Godzilla4.0流量解密-tess-wiki

Godzilla

哥斯拉4.0加密分析

一、在客户端生成shell，生成shell的时候可以设置参数

包括：密码、密钥、有效载荷、加密器

① 密码：Post请求中的参数名称（本次实验的密码为passwd），以及用于和密钥一起进行加密运算。

② 密钥：用于对请求数据进行加密，不过加密过程中并非直接使用密钥明文，而是计算密钥的md5值，
然后取其前16位用于加密过程（本次实验的密钥为keymd，md5值（083c7c062cb29c75499967759dcd2423）

③ 有效载荷：分为ASP、java、php、c#四种类型的payload

④ 加密器：分为base64和raw、evalbase64三大类。

⑤ 扰乱数据：用于自定义HTTP请求头，以及在最终的请求数据前后额外再追加一些扰乱数据，进一步降低流量的特征。

加密过程

异或计算
Base64编码
URL编码
Gzip编码 (可能有)

d2b5ca33bd201427

解密步骤

按照webshell路径先找后门文件，打开之后看到密钥，就可以尝试分析哥斯拉的请求包了

d2b5ca33bd201810

先将pass的值进行url解码

d2b5ca33bd203305

解码后

d2b5ca33bd203500

文章版权归作者所有，未经允许请勿转载。

THE END