东营本地网站有哪些,科技网站的一些案例展示,网站建设类公司,网站建设哪家稳妥各大厂商的waf不断#xff0c;在静态查杀、流量通信等方面对webshell进行拦截#xff0c;众红队急需一款优秀的权限管理工具#xff0c;冰蝎3.0的发布可能缓解了流量加密的困境#xff0c;但是冰蝎3.0的bug众多#xff0c;很多朋友甚至连不上冰蝎的shell#xff0c; 于是… 各大厂商的waf不断在静态查杀、流量通信等方面对webshell进行拦截众红队急需一款优秀的权限管理工具冰蝎3.0的发布可能缓解了流量加密的困境但是冰蝎3.0的bug众多很多朋友甚至连不上冰蝎的shell 于是团队的BeiChenDream师傅开发了这款“哥斯拉“ 本文出自ChaBug Y4er师傅 简单使用方法 在哥斯拉安装之前你需要安装jdk1.8的环境。双击Godzilla.jar打开此时会在同目录下生成data.db数据库存放数据。首页长这样 点击 管理–添加 生成所需的webshell哥斯拉支持jsp、php、aspx等多种载荷java和c#的载荷原生实现AES加密PHP使用亦或加密。生成时需要记住自己的生成配置用以链接时用。 以java的jsp为例填写密码和密钥生成jsp/jspx。本文以tomcat7来演示一些功能。将shell.jsp放入tomcat使用哥斯拉链接。点击目标–添加 选中shell右键选择进入即可进入shell管理界面。 jsp/jspx的shell功能如图 php的功能如图 aspx/ashx/asmx的功能如图 简单使用介绍就到这里。 一些特性 为什么我放着冰蝎、蚁剑还有什么天蝎不用而要用你的哥斯拉 哥斯拉全部类型的shell均过市面所有静态查杀 哥斯拉流量加密过市面全部流量waf 哥斯拉的自带的插件是冰蝎、蚁剑不能比拟的 静态免杀就不说了工具放出来之后可能会免杀一段时间就不行了当然随便改改就能继续过。重点是看流量加密和一些自带的插件。 流量加密 先来看流量加密仍然以jsp为例修改链接配置里的代理选项为http代理让流量代理到Burp中。 执行dir命令的请求包 响应包 或许你说headers里的一些ua和Accept太扎眼了别担心这些可以自己配置。 在shell编辑的请求配置中修改 或者在配置–全局配置中修改 此时在看请求包和响应包完全没有特征 并且在请求包的thisisleftData和thisisrightData可以修改为其他杂乱数据来进行干扰。到这里还不说一句哥斯拉天下第一 插件模块 一些基本的模块比如基本信息、文件管理、命令执行我这里就不再赘述了。 数据库管理 相信大家在使用蚁剑的时候没少碰到过连不上数据库的情况我自己碰到过一个环境就是shell所在的tomcat container没有jdbc的jar包依赖导致连不上数据库偏偏蚁剑没什么好办法。而在哥斯拉中就不必担心这个问题在数据库管理中哥斯拉会先从容器中加载可用的jdbc如果没有就通过内存加载jar驱动来链接数据库。 内存shell 内存shell模块实现了在tomcat中注册、卸载内存马 你可以直接注册一个哥斯拉的马或者冰蝎、菜刀的马甚至是regeorg。 比如注册一个/Godzillashell进去 访问发现存在 直接哥斯拉链接就行了。内存shell 无日志会在tomcat重启后消失。 屏幕截图 点截图会自动保存预览在windows上需要shell权限够大。 虚拟终端 这个功能其实是在本地监听端口通过shell与服务器交互实现cmdshell。点击start之后执行nc 127.0.0.1 4444链接本地4444获取cmdshell。 如果不使用nc链接的话会一直占用本地4444端口。用完请exit或点击stop。 JMeterpreter 不用说了 看图就会 ServletManage 用来管理servlet方便管理内存shell。 JarLoader 用其加载jar包主要用途就是加载jdbc。 JZip 打包全站的好助手。 ByPassOpenBasedir BypassDisableFunctions 笔记 笔记模块是jsp\php\aspx都有的模块 ShellCodeLoader 直接通过shell来加载shellcode或者弹meterpreter SafetyKatz mimikatz 需要高权限 lemon 抓常用软件密码 BadPotato 提权模块源于 https://github.com/BeichenDream/BadPotato SharpWeb 参考 https://github.com/djhohnstein/SharpWeb SweetPotato 提权模块 其他选项 配置-程序配置中可以修改字体大小重启后生效。 关闭提示语不解释了上帝模式开启会使文件管理复杂化。 免责声明 程序仅限服务器管理使用切勿用于非法用途非法使用造成的一切后果由自己承担与作者无关。 由于用户滥用造成的一切后果与作者无关。 使用本程序请自觉遵守当地法律法规出现一切后果均与作者无关。 本程序及代码均不得用于商业用途仅作学习交流违者必究。 下载地址:https://github.com/BeichenDream/Godzilla/ 更多精彩实战文章关注微信公众号None安全团队
