哥斯拉（Godzilla）流量特征修改

admin

138101
文章

113
评论

2025年1月1日11:45:50评论16 views字数 1331阅读4分26秒阅读模式

0x01 User-Agent、Accept、Accept-Language 修改

也可以在请求配置里设置，不过每次都有手动添加。

先看下原版流量：

在 src 下新建软件包 core.ui.component.frame。

复制 decompiled_src/core/ui/component/frame/ShellSetting.java 到 src/core/ui/component/frame 目录下。

找到相应代码的位置：

// ShellSetting.javathis.headersTextArea.setText

修改成为自己想要的内容即可。

修改完成后“构建”-->“构建工程...”-->“重新构建项目”，然后运行。

更改后的流量：

0x02 Cookie 修改

在流量中可以看到发送的 cookie 结尾有个分号。

在 src 下新建软件包 util.http，把decompiled_src/util/http/HttpResponse.java 复制到该软件包目录下。

找到相关代码。

//HttpResponse.javacookies.forEach(cookie -> sb.append(String.format(

把字符串里面的分号(";")删除即可，或者在后面再添加点东西。

重新构建项目，运行看下效果：

0x03 左右两边追加数据

在 ShellSetting.java 里找到 this.leftTextArea.setText("") 和 this.rightTextArea.setText("")，往里面随便添加就行。

// ShellSetting.javathis.leftTextArea.setTextthis.rightTextArea.setText

0x04 请求体特征修改

使用 base64 时响应体会出现的固定特征。前面是密钥 MD5 值的前 16 位，后面是密钥 MD5 值的后 16 位，中间是 base64 编码的执行结果。

0x041 修改加密器

（使用的是 kong030813 师傅的思路）

在 src 下新建软件包 shells.cryptions，把 lib/Godzilla/shells.cryptions/phpXor 复制到该目录下。

可以把不需要的移除，只留下一个，以 PhpXor.java 为例，修改 findStrLeft 和 findStrRight：

this.findStrLeft = findStrMd5.substring(0, 16);this.findStrRight = findStrMd5.substring(16);

接下来修改 template 下的 base64.bin：

echo substr(md5($pass.$key),0,16);echo base64_encode(encode(@run($data),$key));echo substr(md5($pass.$key),16);

最后，再改下加密器的名字。

@CryptionAnnotation(Name=

“构建”-->“构建工作...”-->“重新构建”

先在“管理”菜单生成 webshell，加密器选正确。

测试连接。

随便执行几个命令，看下流量：

结束。

原文始发于微信公众号（走在网安路上的哥布林）：哥斯拉（Godzilla）流量特征修改

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

哥斯拉（Godzilla）流量特征修改

通杀分析 | 从硬编码泄露到越权漏洞审计过程！

MassJacker攻击链分析

金航网上阅卷系统_fileUpload任意文件上传漏洞分析

Guava的RateLimiter源码探究

gRPC+Proto 实现键盘记录器 —— 深度实战解析

漏洞挖掘之从开发者视角解析Gin框架中的逻辑漏洞与越权问题

修改版 | 基于fscan-2.0.0-build4进行修改，修改特征、调整输出内容格式，用起来爽了

【Java学习】 - AOP基础&进阶&案例

微服务（Microservices）和服务网格（Service Mesh）

代码审计之CORS

发表评论

在线咨询

微信