网上搜到的哥斯拉安装的文章千篇一律,有的甚至一个字都没变。作为一个新手,这些文章在某些方面没办法解决我的问题,所以在这里总结一下小白可能会遇到的一些问题和解决方法。
另外,在文章结尾附上哥斯拉下载的连接,国内访问GitHub比较麻烦。
目录
本文包括哥斯拉的下载、安装,以及利用upload-labs-master的第一关练习使用哥斯拉。
2、我本机上是jdk16,可以正常使用哥斯拉,不用去专门安一个jdk1.8。
3、upload-labs项目地址,请自行上网搜索安装教程,本文使用phpstudy搭建环境(使用其它环境也可,自行选择一个有上传漏洞的靶场环境就好,这里只是为了演示工具的使用)
下载
这里演示从零开始的下载(GitHub国内访问有点慢,方便一下国内的同学,我在本站上传了一个免费的下载地址)
登录github官网,搜索godzilla。
点击第一个,支持原作者BeichenDream(其他的我也没下载,不清楚都是什么)
(第一次使用github的时候不知道哪一个是正确的,因为也页面上有很多资源,傻傻分不清楚。即使选对了作者发布的资源也没找着哪里下载,总是下载了一堆说明文件,没有主要的像.jar文件之类的内容)
经常会直接点进来就"code"->下载zip,就只下载了一堆说明文件。在右侧有个"releases",这里才是真正的工具的历史版本下载地点。
选择最新版(4.0.1),这里就是我们需要的godzilla.jar文件了,点击下载就好。
安装
双击运行下载好的godzilla.jar文件,第一次打开会在同目录下生成data.db数据库存放数据。(运行环境要求在README.md文件中有详细介绍)
第一次打开可能有点慢,哥斯拉界面是这样的。
打开upload-labs第一关的实验环境(这里只是用来演示哥斯拉使用,其他环境也可以)
生成木马
打开哥斯拉,“管理”->“生成”,按图所示生成一个木马。(亲测,使用自己写的木马连不上哥斯拉,可能因为哥斯拉的流量都是经过加密的,具体原因我也没仔细去了解)
选择文件生成路径并设置文件名。
成功生成木马文件
打开看一下生成的木马文件,其实就是php的一句话木马。
过滤绕过
upload-labs的第一关是一个前端校验,可以通过使用burp拦截数据包修改内容,实现绕过。把gsl.php的后缀改为.png。
去burp里将上传文件的后缀名改回php,然后forword。
回到浏览器,可以看到木马已经上传成功了。按F12查看一下文件路径。这里路径里有"…/"需要拼接一下 (一个小技巧:F12出来后右上角有一个小箭头,选择它。然后鼠标移动到页面哪里就会自动定位到该处的代码)
工具连接
url拼接结果如下:
回到哥斯拉,“目标”->“添加”,填写里面的内容。要和这个木马生成时候选的的选项保持一致。
可以先“测试连接”,看是否有出错,提示“success”了再“添加”。
选中目标,鼠标右键->“进入”,就可以看到内容了。