剖析哥斯拉WebShell管理工具

原创

于 2023-09-15 16:29:14 发布 · 197 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#系统安全 #数据库 #网络安全 #安全 #网络 #计算机网络 #web安全

本文深入分析了哥斯拉WebShell管理工具的加密器，重点关注其默认的AES、BASE64等加密方式，并展示了如何二开自定义加密器。通过Java源码分析，了解到加密器的加载和初始化过程，以及生成WebShell的流程。在修改源码后，成功实现了自定义加密器的加载，并解释了生成WebShell时模板替换的过程。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

1. 前言

本篇主要分析哥斯拉工具生成以及二开方面的内容。

2. 剖析

这里主要关注的点，是加密器方面，在哥斯拉默认的加密器中，有常见的AES BASES64...加密方式

1693812702_64f587dee478581e971bd.png!small

所以为了实现自己的一套加密器，要分析哥斯拉源码的大体以及生成逻辑。

本文主要讲解Java加密器的内容，在下图中，是哥斯拉默认的加密器，位置在：shells.cryptions.JavaAes

当然JavaTest是本人自己测试加的。

1693812882_64f5889220bb0cde2d3dd.png!small

在找到路径之后，把哥斯拉启动，可以发现在 core#ApplicationContext中进行了初始化

1693813327_64f58a4fedba4162cf671.png!small

而以下可以发现，发现了scanCryption方法。根据方法名大致可以猜出是扫描的意思，之后放到了一个map中。

1693813299_64f58a330dac3795b2b79.png!small

既然知道了大致的逻辑，就搞一个测试的加密器，看看哥斯拉能不能加载。这里直接Copy一个加密器即可，而注解中Name就是加密器的名字，PayloadName为载荷，保存为默认的即可。

@CryptionAnnotation(
    Name = "JAVA_TEST",
    payloadName = "JavaDynamicPayload"
)
public class JavaTest implements Cryption {
    private ShellEntit