基于科来工具的哥斯拉(Godzilla)流量分析教学文档

一、工具准备与环境配置

科来网络分析系统：用于流量捕获与分析，支持实时分析和回放分析
Wireshark：备选抓包工具（但科来在此场景下更具优势）
哥斯拉(Godzilla)Webshell：分析对象，版本特征为使用base64编码传输
ABC_123师傅的解密工具：用于解密哥斯拉流量中的密文

二、基础流量分析方法

1. 数据包导入

支持两种方式：
- 点击"添加文件"按钮选择数据包文件
- 直接拖拽数据包文件到科来界面

2. 协议分析

点击"协议"视图（非概要视图）
查看"协议分级"统计各协议流量占比
重点关注HTTP协议（通常占比最高）

3. HTTP日志分析

通过HTTP日志查看流量走向
关键观察点：
- 请求URL（特别是首次请求的异常URL）
- HTTP方法（GET/POST等）
- 响应状态码
示例发现：3595ba653cb9453a3ba63aa47152b40f.php首次被请求

三、哥斯拉流量特征分析

1. Webshell上传阶段

文件上传漏洞利用：
- 攻击者上传base64编码的PHP文件
- 示例文件：3595ba653cb9453a3ba63aa47152b40f.php
- 内容：<?php phpinfo(); ?>（测试漏洞可用性）
Webshell植入：
- 上传base64编码的哥斯拉Webshell
- 示例文件：64a426f73480e39e01589dcc832b5b58.php
- 认证参数：
  - 密码：password
  - Key值：2591c98b70119fe6

2. 连接测试阶段

test方法：

哥斯拉首先使用test方法测试连接性

请求示例：

methodName test
password=WFxFC1ZcLFZdVDM9ZmU2RlBKRQ%3D%3D

响应示例：

da5e516094aa1c4dKrI5Yzk4YjcwMvr2YGVx7+lAM2M5OA==e3193740098942d0

解密后响应内容：ok

getBasicsInfo方法：
- 获取目标系统基本信息
- 请求示例：
```
methodName getBasicsInfo
password=WFxFC1ZcLFZdVDM0ZmU2VVBNcwJKUQFEeV9XVg%3D%3D
```
- 响应包含大量系统信息：
  - 操作系统：Linux
  - 内核版本：6.9.8-orbstack-00170-g7b4100b7ced4
  - 当前用户：www-data
  - 服务器IP：192.168.215.2
  - PHP版本：5.5.9-1ubuntu4.29
  - 禁用函数列表：pcntl_alarm,pcntl_fork,...
  - Web目录：/var/www/html/preview/

3. 命令执行阶段

execCommand方法：
- 执行系统命令
- 典型命令结构：
```
sh -c "cd "/var/www/html/preview/";cd "/"&&echo yQ3SXF&&pwd&&echo BZ1BR3" 2>&1
```
- 特征：
  - 使用echo添加混淆前缀(yQ3SXF)和后缀(BZ1BR3)
  - 实际输出内容位于中间部分
  - 错误输出重定向到标准输出(2>&1)
常见攻击命令：
- 目录遍历：pwd
- 文件查看：cat /flag.txt
- 文件列表：ls

四、科来工具的高级功能

数据流分析：
- 双击特定请求可直接查看完整数据流
- 优势：即使删除数据流，页面仍保持当前位置（优于Wireshark）
内置编解码工具：
- 右键菜单提供编解码转换功能
- 支持base64解码等常见编码方式
响应内容保存：
- 可将特定响应内容保存到本地分析

五、防御建议

检测特征：
- 监控异常PHP文件创建（随机文件名）
- 检测base64编码的HTTP请求/响应
- 关注test、getBasicsInfo、execCommand等异常方法名
防护措施：
- 限制上传目录的执行权限
- 禁用危险PHP函数（如exec、system等）
- 监控www-data用户执行的异常命令
- 部署WAF规则检测哥斯拉特征流量
日志审计：
- 加强HTTP访问日志记录
- 监控PHP文件创建行为
- 记录完整的HTTP请求/响应（特别是POST数据）

六、附录：哥斯拉流量解密方法

使用ABC_123师傅的工具解密步骤：
- 提取password参数值
- 使用已知key(2591c98b70119fe6)解密
- 解析原始请求/响应内容

解密示例：

# 请求
password=WFxFC1ZcLFZdVDM9ZmU2RlBKRQ%3D%3D
解密为: methodName test

# 响应
da5e516094aa1c4dKrI5Yzk4YjcwMvr2YGVx7+lAM2M5OA==e3193740098942d0
解密为: ok

通过以上分析流程，安全人员可以有效识别和防御哥斯拉Webshell的攻击行为。

基于科来工具的哥斯拉(Godzilla)流量分析教学文档一、工具准备与环境配置科来网络分析系统：用于流量捕获与分析，支持实时分析和回放分析 Wireshark ：备选抓包工具（但科来在此场景下更具优势）哥斯拉(Godzilla)Webshell ：分析对象，版本特征为使用base64编码传输 ABC_ 123师傅的解密工具：用于解密哥斯拉流量中的密文二、基础流量分析方法 1. 数据包导入支持两种方式：点击"添加文件"按钮选择数据包文件直接拖拽数据包文件到科来界面 2. 协议分析点击"协议"视图（非概要视图）查看"协议分级"统计各协议流量占比重点关注HTTP协议（通常占比最高） 3. HTTP日志分析通过HTTP日志查看流量走向关键观察点：请求URL（特别是首次请求的异常URL） HTTP方法（GET/POST等）响应状态码示例发现： 3595ba653cb9453a3ba63aa47152b40f.php 首次被请求三、哥斯拉流量特征分析 1. Webshell上传阶段文件上传漏洞利用：攻击者上传base64编码的PHP文件示例文件： 3595ba653cb9453a3ba63aa47152b40f.php 内容： <?php phpinfo(); ?> （测试漏洞可用性） Webshell植入：上传base64编码的哥斯拉Webshell 示例文件： 64a426f73480e39e01589dcc832b5b58.php 认证参数：密码： password Key值： 2591c98b70119fe6 2. 连接测试阶段 test方法：哥斯拉首先使用test方法测试连接性请求示例：响应示例：解密后响应内容： ok getBasicsInfo方法：获取目标系统基本信息请求示例：响应包含大量系统信息：操作系统： Linux 内核版本： 6.9.8-orbstack-00170-g7b4100b7ced4 当前用户： www-data 服务器IP： 192.168.215.2 PHP版本： 5.5.9-1ubuntu4.29 禁用函数列表： pcntl_alarm,pcntl_fork,... Web目录： /var/www/html/preview/ 3. 命令执行阶段 execCommand方法：执行系统命令典型命令结构：特征：使用 echo 添加混淆前缀(yQ3SXF)和后缀(BZ1BR3) 实际输出内容位于中间部分错误输出重定向到标准输出( 2>&1 ) 常见攻击命令：目录遍历： pwd 文件查看： cat /flag.txt 文件列表： ls 四、科来工具的高级功能数据流分析：双击特定请求可直接查看完整数据流优势：即使删除数据流，页面仍保持当前位置（优于Wireshark）内置编解码工具：右键菜单提供编解码转换功能支持base64解码等常见编码方式响应内容保存：可将特定响应内容保存到本地分析五、防御建议检测特征：监控异常PHP文件创建（随机文件名）检测base64编码的HTTP请求/响应关注test、getBasicsInfo、execCommand等异常方法名防护措施：限制上传目录的执行权限禁用危险PHP函数（如exec、system等）监控www-data用户执行的异常命令部署WAF规则检测哥斯拉特征流量日志审计：加强HTTP访问日志记录监控PHP文件创建行为记录完整的HTTP请求/响应（特别是POST数据）六、附录：哥斯拉流量解密方法使用ABC_ 123师傅的工具解密步骤：提取password参数值使用已知key( 2591c98b70119fe6 )解密解析原始请求/响应内容解密示例：通过以上分析流程，安全人员可以有效识别和防御哥斯拉Webshell的攻击行为。