深入解析哥斯拉二开的流量混淆技术-先知社区

深入解析哥斯拉二开的流量混淆技术

环境搭建

首先就是基于工具 Godzilla_ekp1.1.jar 开发，附上作者的链接

https://github.com/kong030813/Z-Godzilla_ekp

首先把 jar 包反编译后我们自己创建一个目录

然后创建一个 lib 目录放入我们的 jar，添加为依赖

然后生成一工件的配置

哥斯拉二开目的

首先就是我们需要了解对应文件的作用，那我们就要自己清楚二开的优化点

本次二开优化在于

流量规避

免杀木马

增加 RSA 加密逻辑

当然原项目已经实现了一部分，我们需要的就是读懂逻辑，然后加一点还需要增加的东西，相当于个性化

流量规避，我们就需要了解哥斯拉的流量是怎么样的，我们分开一个一个分析

流量规避

首先我们需要目标哥斯拉目前明显的流量特征

首先我们生成一个木马后使用 bp 抓取它的流量

修改为 bp 的代理端口

ua，accept 弱特征

修改逻辑

这些都是弱特征了，我们对应到代码部分，这里就看到新代码了，我们直接在原工具上修改

这个是我们的响应部分

在添加我们的 webshell 的时候会初始化

我们这里修改一下 ua 和 accept，看弄成随机的，比如在一个数组里面挑选我们的 ua 头

先简单修改为

效果

我们抓流量的包

这是第一次，我们再连一个看看有没有变化

可以看到是有变化的

cookie&请求响应包

我们观察请求和响应的包

首先就是 cookie 的问题，末尾一直有一个分号，我们需要去除

观察 cookie 生成的地方

这个很好修改，直接删除就 ok

请求包

然后我们观察响应和请求的包

首先就是请求的包

就是 pass+一堆东西（我们发送的数据）

这个我们可以尝试修改一下，比如加点东西混淆这个请求

对应原代码还是在

最后想着伪造一个普通的请求

我们看看效果

好的一直初始失败，看了包就懂了

没有加&符号

修改了一下

好的兄弟，又有点 bug，我们再次去修改一下

改成

也算是成功了大师

响应包

我们观察响应包

这个响应的话可以看到格式很有规律

a+b+c

当然前人已经发现了

md5 前十六位+base64+md5 后十六位

而这个响应对应的代码是在我们的模板文件中

这里我们直接修改模板文件？

直接修改了是不可以的，因为这个发送的数据后端是会处理的，如果直接乱修改，后端是会报错的

我们需要看到后端处理部分

在初始化的时候

会调用 http 的 sendHttpResponse 发送我们的 payload

最后会来到我们的 ReadAllData 方法

我们传入的数据是一个根本看不懂的东西，还需要 decode

因为我们是 base64 加密器

先解码，不过解码的时候可以看见还被 findStr 处理了

也就是只截取我们中间的字符，而左边右边的相当于一个标识符吧

然后对这部分数据进行处理

我们需要完成逻辑是首先回显页面肯定要修改的，然后中间的数据的话任然需要传入回我们的后端

首先我们可以修改的是匹配的规则，思考一下我们的 jsp 木马模板可以如何修改呢

首先我们看木马生成的过程

都在

首先是我们的全局代码

然后是通信代码

我们需要修改的就是这个通信模块的

我们需要让数据合理的输出

这里感觉作者已经做得很牛了，也不需要改了

当然自己还是小改了一下

改一下后端的匹配逻辑就好了

我们看看原作的模板

得到的是一个 html 页面

首先我们生成一个木马看看效果

然后我们连接木马看看流量

当然需要匹配到我们的逻辑