网上搜到的哥斯拉安装的文章千篇一律,有的甚至一个字都没变。作为一个新手,这些文章在某些方面没办法解决我的问题,所以在这里总结一下小白可能会遇到的一些问题和解决方法。
另外,在文章结尾附上哥斯拉下载的连接,国内访问GitHub比较麻烦。


前言

1、本文包括哥斯拉的下载、安装,以及利用upload-labs-master的第一关练习使用哥斯拉。
2、我本机上是jdk16,可以正常使用哥斯拉,不用去专门安一个jdk1.8。
3、upload-labs项目地址,请自行上网搜索安装教程,本文使用phpstudy搭建环境(使用其它环境也可,自行选择一个有上传漏洞的靶场环境就好,这里只是为了演示工具的使用)


一、下载安装

下载

这里演示从零开始的下载(GitHub国内访问有点慢,方便一下国内的同学,我在本站上传了一个免费的下载地址

登录github官网,搜索godzilla。
官网页面搜索godzilla
点击第一个,支持原作者BeichenDream(其他的我也没下载,不清楚都是什么)
支持原作者
(第一次使用github的时候不知道哪一个是正确的,因为也页面上有很多资源,傻傻分不清楚。即使选对了作者发布的资源也没找着哪里下载,总是下载了一堆说明文件,没有主要的像.jar文件之类的内容)
经常会直接点进来就"code"->下载zip,就只下载了一堆说明文件。在右侧有个"releases",这里才是真正的工具的历史版本下载地点。
在这里插入图片描述
选择最新版(4.0.1),这里就是我们需要的godzilla.jar文件了,点击下载就好。
正确的下载页面

安装

双击运行下载好的godzilla.jar文件,第一次打开会在同目录下生成data.db数据库存放数据。(运行环境要求在README.md文件中有详细介绍)
文件夹里的样子
第一次打开可能有点慢,哥斯拉界面是这样的。
哥斯拉界面

二、工具使用

打开upload-labs第一关的实验环境(这里只是用来演示哥斯拉使用,其他环境也可以)
第一关

生成木马

打开哥斯拉,“管理”->“生成”,按图所示生成一个木马。(亲测,使用自己写的木马连不上哥斯拉,可能因为哥斯拉的流量都是经过加密的,具体原因我也没仔细去了解)
生成哥斯拉木马
选择文件生成路径并设置文件名。
生成木马
成功生成木马文件
成功生成
打开看一下生成的木马文件,其实就是php的一句话木马。
木马内容

过滤绕过

upload-labs的第一关是一个前端校验,可以通过使用burp拦截数据包修改内容,实现绕过。把gsl.php的后缀改为.png。
上传步骤
去burp里将上传文件的后缀名改回php,然后forword。
burp改包
回到浏览器,可以看到木马已经上传成功了。按F12查看一下文件路径。这里路径里有"…/"需要拼接一下 (一个小技巧:F12出来后右上角有一个小箭头,选择它。然后鼠标移动到页面哪里就会自动定位到该处的代码)
在这里插入图片描述

工具连接

url拼接结果如下:
获得完整url
回到哥斯拉,“目标”->“添加”,填写里面的内容。要和这个木马生成时候选的的选项保持一致。
哥斯拉连接
可以先“测试连接”,看是否有出错,提示“success”了再“添加”。
成功连接
选中目标,鼠标右键->“进入”,就可以看到内容了。
成功拿到webshell


相关资源:https://download.csdn.net/download/zibery/85527055

Logo

旨在为数千万中国开发者提供一个无缝且高效的云端环境,以支持学习、使用和贡献开源项目。

更多推荐