哥斯拉Godzilla webshell管理工具【文末赠书】

日期： 2023-02-28 17:17:05 来源：LemonSec收集编辑：

转自：None安全团

各大厂商的waf不断，在静态查杀、流量通信等方面对webshell进行拦截，众红队急需一款优秀的权限管理工具，冰蝎3.0的发布可能缓解了流量加密的困境，但是冰蝎3.0的bug众多，很多朋友甚至连不上冰蝎的shell，

于是团队的BeiChenDream师傅开发了这款“哥斯拉“ 本文出自ChaBug Y4er师傅

简单使用方法

在哥斯拉安装之前，你需要安装jdk1.8的环境。双击Godzilla.jar打开，此时会在同目录下生成data.db数据库存放数据。首页长这样

点击管理–添加生成所需的webshell，哥斯拉支持jsp、php、aspx等多种载荷，java和c#的载荷原生实现AES加密，PHP使用亦或加密。生成时需要记住自己的生成配置用以链接时用。

以java的jsp为例，填写密码和密钥，生成jsp/jspx。本文以tomcat7来演示一些功能。将shell.jsp放入tomcat使用哥斯拉链接。点击目标–添加

选中shell右键选择进入即可进入shell管理界面。

jsp/jspx的shell功能如图

php的功能如图

aspx/ashx/asmx的功能如图

简单使用介绍就到这里。

一些特性

为什么我放着冰蝎、蚁剑还有什么天蝎不用而要用你的哥斯拉？

哥斯拉全部类型的shell均过市面所有静态查杀
哥斯拉流量加密过市面全部流量waf
哥斯拉的自带的插件是冰蝎、蚁剑不能比拟的

静态免杀就不说了，工具放出来之后可能会免杀一段时间就不行了，当然随便改改就能继续过。重点是看流量加密和一些自带的插件。

流量加密

先来看流量加密，仍然以jsp为例，修改链接配置里的代理选项为http代理，让流量代理到Burp中。

执行dir命令的请求包

响应包

或许你说headers里的一些ua和Accept太扎眼了，别担心，这些可以自己配置。

在shell编辑的请求配置中修改

或者在配置–全局配置中修改

此时在看请求包和响应包完全没有特征

并且在请求包的thisisleftData和thisisrightData可以修改为其他杂乱数据来进行干扰。到这里还不说一句哥斯拉天下第一？

插件模块

一些基本的模块比如：基本信息、文件管理、命令执行我这里就不再赘述了。

数据库管理

相信大家在使用蚁剑的时候没少碰到过连不上数据库的情况，我自己碰到过一个环境就是shell所在的tomcat container没有jdbc的jar包依赖导致连不上数据库，偏偏蚁剑没什么好办法。而在哥斯拉中就不必担心这个问题，在数据库管理中哥斯拉会先从容器中加载可用的jdbc，如果没有就通过内存加载jar驱动来链接数据库。

内存shell

内存shell模块实现了在tomcat中注册、卸载内存马

你可以直接注册一个哥斯拉的马或者冰蝎、菜刀的马，甚至是regeorg。

比如注册一个/Godzillashell进去

访问发现存在

直接哥斯拉链接就行了。内存shell 无日志，会在tomcat重启后消失。

屏幕截图

点截图会自动保存预览，在windows上需要shell权限够大。

虚拟终端

这个功能其实是在本地监听端口，通过shell与服务器交互实现cmdshell。点击start之后执行nc 127.0.0.1 4444链接本地4444获取cmdshell。

如果不使用nc链接的话会一直占用本地4444端口。用完请exit或点击stop。

JMeterpreter

不用说了看图就会

ServletManage

用来管理servlet，方便管理内存shell。

JarLoader

用其加载jar包，主要用途就是加载jdbc。

JZip

打包全站的好助手。

ByPassOpenBasedir

BypassDisableFunctions

笔记

笔记模块是jsp\php\aspx都有的模块

ShellCodeLoader

直接通过shell来加载shellcode，或者弹meterpreter

SafetyKatz

mimikatz 需要高权限

lemon

抓常用软件密码

BadPotato

提权模块，源于 https://github.com/BeichenDream/BadPotato

SharpWeb

参考 https://github.com/djhohnstein/SharpWeb

SweetPotato

提权模块

其他选项

配置-程序配置中可以修改字体大小，重启后生效。

关闭提示语不解释了，上帝模式开启会使文件管理复杂化。

免责声明

程序仅限服务器管理使用，切勿用于非法用途，非法使用造成的一切后果由自己承担，与作者无关。
由于用户滥用造成的一切后果与作者无关。
使用本程序请自觉遵守当地法律法规，出现一切后果均与作者无关。
本程序及代码均不得用于商业用途，仅作学习交流，违者必究。

下载地址:https://github.com/BeichenDream/Godzilla/

侵权请私聊公众号删文

赠书福利

一：RHCSA/RHCE8红帽Linux认证学习教程

本书从零基础开始讲解，系统介绍了RHCE8的相关知识，以帮助读者快速了解及熟练掌握RHCE8的相关操作，是一本高品质的RHCE认证的学习书籍。

本书分为9篇，共35章。第1篇主要介绍基本配置；第2篇主要介绍用户及权限管理；第3篇主要介绍网络相关配置；第4篇主要介绍存储管理；第5篇主要介绍系统管理；第6篇主要介绍软件管理；第7篇主要介绍安全管理；第8篇主要介绍容器管理；第9篇主要介绍自动化管理工具ansible的使用。

本书适用于希望通过RHCE（红帽认证工程师）考试的读者学习，也可以作为培训班的教材使用。

二：从零开始学Unity游戏开发：场景+角色+脚本+交互+体验+效果+发布

近年来，越来越多的游戏开发爱好者开始关注Unity引擎，相比于其他引擎，Unity有强大的资源商店和跨平台能力，而且容易上手，目前已成为游戏开发行业的主流选择，受到了大量开发者的青睐。

本书共有10章内容，以认识Unity引擎开始，从0到1突破，循序渐进地介绍了Unity游戏开发的方方面面。本书采用知识点讲解、经验技巧与相应的动手练习相结合的方式，将一个完整的游戏案例以章节任务的形式贯穿其中，系统地讲解如何从最基本的熟悉Unity界面操作开始，一步步搭建起游戏场景，让其逐渐丰富生动起来，并能与玩家进行交互，然后添加UI界面完善游戏流程，增强游戏的画面效果和视听体验及游戏的真实性，最终形成一款相对完整的成品游戏，并将游戏成品打包发布到不同的平台，供其他玩家上线体验的全过程。

本书适合游戏开发人员，特别是游戏开发初学者阅读，也适合对游戏开发和Unity感兴趣的读者阅读，还可作为高等院校相关专业和培训机构的教材。

三：Unity手机游戏开发：从搭建到发布上线全流程实战

本书将以一款开放世界类游戏的实践过程为主线，为读者呈现从零开始上线一款游戏的实践路线、游戏引擎Unity的开发模式，以及游戏开发的核心框架。本书共分为3篇，第1篇是场景搭建篇，第2篇是脚本开发篇，第3篇是发布上线篇。第1篇包含第1章和第2章，主要介绍在Unity中如何创建一个游戏项目，如何搭建一款游戏的场景和界面。第2篇包含第3章到第5章，主要介绍一款游戏的核心模块，即游戏控制、角色动画和核心玩法，同时实践一款游戏《小猪奇奇》的完整开发流程。第3篇包含第6章到第8章，主要介绍游戏的移动端发布流程，同时对游戏进行测试与完善，*终把书中的游戏案例打造成一款符合上线标准的游戏。

赠书规则

为了感谢大家一直以来的关注与支持，会有三本书籍免费赠送。

规则如下：

1. 本文末点‘在看’，不需要转发朋友圈，点个‘在看’就可以。

2. 私聊文末公众号发送“0223”即可扫描参与抽奖，注意看是发送暗号“0223”。

3. 中奖者不满足条件1，视为放弃中奖资格。

4.活动截止时间02月23日 16:00点，到时候还要中奖者及时联系号主发送你的中奖核验二维码、收货地址、姓名、手机号以及想要的书籍，好给您发送书籍哦！24小时内未联系号主视为自动放弃！骗书行为出版社会永久拉黑！

先点“再看”，然后点击下方公众号私聊发送“0223” 即可马上扫描参与抽奖