基于科来工具的哥斯拉(Godzilla)流量分析教学文档<\/h1>

一、工具准备与环境配置<\/h2>

科来网络分析系统<\/strong>：用于流量捕获与分析，支持实时分析和回放分析<\/li>
Wireshark<\/strong>：备选抓包工具（但科来在此场景下更具优势）<\/li>
哥斯拉(Godzilla)Webshell<\/strong>：分析对象，版本特征为使用base64编码传输<\/li>

ABC_123师傅的解密工具<\/strong>：用于解密哥斯拉流量中的密文<\/li> <\/ol>
二、基础流量分析方法<\/h2>
1. 数据包导入<\/h3>

支持两种方式：

点击"添加文件"按钮选择数据包文件<\/li>
直接拖拽数据包文件到科来界面<\/li> <\/ul> <\/li> <\/ul>
2. 协议分析<\/h3>

点击"协议"视图（非概要视图）<\/li>
查看"协议分级"统计各协议流量占比<\/li>
重点关注HTTP协议（通常占比最高）<\/li> <\/ol>
3. HTTP日志分析<\/h3>

通过HTTP日志查看流量走向<\/li>
关键观察点：

请求URL（特别是首次请求的异常URL）<\/li>
HTTP方法（GET\/POST等）<\/li>
响应状态码<\/li> <\/ul> <\/li>
示例发现：3595ba653cb9453a3ba63aa47152b40f.php<\/code>首次被请求<\/li> <\/ol> 三、哥斯拉流量特征分析<\/h2> 1. Webshell上传阶段<\/h3> 文件上传漏洞利用<\/strong>：<\/p> 攻击者上传base64编码的PHP文件<\/li> 示例文件：3595ba653cb9453a3ba63aa47152b40f.php<\/code><\/li> 内容：<?php phpinfo(); ?><\/code>（测试漏洞可用性）<\/li> <\/ul> <\/li> Webshell植入<\/strong>：<\/p> 上传base64编码的哥斯拉Webshell<\/li> 示例文件：64a426f73480e39e01589dcc832b5b58.php<\/code><\/li> 认证参数：密码：password<\/code><\/li> Key值：2591c98b70119fe6<\/code><\/li> <\/ul> <\/li> <\/ul> <\/li> <\/ol> 2. 连接测试阶段<\/h3> test方法<\/strong>：<\/p> 哥斯拉首先使用test方法测试连接性<\/li> 请求示例： methodName test password=WFxFC1ZcLFZdVDM9ZmU2RlBKRQ%3D%3D <\/code><\/pre> <\/li> 响应示例： da5e516094aa1c4dKrI5Yzk4YjcwMvr2YGVx7+lAM2M5OA==e3193740098942d0 <\/code><\/pre> <\/li> 解密后响应内容：ok<\/code><\/li> <\/ul> <\/li> getBasicsInfo方法<\/strong>：<\/p> 获取目标系统基本信息<\/li> 请求示例： methodName getBasicsInfo password=WFxFC1ZcLFZdVDM0ZmU2VVBNcwJKUQFEeV9XVg%3D%3D <\/code><\/pre> <\/li> 响应包含大量系统信息：操作系统：Linux<\/code><\/li> 内核版本：6.9.8-orbstack-00170-g7b4100b7ced4<\/code><\/li> 当前用户：www-data<\/code><\/li> 服务器IP：192.168.215.2<\/code><\/li> PHP版本：5.5.9-1ubuntu4.29<\/code><\/li> 禁用函数列表：pcntl_alarm,pcntl_fork,...<\/code><\/li> Web目录：\/var\/www\/html\/preview\/<\/code><\/li> <\/ul> <\/li> <\/ul> <\/li> <\/ol> 3. 命令执行阶段<\/h3> execCommand方法<\/strong>：<\/p> 执行系统命令<\/li> 典型命令结构： sh -c "cd "\/var\/www\/html\/preview\/";cd "\/"&&echo yQ3SXF&&pwd&&echo BZ1BR3" 2>&1 <\/code><\/pre> <\/li> 特征：使用echo<\/code>添加混淆前缀(yQ3SXF)和后缀(BZ1BR3)<\/li> 实际输出内容位于中间部分<\/li> 错误输出重定向到标准输出(2>&1<\/code>)<\/li> <\/ul> <\/li> <\/ul> <\/li> 常见攻击命令<\/strong>：<\/p> 目录遍历：pwd<\/code><\/li> 文件查看：cat \/flag.txt<\/code><\/li> 文件列表：ls<\/code><\/li> <\/ul> <\/li> <\/ol> 四、科来工具的高级功能<\/h2> 数据流分析<\/strong>：<\/p> 双击特定请求可直接查看完整数据流<\/li> 优势：即使删除数据流，页面仍保持当前位置（优于Wireshark）<\/li> <\/ul> <\/li> 内置编解码工具<\/strong>：<\/p> 右键菜单提供编解码转换功能<\/li> 支持base64解码等常见编码方式<\/li> <\/ul> <\/li> 响应内容保存<\/strong>：<\/p> 可将特定响应内容保存到本地分析<\/li> <\/ul> <\/li> <\/ol> 五、防御建议<\/h2> 检测特征<\/strong>：<\/p> 监控异常PHP文件创建（随机文件名）<\/li> 检测base64编码的HTTP请求\/响应<\/li> 关注test、getBasicsInfo、execCommand等异常方法名<\/li> <\/ul> <\/li> 防护措施<\/strong>：<\/p> 限制上传目录的执行权限<\/li> 禁用危险PHP函数（如exec、system等）<\/li> 监控www-data用户执行的异常命令<\/li> 部署WAF规则检测哥斯拉特征流量<\/li> <\/ul> <\/li> 日志审计<\/strong>：<\/p> 加强HTTP访问日志记录<\/li> 监控PHP文件创建行为<\/li> 记录完整的HTTP请求\/响应（特别是POST数据）<\/li> <\/ul> <\/li> <\/ol> 六、附录：哥斯拉流量解密方法<\/h2> 使用ABC_123师傅的工具解密步骤：<\/p> 提取password参数值<\/li> 使用已知key(2591c98b70119fe6<\/code>)解密<\/li> 解析原始请求\/响应内容<\/li> <\/ul> <\/li> 解密示例：<\/p> # 请求 password=WFxFC1ZcLFZdVDM9ZmU2RlBKRQ%3D%3D 解密为: methodName test # 响应 da5e516094aa1c4dKrI5Yzk4YjcwMvr2YGVx7+lAM2M5OA==e3193740098942d0 解密为: ok <\/code><\/pre> <\/li> <\/ol> 通过以上分析流程，安全人员可以有效识别和防御哥斯拉Webshell的攻击行为。<\/p>