解密。 对于哥斯拉webshell,目前只支持java型webshell流量解密,其它功能后续再加上。由于哥斯拉低版本的1.x-2.x与3.x-4.x版本的流量加密过程稍微有点不一样,因此解密功能分开写了。 3 新增“Hex编码二进制文件”功能,可以将二进制文件编码成16进制格式。 4 将Base64编码功能统一更换为第三方jar包,使其通用性更强。 Part3 总结 1. 后续还会继续更新这个工具,有好的建议可以在公众号后台给我留言。 2. 冰蝎4.x、天蝎webshell解密、IPV6的支持,后续有时间会更新。 3.
2.2K30编辑于 2023-10-04 - 来自专栏黑白天安全团队
《【陇剑杯WP】wifi题解》
那货啥也不说,丢了一串密文过来,后面才知道是哥斯拉,他解题的方法比较强(邪门),我就老老实实根据哥斯拉的加密逆过去了。 对比一下两个包 解码前 解码后 3.流量分析&木马分析 不得不说,这里追包蛮累的,服务端一大堆一大堆的。 服务端追到包序26、27,会发现明显的分界线。结合题干,应该就是传马的地方了。 +) { $c = $K[$i+1&15]; $D[$i] = $D[$i]^$c; } return $D; } $a='fL1tMGI4YTljMn75e3jOBS5 /V31Qd1NxKQMCe3h4KwFQfVAEVworCi0FfgB+BlWZhjRlQuTIIB5jMTU='; echo gzdecode(encode(base64_decode($a),'3c6e0b8a9c15224a 最后解哥斯拉的方法,和我对线的师傅他们是直接用放进哥斯拉里面,然后让哥斯拉帮忙解码,看到flag的,不得不说是一种很好的方法!我这里是从马子入手去分析,希望对各位有帮助。
1.3K30发布于 2021-09-28
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号