技术社区
安全培训
技术社群
积分商城
先知平台
漏洞库
历史记录
清空历史记录
相关的动态
相关的文章
相关的用户
相关的圈子
相关的话题
注册
登录
深入解析哥斯拉二开的流量混淆技术
1341025112991831
历史精选
417浏览 · 2025-03-05 17:02
返回文档
深入解析哥斯拉二开的流量混淆技术
环境搭建
首先就是基于工具 Godzilla_ekp1.1.jar 开发,附上作者的链接
https://github.com/kong030813/Z-Godzilla_ekp
首先把 jar 包反编译后我们自己创建一个目录
然后创建一个 lib 目录放入我们的 jar,添加为依赖
然后生成一工件的配置
哥斯拉二开目的
首先就是我们需要了解对应文件的作用,那我们就要自己清楚二开的优化点
本次二开优化在于
流量规避
免杀木马
增加 RSA 加密逻辑
当然原项目已经实现了一部分,我们需要的就是读懂逻辑,然后加一点还需要增加的东西,相当于个性化
流量规避,我们就需要了解哥斯拉的流量是怎么样的,我们分开一个一个分析
流量规避
首先我们需要目标哥斯拉目前明显的流量特征
首先我们生成一个木马后使用 bp 抓取它的流量
修改为 bp 的代理端口
ua,accept 弱特征
修改逻辑
这些都是弱特征了,我们对应到代码部分,这里就看到新代码了,我们直接在原工具上修改
这个是我们的响应部分
在添加我们的 webshell 的时候会初始化
我们这里修改一下 ua 和 accept,看弄成随机的,比如在一个数组里面挑选我们的 ua 头
先简单修改为
效果
我们抓流量的包
这是第一次,我们再连一个看看有没有变化
可以看到是有变化的
cookie&请求响应包
我们观察请求和响应的包
cookie
首先就是 cookie 的问题,末尾一直有一个分号,我们需要去除
观察 cookie 生成的地方
这个很好修改,直接删除就 ok
请求包
然后我们观察响应和请求的包
首先就是请求的包
就是 pass+一堆东西(我们发送的数据)
这个我们可以尝试修改一下,比如加点东西混淆这个请求
对应原代码还是在
最后想着伪造一个普通的请求
我们看看效果
好的一直初始失败,看了包就懂了
没有加&符号
修改了一下
好的兄弟,又有点 bug,我们再次去修改一下
改成
也算是成功了大师
响应包
我们观察响应包
这个响应的话可以看到格式很有规律
a+b+c
当然前人已经发现了
md5 前十六位+base64+md5 后十六位
而这个响应对应的代码是在我们的模板文件中
这里我们直接修改模板文件?
直接修改了是不可以的,因为这个发送的数据后端是会处理的,如果直接乱修改,后端是会报错的
我们需要看到后端处理部分
在初始化的时候
会调用 http 的 sendHttpResponse 发送我们的 payload
最后会来到我们的 ReadAllData 方法
我们传入的数据是一个根本看不懂的东西,还需要 decode
因为我们是 base64 加密器
先解码,不过解码的时候可以看见还被 findStr 处理了
也就是只截取我们中间的字符,而左边右边的相当于一个标识符吧
然后对这部分数据进行处理
我们需要完成逻辑是首先回显页面肯定要修改的,然后中间的数据的话任然需要传入回我们的后端
首先我们可以修改的是匹配的规则,思考一下我们的 jsp 木马模板可以如何修改呢
首先我们看木马生成的过程
都在
首先是我们的全局代码
然后是通信代码
我们需要修改的就是这个通信模块的
我们需要让数据合理的输出
这里感觉作者已经做得很牛了,也不需要改了
当然自己还是小改了一下
改一下后端的匹配逻辑就好了
我们看看原作的模板
得到的是一个 html 页面
首先我们生成一个木马看看效果
然后我们连接木马看看流量
当然需要匹配到我们的逻辑
0
人收藏
0
人喜欢
转载
分享
0
条评论
某人
表情
可输入
255
字
评论
发布投稿
热门文章
1
2025ISCC练武区域赛和决赛pwn以及擂台pwn合集
2
通过Elastic EDR看smbexec并进行二次开发Bypass
3
php代码审计篇 - 信呼OA 前台注入分析一
4
D3CTF-d3kshrm(预期&非预期)题解
5
Tomcat解析XML引入的新颖webshell构造方式
近期热点
一周
月份
季度
1
2025ISCC练武区域赛和决赛pwn以及擂台pwn合集
2
通过Elastic EDR看smbexec并进行二次开发Bypass
3
php代码审计篇 - 信呼OA 前台注入分析一
4
D3CTF-d3kshrm(预期&非预期)题解
5
Tomcat解析XML引入的新颖webshell构造方式
暂无相关信息
暂无相关信息
优秀作者
1
一天
贡献值:18800
2
T0daySeeker
贡献值:18700
3
1174735059082055
贡献值:15000
4
Yale
贡献值:14000
5
1674701160110592
贡献值:13000
6
LeeH
贡献值:10000
7
MeteorKai
贡献值:9000
8
姓*户
贡献值:8600
9
熊猫正正
贡献值:8000
10
lufei
贡献值:8000
目录
深入解析哥斯拉二开的流量混淆技术
环境搭建
哥斯拉二开目的
流量规避
ua,accept 弱特征
修改逻辑
效果
cookie&请求响应包
cookie
请求包
响应包
转载
标题
作者:
你好
http://www.a.com/asdsabdas
文章
转载
自
复制到剪贴板