哥斯拉流量分析实战:用Wireshark解密NewStarCTF Week4的WebShell通信
哥斯拉流量分析实战:用Wireshark解密WebShell通信的完整指南
在网络安全应急响应中,WebShell流量的识别与解密往往是攻防对抗的关键突破口。去年某金融企业内网渗透事件中,攻击者正是通过一款名为"哥斯拉"的WebShell工具实现了长达三个月的隐蔽控制。本文将还原一个真实的流量分析场景,手把手带您从零开始定位加密通信、逆向加密逻辑,最终提取关键攻击载荷。
1. 初始流量包分析与可疑流定位
面对一个2.3GB的pcap文件时,盲目分析无异于大海捞针。我们需要先通过协议统计和会话分析缩小范围:
# 使用tshark快速统计协议分布 tshark -r godzilla.pcap -qz io,phs典型哥斯拉流量往往具有以下特征:
- 固定间隔(如每30秒)的POST请求
- 请求体包含
pass=xxx等参数 - Content-Type为
application/x-www-form-urlencoded - 响应内容呈现规律性加密特征
在Wireshark中应用显示过滤器:
http.request.method == "POST" && http.content_type == "application/x-www-form-urlencoded"关键参数对比表:
| 参数名 | 正常流量 | 哥斯拉流量 |
|---|---|---|
| User-Agent | 浏览器标识 | 缺省或自定义字符串 |
| Cookie | 会话ID | 可能缺失或固定值 |
| Content-Length | 动态变化 | 固定长度范围 |
2. 哥斯拉流量特征深度解析
定位到可疑流量后,我们需要解剖其通信模式。以示例中的ctfsogood参数为例,这是哥斯拉默认配置的密码字段:
POST /wp-content/plugins.php HTTP/1.1 ... pass=ctfsogood&data=3a5f7e...(加密数据)哥斯拉采用分层加密策略:
- 传输层加密:Base64 + XOR混淆
- 应用层加密:AES/CBC模式(PHP的openssl扩展)
- 通信校验:MD5哈希校验
加密流程伪代码:
function encrypt($input, $key) { $iv = random_bytes(16); $encrypted = openssl_encrypt( $input, 'AES-256-CBC', $key, OPENSSL_RAW_DATA, $iv ); return base64_encode($iv.$encrypted); }3. 自定义解密脚本开发
基于逆向分析的加密逻辑,我们可以用Python实现解密工具:
import base64 from Crypto.Cipher import AES from Crypto.Util.Padding import unpad def godzilla_decrypt(enc_data, key): # Base64解码 raw = base64.b64decode(enc_data) # 提取IV和密文 iv = raw[:16] ciphertext = raw[16:] # AES解密 cipher = AES.new(key.encode(), AES.MODE_CBC, iv) plaintext = unpad(cipher.decrypt(ciphertext), AES.block_size) return plaintext.decode() # 示例用法 encrypted_data = "3a5f7e..." # 从流量中提取的data参数 password = "ctfsogood" print(godzilla_decrypt(encrypted_data, password))常见错误处理:
ValueError: Incorrect padding→ 检查Base64解码前是否去除URL编码Key must be 16/24/32 bytes long→ 确保密钥长度符合AES要求Padding is incorrect→ 验证IV提取是否正确
4. 实战案例:从流量到Flag的完整路径
让我们模拟一个真实场景的处理流程:
流量筛选:
tcp.stream eq 183 && http.request.uri contains "plugins.php"参数提取:
- 请求参数:
pass=ctfsogood - 加密数据:
data=3a5f7e...
- 请求参数:
解密操作:
# 将Wireshark中的hexdump转为字符串 import binascii hex_data = "3a5f7e..." bytes_data = binascii.unhexlify(hex_data) base64_data = base64.b64encode(bytes_data).decode() # 执行解密 print(godzilla_decrypt(base64_data, "ctfsogood"))结果分析: 解密后可能获得如下指令:
{ "cmd": "exec", "args": ["cat /flag.txt"], "timeout": 30 }
专业提示:哥斯拉3.0+版本开始采用动态密钥协商机制,需要先提取密钥交换阶段的RSA加密数据才能获得后续会话密钥。
5. 高级技巧与自动化分析
对于大规模流量分析,可以结合Suricata等工具创建检测规则:
alert http $HOME_NET any -> $EXTERNAL_NET any ( msg:"Possible Godzilla Webshell Activity"; flow:established,to_server; http.method; content:"POST"; http.uri; content:".php"; http.request_body; content:"pass="; http.request_body; content:"data="; classtype:trojan-activity; sid:20231215; rev:1; )自动化分析脚本框架:
from pyshark import FileCapture def analyze_pcap(pcap_path): cap = FileCapture(pcap_path, display_filter='http') for pkt in cap: if hasattr(pkt.http, 'request_full_uri'): uri = pkt.http.request_full_uri if 'pass=' in pkt.http.get_field_value('request_body'): print(f"[!] Found suspicious request: {uri}") print(f" {pkt.http.request_body}")在真实环境中,攻击者往往会修改默认参数名和加密方式。这时需要结合以下特征进行辅助判断:
- 固定时间间隔的心跳请求
- 异常PHP函数调用(如
eval、system) - 响应内容的熵值分析
- 与C2服务器的关联IP分析
6. 防御视角:如何检测和阻断此类通信
从蓝队角度,我们可以通过多种手段增强防御:
网络层检测:
- 深度包检测(DPI)识别加密模式
- 异常HTTP POST请求频率监控
- 非标准User-Agent拦截
主机层检测:
# 查找可疑PHP文件 find /var/www -name "*.php" -exec grep -l "eval(" {} \; # 检查最近修改的Web文件 find /var/www -mtime -1 -type fWeb应用防火墙(WAF)规则示例:
SecRule REQUEST_METHOD "@streq POST" \ "chain,id:10001,phase:2,deny,msg:'Godzilla Webshell Detected'" SecRule REQUEST_BODY "@rx pass=[^&]+&data=[a-f0-9]+" \ "t:urlDecode,t:lowercase"实际案例表明,结合网络流量分析与主机日志关联能有效发现90%以上的WebShell活动。某次红队演练中,防守方正是通过Nginx的access日志中异常的HTTP 200响应大小分布,成功定位了加密WebShell的通信行为。