文章总结: 本文对比分析了Godzilla(哥斯拉)Webshell管理工具四个版本(v2.92、v4.01、ekp1.2、v4.15)的反编译源码,揭示了其从最小架构到完整通信通道系统的演进路径。关键发现包括:v4.15新增C语言Payload、8种通信通道和C2Profile加密链体系,ekp1.2独有Galaxy混淆模块;架构上从注解驱动扩展到Channel系统与内存编译器,加密器从3组增至6组。可操作建议包括关注v4.15的反序列化过滤机制与cBasic数据库协议加密特性,以及ekp_1.2的EK系列绕过检测加密器。 综合评分: 85 文章分类: 恶意软件,漏洞分析,WEB安全,红队,内网渗透
AI生成 | 多版本 Godzilla 反编译源码对比
原创
GLM-5.1 GLM-5.1
赛博生存指南
2026年5月24日 09:28 浙江
在小说阅读器读本章
去阅读
1. 概述
1.1 项目简介
Godzilla(哥斯拉)是一款基于 Java Swing 的桌面应用,定位为 Webshell 管理工具。它采用注解驱动的插件架构,通过 @CryptionAnnotation、@PayloadAnnotation、@PluginAnnotation 三个核心注解配合 ApplicationContext IOC 容器实现自动扫描、发现和注册。本文主要反编译了v2.92、v4.01、ekp_1.2、4.15。
PS: 北辰大佬(@BeichenDream)、艾克(@ekkoo-z)YYDS。👍
1.2 四个版本定位与关系
| 版本 | 内部版本号 | 定位 | 基础架构 | JAR 大小 |
| — | — | — | — | — |
| 2.92 | 2.92 | 最精简版本 | BeautyEye + SQLite | 8.7MB |
| 4.01 | 4.01 | 标准版本 | FlatLaf + BouncyCastle + SQLite + RSyntaxTextArea + Jediterm | 30.4MB |
| ekp_1.2 | 4.01 (基于 4.01) | EKP 定制版 | 同 4.01 + Galaxy + Encoder + EK 加密器 | 51.8MB |
| 4.15 | 4.15 | 特战版(功能最完整) | FlatLaf + WebLogic + Oracle + MSSQL + WebSocket + SnakeYAML | ~44MB |
1.3 版本演进路线图
2.92 (精简版)
│ BeautyEye 主题, 3 Payload, 3 加密组, 20 插件
│ 仅 HTTP 通信, 最小化依赖
│
└──> 4.01 (标准版)
│ FlatLaf 主题, 4 Payload, 4 加密组, ~47 插件
│ + AI 助手, + MCP Server, + C2 Profile 基础版
│ + SocksServer, + aspXor 加密器, + Eval 变种
│
├──> ekp_1.2 (EKP 定制版)
│ 基于 4.01 架构扩展
│ + Galaxy(JSP encounter), + Encoder(编码器)
│ + 5 个 EK 加密器变种(JavaAes_ek, cshapAes_ek,
│ cshapAes_ekbypass, phpXor_ek, JavaRSA)
│ + Suo5MemShell 插件
│
└──> 4.15 (特战版)
全面重构增强
+ 5 Payload(新增 C), 6 加密组, ~84 插件
+ Channel 系统(8 种通信通道)
+ C2 Profile 完整版(加密链 + 模板 + 注解 + 枚举)
+ ShellProcessor(JSP 混淆), + SocketHook
+ 内存编译器, + cBasic 加密(MySQL/PostgreSQL/Redis)
1.4 源码规模对比
| 指标 | 2.92 | 4.01 | ekp_1.2 | 4.15 | | — | — | — | — | — | | Java 文件总数 | 257 | 6,203 | 7,934 | 10,194 | | 应用源码(core) | 53 | 112 | 112 | 146 | | 应用源码(shells) | 32 | 92 | 108 | 133 | | 应用源码(util) | 9 | 1 | 1 | 23 | | 第三方库源码 | ~163 | ~5,998 | ~7,713 | ~9,892 |
2. 功能矩阵总览
| 功能 | 2.92 | 4.01 | ekp_1.2 | 4.15 | | — | — | — | — | — | | Payload 数量 | 3 | 4 | 4 | 5 | | 加密器组数 | 3 | 4 | 9 | 6 | | 加密器文件数 | 6 | 18 | 24 | 29 | | 插件数量 | 20 | 63 | 64 | 84 | | UI 主题 | BeautyEye | FlatLaf | FlatLaf | FlatLaf | | C2 Profile | 无 | 基础版(22文件) | 基础版(22文件) | 完整版(42文件) | | AI 助手 | 移植(6文件) | 原生(6文件) | 原生(6文件) | 原生(6文件) | | MCP Server | 移植(3文件) | 原生(3文件) | 原生(3文件) | 原生(3文件) | | CLI 模式 | 有 | 有 | 有 | 有 | | SocksServer | 无 | 有(9文件) | 有(9文件) | 无 | | Channel 系统 | 无 | 无 | 无 | 8种通道 | | ShellProcessor | 无 | 无 | 无 | 有(5文件) | | SocketHook | 无 | 无 | 无 | 有(3文件) | | Galaxy 模块 | 无 | 无 | 有(10文件) | 无 | | Encoder | 无 | 无 | 有(4文件) | 无 | | 内存编译器 | 无 | 无 | 无 | 有(Javac+MemoryJavaCompiler) | | 反序列化过滤 | 无 | 无 | 无 | 有(GodzillaObjectInputFilter) | | EasyI18N 国际化 | 无 | 有 | 有 | 有 | | CoreClassLoader | 无 | 有 | 有 | 有 | | Shell 缓存 | 无 | 有(cache包) | 有 | 有 |
3. 架构演进对比
3.1 2.92:最小架构
core/ (53文件)
├── ai/ (6文件, 从4.01移植)
├── mcp/ (3文件, 从4.01移植)
├── annotation/ (3注解)
├── imp/ (3接口)
├── shell/ (ShellEntity)
└── ui/ (主界面 + 组件)
shells/ (32文件)
├── cryptions/ (3组: JavaAes, cshapAes, phpXor)
├── payloads/ (3个: java, csharp, php)
└── plugins/ (20个: cshap×8, java×8, php×6)
util/ (9文件)
第三方: BeautyEye, SQLite
特点:最小的依赖集合(BeautyEye + SQLite),仅支持 HTTP 通信,@PluginnAnnotation(拼写错误)是此版本独有。
3.2 4.01:标准架构
core/ (112文件)
├── ai/ (6文件)
├── mcp/ (3文件)
├── c2profile/ (22文件, 基础版)
├── socksServer/ (9文件)
├── annotation/ + imp/ + shell/ + ui/
shells/ (92文件)
├── cryptions/ (4组: +aspXor, +Eval变种, +Weblogic)
├── payloads/ (4个: +asp, +CShapShellEx, +JavaShellEx, +DynamicUpdateClass)
└── plugins/ (63个: +generic包, +asp, 大幅扩展)
第三方: FlatLaf, BouncyCastle, SQLite, RSyntaxTextArea, Jediterm
特点:UI 框架从 BeautyEye 迁移到 FlatLaf,新增 C2 Profile 基础框架、SocksServer、generic 插件包,加密器大幅扩展(+aspXor 5个变种、+Eval 变种、+Weblogic、+Base64Ex)。
3.3 ekp_1.2:扩展架构
core/ (112文件, 同4.01)
shells/ (108文件)
├── cryptions/ (9组: +5个EK变种: JavaAes_ek, cshapAes_ek,
│ cshapAes_ekbypass, phpXor_ek, JavaRSA)
├── encoder/ (4文件: jspencounter, unicode, another_encode)
├── payloads/ (同4.01)
└── plugins/ (64个: +Suo5MemShell)
galaxy/ (10文件)
└── jsp/encounter/ (JSP编码/混淆模块)
第三方: 同4.01 + 额外第三方库
特点:在 4.01 基础上新增 EK 系列加密器(绕过增强检测)、Galaxy JSP encounter 模块、Encoder 编码器子系统。是唯一包含 Galaxy 和 Encoder 的版本。
3.4 4.15:完整架构
core/ (146文件)
├── ai/ (6文件)
├── mcp/ (3文件)
├── c2profile/ (42文件, 完整版: +chain/9加密链 +template/7模板
│ +c2annotation/4注解 +c2enum/8枚举)
├── shellprocessor/ (5文件: JSP escapes, unicode, ChooseProcessor)
├── socketHook/ (3文件: Hook, HookSocksProxy)
├── GodzillaObjectInputFilter.java
├── annotation/ + imp/ + shell/ + ui/
shells/ (133文件)
├── channel/ (8种: HTTP, HttpChunk, WebSocket, TCP, JNDI,
│ MSSQL, Oracle, C2Profile)
├── cryptions/ (6组29文件: +cBasic(MySQL/PostgreSQL/Redis),
│ +JavaJndi, +C2通道加密, +Chunk/WebSocket/Oracle/MSSQL变种)
├── payloads/ (5个: +C)
└── plugins/ (84个: +c, +ohter, +ExecuteAssembly, +EasySocksProxy等)
util/ (23文件: +Javac, +MemoryJavaCompiler, +RC4, +StringEscapeUtils等)
第三方: FlatLaf, WebLogic, Oracle, MSSQL, WebSocket, SnakeYAML
特点:全面重构。新增 Channel 通信系统(8种通道)、C2 Profile 加密链与模板系统、ShellProcessor(JSP 混淆处理)、SocketHook(流量拦截)、内存 Java 编译器、cBasic 加密器(支持 MySQL/PostgreSQL/Redis 协议级加密)、反序列化安全过滤。
4. Payload 对比
4.1 Payload 列表
| Payload 语言 | 2.92 | 4.01 | ekp_1.2 | 4.15 |
| — | — | — | — | — |
| Java | JavaShell | JavaShell + JavaShellEx | JavaShell + JavaShellEx | JavaAShell (重命名) |
| C# | CShapShell | CShapShell + CShapShellEx | CShapShell + CShapShellEx | CSharpShell (重命名) |
| PHP | PhpShell | PhpShell | PhpShell | PhpShell |
| ASP | 无 | AspShell | AspShell | AspShell |
| C | 无 | 无 | 无 | CShell |
| 动态更新 | 无 | DynamicUpdateClass | DynamicUpdateClass | DynamicUpdateClass |
4.2 Payload 差异说明
- • 2.92:仅 3 种 Payload,每种 1 个实现文件
- • 4.01/ekp_1.2:新增 ASP 支持;Java 和 C# 各增加
Ex变体(增强功能);新增DynamicUpdateClass用于动态更新 - • 4.15:新增 C 语言 Payload;Java Payload 重命名为
JavaAShell;C# Payload 重命名为CSharpShell(规范化命名)
4.3 API 差异
| 差异点 | 2.92 | 4.01/ekp_1.2 | 4.15 |
| — | — | — | — |
| Payload getter 方法名 | getPayloadModel() | getPayloadModule() | getPayloadModule() |
| Payload 基类 | 无 | 无 | AbstractPayload |
5. 加密体系对比
5.1 加密器总览
| 加密组 | 2.92 | 4.01 | ekp_1.2 | 4.15 | | — | — | — | — | — | | JavaAes | 3文件 | 5文件 | 7文件 | 7文件 | | cshapAes/csharpAes | 3文件 | 7文件 | 9文件 | 7文件 | | phpXor | 3文件 | 4文件 | 5文件 | 5文件 | | aspXor | 无 | 6文件 | 6文件 | 6文件 | | JavaAes_ek | 无 | 无 | 3文件 | 无 | | cshapAes_ek | 无 | 无 | 2文件 | 无 | | cshapAes_ekbypass | 无 | 无 | 2文件 | 无 | | phpXor_ek | 无 | 无 | 2文件 | 无 | | JavaRSA | 无 | 无 | 2文件 | 无 | | JavaJndi | 无 | 无 | 无 | 2文件 | | cBasic | 无 | 无 | 无 | 4文件 | | 加密器文件总计 | 6 | 18 | 24 | 29 |
5.2 各版本加密器详解
2.92(6 个加密器)
| 加密器 | 说明 |
| — | — |
| JavaAesBase64 | Java AES Base64 编码 |
| JavaAesRaw | Java AES 原始模式 |
| CShapAesBase64 | C# AES Base64 编码 |
| CShapAesRaw | C# AES 原始模式 |
| PhpXor | PHP XOR 加密 |
| PhpXorRaw | PHP XOR 原始模式 |
4.01(18 个加密器,+12 新增)
相比 2.92 新增:
| 加密器 | 说明 |
| — | — |
| AspBase64 | ASP Base64 |
| AspEvalBase64 | ASP Eval Base64 |
| AspRaw | ASP 原始模式 |
| AspXorBae64 | ASP XOR Base64(拼写错误保留) |
| AspXorRaw | ASP XOR 原始模式 |
| CShapAesBase64Ex | C# AES Base64 增强版 |
| CShapAsmxAesBase64 | C# ASPX AES Base64 |
| CShapAsmxAesBase64Ex | C# ASPX AES Base64 增强版 |
| CSharpEvalAesBase64 | C# Eval AES Base64 |
| JavaAesBase64Ex | Java AES Base64 增强版 |
| JavaAesWeblogic | Java AES WebLogic 专用 |
| PhpEvalXor | PHP Eval XOR |
ekp_1.2(24 个加密器,+6 EK 系列独有)
相比 4.01 新增(均为 ekp_1.2 独有):
| 加密器 | 说明 |
| — | — |
| JavaAes_ekBase64 | Java AES EK Base64(绕过增强检测) |
| JavaAes_ekBase64Ex | Java AES EK Base64 增强版 |
| CShapAesBase64_ek | C# AES EK Base64 |
| CShapAesBase64_ekbypass | C# AES EK 绕过版 |
| PhpXor_ek | PHP XOR EK |
| JavaRSA | Java RSA 加密(非对称) |
4.15(29 个加密器,+11 独有变种)
相比 4.01 的变更:
| 加密器 | 说明 |
| — | — |
| BasicCTcpCryption | TCP 基础加密 |
| MysqlCryption | MySQL 协议加密 |
| PostgreSQLCryption | PostgreSQL 协议加密 |
| RedisCryption | Redis 协议加密 |
| CSharpAesBase64 | C# AES(从 CShap 重命名为 CSharp) |
| CSharpAesRaw | C# AES 原始模式 |
| CSharpAsmxAesBase64 | C# ASPX AES |
| CSharpC2 | C# C2 Profile 加密 |
| CSharpEvalAesBase64 | C# Eval AES |
| CSharpMssqlAesRaw | C# MSSQL AES 原始模式 |
| CSharpSoapAesBase64 | C# SOAP AES |
| JavaAesRawBase64 | Java AES Raw+Base64 混合 |
| JavaC2 | Java C2 Profile 加密 |
| JavaOracleXorRaw | Java Oracle XOR 原始模式 |
| ZJavaChunkAes | Java Chunk AES(分块传输) |
| ZJavaWebSocketAes | Java WebSocket AES |
| JavaJndiAesRaw | Java JNDI AES 原始模式 |
| PhpAAXor | PHP AA XOR 变种 |
| PHPAESXOR | PHP AES XOR 混合 |
| PhpC2 | PHP C2 Profile 加密 |
| PhpEvalXor | PHP Eval XOR |
4.15 移除的(相比 4.01/ekp_1.2):JavaAesBase64Ex、JavaAesWeblogic、CShapAesBase64Ex、CShapAsmxAesBase64Ex 被新的命名体系和增强实现替代。
6. 插件覆盖对比
6.1 插件数量统计
| 语言/类别 | 2.92 | 4.01 | ekp_1.2 | 4.15 | | — | — | — | — | — | | Java | 8 | 17 | 18 | 19 | | C# | 8 | 17 | 17 | 19 | | PHP | 6 | 14 | 14 | 14 | | ASP | 0 | 2 | 2 | 2 | | Generic | 0 | 16 | 16 | 27 | | C | 0 | 0 | 0 | 3 | | Other | 0 | 0 | 0 | 2 | | 合计 | 20 | 63 | 64 | 84 |
6.2 基础插件(所有版本共有)
| 插件 | 功能 | 分类 |
| — | — | — |
| RealCmd | 真实命令执行 | 终端 |
| MemoryShell | 内存马管理 | 攻击 |
| Meterpreter | Meterpreter 渗透 | 攻击 |
| Screen | 屏幕截图 | 信息收集 |
| JarLoader | JAR 加载器 | 工具 |
| ServletManage | Servlet 管理(Java) | 管理 |
| JZip | 文件压缩(Java) | 文件操作 |
| ShellcodeLoader | Shellcode 加载器 | 攻击 |
| SweetPotato | Sweet Potato 提权 | 提权 |
| BadPotato | Bad Potato 提权 | 提权 |
| Lemon | Lemon 提权 | 提权 |
| ByPassOpenBasedir | 绕过 PHP open_basedir | PHP |
| BypassDisableFunctions | 绕过 PHP 禁用函数 | PHP |
6.3 4.01+ 新增插件
| 插件 | 功能 | 语言 | 4.01 | ekp_1.2 | 4.15 |
| — | — | — | — | — | — |
| CHttpProxy | HTTP 代理 | C# | 有 | 有 | 有 |
| CPortScan | 端口扫描 | C# | 有 | 有 | 有 |
| CSocksProxy | Socks 代理 | C# | 有 | 有 | 无 |
| CSuperTerminal | 超级终端 | C# | 有 | 有 | 有 |
| EfsPotato | Efs Potato 提权 | C# | 有 | 有 | 有 |
| Mimikatz | Mimikatz 凭证获取 | 通用 | 有 | 有 | 有 |
| PetitPotam | PetitPotam 攻击 | 通用 | 有 | 有 | 有 |
| PeLoader | PE 加载器 | 通用 | 有 | 有 | 有 |
| PortScan | 端口扫描 | 通用 | 有 | 有 | 有 |
| SocksProxy | Socks 代理 | 通用 | 有 | 有 | 无 |
| SuperTerminal | 超级终端 | 通用 | 有 | 有 | 有 |
| HttpProxy | HTTP 代理 | 通用 | 有 | 有 | 有 |
| EnumDatabaseConn | 数据库连接枚举 | Java | 有 | 有 | 有 |
| FilterShell | Filter Shell 管理 | Java | 有 | 有 | 有 |
| JHttpProxy | HTTP 代理 | Java | 有 | 有 | 有 |
| JPortScan | 端口扫描 | Java | 有 | 有 | 有 |
| JSocksProxy | Socks 代理 | Java | 有 | 有 | 无 |
| JSuperTerminal | 超级终端 | Java | 有 | 有 | 有 |
| PAttackFPM | 攻击 FPM | PHP | 有 | 有 | 有 |
| PHttpProxy | HTTP 代理 | PHP | 有 | 有 | 有 |
| PPortScan | 端口扫描 | PHP | 有 | 有 | 有 |
| PPs | 进程管理 | PHP | 有 | 有 | 有 |
| PRealCmd | 命令执行 | PHP | 有 | 有 | 有 |
| PSocksProxy | Socks 代理 | PHP | 有 | 有 | 无 |
| PSuperServer | 超级服务器 | PHP | 有 | 有 | 有 |
| PSuperTerminal | 超级终端 | PHP | 有 | 有 | 有 |
| PWebShellScan | WebShell 扫描 | PHP | 有 | 有 | 有 |
| PZip | 文件压缩 | PHP | 有 | 有 | 有 |
| AEvalCode | Eval 代码执行 | ASP | 有 | 有 | 有 |
| APortScan | 端口扫描 | ASP | 有 | 有 | 有 |
| SharpWeb | SharpWeb 浏览器信息 | C# | 有 | 有 | 有 |
6.4 ekp_1.2 独有插件
| 插件 | 功能 | 语言 | 说明 |
| — | — | — | — |
| Suo5MemShell | Suo5 内存马隧道 | Java | 内网穿透隧道插件 |
6.5 4.15 独有插件
| 插件 | 功能 | 语言 | 说明 |
| — | — | — | — |
| CShell | C 语言 Payload | C | 全新语言支持 |
| CEasySocksProxy | 简易 Socks 代理 | C | 替代旧版 SocksProxy |
| CSuperTerminal | 超级终端 | C | C 语言终端 |
| CExecuteAssembly | 执行 .NET Assembly | C# | 内联 .NET 执行 |
| EvalCode | Eval 代码执行 | C#/Java | 通用代码执行 |
| ListMachineKey | 读取 MachineKey | C# | ASP.NET MachineKey 提取 |
| CSharpC2 Cryption | C2 Profile 集成 | C# | C2 Profile 加密 |
| ExecuteAssembly | 执行 .NET Assembly | 通用 | 跨语言 Assembly 执行 |
| EasySocksProxy | 简易 Socks 代理 | 通用 | 替代旧版 SocksProxy |
| ZipCompress | ZIP 压缩 | 通用 | 通用压缩功能 |
| JExecuteAssembly | Java 版 Assembly 执行 | Java | Java 端 .NET 执行 |
| JEasySocksProxy | Java 版简易 Socks | Java | 替代 JSocksProxy |
| MemoryShellInject | 内存马注入 | Java | 替代 MemoryShell |
| PEasySocksProxy | PHP 版简易 Socks | PHP | 替代 PSocksProxy |
| PEvalCode | PHP Eval 代码 | PHP | PHP 代码执行 |
| MS17010 | MS17-010 检测 | 通用 | EternalBlue 漏洞扫描 |
| NetBIOS | NetBIOS 扫描 | 通用 | 内网信息收集 |
| OXIDScan | OXID 扫描 | 通用 | 内网主机发现 |
| HttpToProfile | HTTP 转 Profile | Other | C2 Profile 辅助 |
| RsaUtils | RSA 工具 | Other | 加密工具 |
6.6 功能交叉索引
| 功能类别 | 2.92 | 4.01 | ekp_1.2 | 4.15 | | — | — | — | — | — | | 终端/命令执行 | RealCmd | +SuperTerminal | +SuperTerminal | +EvalCode | | 代理/隧道 | 无 | HttpProxy + SocksProxy | HttpProxy + SocksProxy | +EasySocksProxy | | 提权 | SweetPotato, BadPotato, Lemon | +EfsPotato, +PetitPotam | +EfsPotato, +PetitPotam | +EfsPotato, +PetitPotam | | 凭证获取 | 无 | Mimikatz | Mimikatz | Mimikatz + ListMachineKey | | 文件操作 | JZip, CZip, PZip | 同 | 同 | +ZipCompress | | 端口扫描 | 无 | PortScan | PortScan | +MS17010 + OXIDScan | | 内存马 | MemoryShell | MemoryShell | MemoryShell | MemoryShellInject | | 渗透攻击 | Meterpreter, ShellcodeLoader | +PeLoader | +PeLoader +Suo5MemShell | +ExecuteAssembly +PeLoader | | 信息收集 | Screen | Screen | Screen | Screen + NetBIOS | | 数据库 | 无 | EnumDatabaseConn | EnumDatabaseConn | EnumDatabaseConn |
7. 通信能力对比
7.1 通信通道支持
| 通信通道 | 2.92 | 4.01 | ekp_1.2 | 4.15 |
| — | — | — | — | — |
| HTTP | 有 | 有 | 有 | 有(HttpRequestChannel) |
| HTTP Chunk | 无 | 无 | 无 | 有(HttpChunkChannel) |
| WebSocket | 无 | 无 | 无 | 有(WebsocketChannel) |
| TCP | 无 | 无 | 无 | 有(TCPRequestChannel) |
| JNDI | 无 | 无 | 无 | 有(JNDIRequestChannel) |
| MSSQL | 无 | 无 | 无 | 有(MssqlChannel) |
| Oracle | 无 | 无 | 无 | 有(OracleChannel) |
| C2Profile | 无 | 无 | 无 | 有(C2ProfileHttpRequestChannel) |
7.2 通信架构说明
2.92 / 4.01 / ekp_1.2:仅支持 HTTP 通信,通过 util/http/ 包中的 Http 类发送请求。4.01 和 ekp_1.2 通过 SocksServer 提供代理转发能力(HttpToSocks、PortForward),但底层通信通道仍为 HTTP。
4.15:引入全新的 Channel 架构。RequestChannel 作为抽象接口,8 种通道实现覆盖了从传统 HTTP 到数据库协议(MSSQL、Oracle)、应用协议(WebSocket、JNDI)、自定义协议(TCP、HTTP Chunk、C2Profile)的全方位通信能力。每种通道可以配合对应的加密器使用(如 JavaOracleXorRaw + OracleChannel、ZJavaWebSocketAes + WebsocketChannel)。
7.3 SocksServer 对比
| 特性 | 4.01 | ekp_1.2 | 4.15 | | — | — | — | — | | SocksServer | 有 | 有 | 无 | | HttpToSocks | 有 | 有 | 无 | | PortForward | 有 | 有 | 无 | | SocketHook 替代 | 无 | 无 | 有 |
4.15 移除了独立的 SocksServer,通过 SocketHook(Hook、HookSocksProxy)+ EasySocksProxy 系列插件实现了更灵活的代理能力。
8. API 差异对比
8.1 核心 API 差异
| 差异点 | 2.92 | 4.01 | ekp_1.2 | 4.15 |
| — | — | — | — | — |
| Payload getter | getPayloadModel() | getPayloadModule() | getPayloadModule() | getPayloadModule() |
| Plugin 注解名 | @PluginnAnnotation | @PluginAnnotation | @PluginAnnotation | @PluginAnnotation |
| Plugin DisplayName | CN_HASH_MAP | 注解字段 | 注解字段 | 注解字段 |
| execSql 签名 | 7 参数 | 8 参数 | 8 参数 | GDatabaseResult |
| ApplicationContext init | 手动调 init() | 手动调 init() | 手动调 init() | static init 块包含 |
| Generate silentMode | 有 | 无(.class) | 有 | 不需要 |
| gen 命令弹窗 | 否 | 是 | 否 | 否 |
| AbstractPayload | 无 | 无 | 无 | 有 |
| ShellProcessor 接口 | 无 | 无 | 无 | 有 |
| JAVA_VERSION | 无 | 无 | 无 | 有有(运行时检测) |
8.2 接口体系差异
| 接口/抽象类 | 2.92 | 4.01 | ekp_1.2 | 4.15 |
| — | — | — | — | — |
| Cryption | 有 | 有 | 有 | 有 |
| Payload | 有 | 有 | 有 | 有 |
| Plugin | 有 | 有 | 有 | 有 |
| AbstractPayload | 无 | 无 | 无 | 有 |
| ShellProcessor | 无 | 无 | 无 | 有 |
| RequestChannel | 无 | 无 | 无 | 有 |
8.3 注解差异
| 注解 | 2.92 | 4.01 | ekp_1.2 | 4.15 |
| — | — | — | — | — |
| @CryptionAnnotation | 有 | 有 | 有 | 有 |
| @PayloadAnnotation | 有 | 有 | 有 | 有 |
| @PluginAnnotation | 无(拼写错误) | 有 | 有 | 有 |
| @PluginnAnnotation | 有(2.92独有拼写) | 无 | 无 | 无 |
| @C2ProfileCryption | 无 | 无 | 无 | 有 |
| @C2ProfilePayloadConfig | 无 | 无 | 无 | 有 |
| @C2ProfilePluginConfig | 无 | 无 | 无 | 有 |
| @C2ProfileTemplate | 无 | 无 | 无 | 有 |
9. C2 Profile 演进
9.1 版本对比
| 特性 | 2.92 | 4.01 | ekp_1.2 | 4.15 | | — | — | — | — | — | | C2 Profile | 无 | 基础版 | 基础版 | 完整版 | | 文件数 | 0 | 22 | 22 | 42 | | 加密链 | 无 | 无 | 无 | 有(9种) | | 模板系统 | 无 | 无 | 无 | 有(7个) | | 注解系统 | 无 | 无 | 无 | 有(4个) | | 枚举定义 | 无 | 有(3个) | 有(3个) | 有(8个) |
9.2 基础版(4.01 / ekp_1.2)
基础版 C2 Profile 包含 22 个 Java 文件:
| 模块 | 文件 | 说明 |
| — | — | — |
| 核心 | C2Profile , C2Generate, C2ProfileLoader, C2Request, C2Response | Profile 定义、生成、加载、请求/响应 |
| 配置 | BasicConfig , CoreConfig | 基础配置和核心配置 |
| 加密 | C2Channel , CryptionContext | 加密通道上下文 |
| 事件 | DecryptionEvent , EncryptedEvent | 解密/加密事件 |
| 评估 | EvaluationContext , EvaluationType | 表达式评估 |
| 位置 | ChannelLocationEnum | 通道位置枚举 |
| 通道 | RequestChannelEnum , RequestChannelType, ResponseChannelEnum, ResponseChannelType | 请求/响应通道定义 |
| 辅助 | C2ProfileCheck , C2ProfileContext, CommandMode | 检查、上下文、命令模式 |
| 异常 | UnsupportedOperationException | 不支持操作异常 |
9.3 完整版(4.15)
完整版在基础版基础上新增 20 个文件,增加 4 个子系统:
加密链系统(chain/,9个实现 + 1个抽象基类)
| 加密链 | 说明 |
| — | — |
| CryptionAES128Chain | AES-128 加密链 |
| CryptionAES256Chain | AES-256 加密链 |
| CryptionBase64Chain | Base64 编码链 |
| CryptionHexChain | Hex 编码链 |
| CryptionRawChain | 原始数据链 |
| CryptionRsaChain | RSA 非对称加密链 |
| CryptionURLChain | URL 编码链 |
| CryptionXorChain | XOR 加密链 |
| AbstractC2ProfileCryptionChain | 加密链抽象基类 |
模板系统(template/,6个实现 + 1个抽象基类)
| 模板 | 说明 |
| — | — |
| JavaJspTemplate | Java JSP 模板 |
| JavaMemoryShellTemplate | Java 内存马模板 |
| JavaServletApiTemplate | Java Servlet API 模板 |
| CSharpAspxTemplate | C# ASPX 模板 |
| CSharpMemoryShellTemplate | C# 内存马模板 |
| PhpTemplate | PHP 模板 |
| AbstractTemplate | 模板抽象基类 |
注解系统(c2annotation/,4个注解)
| 注解 | 说明 |
| — | — |
| @C2ProfileCryption | 标记 C2 加密器 |
| @C2ProfilePayloadConfig | Payload 配置 |
| @C2ProfilePluginConfig | 插件配置 |
| @C2ProfileTemplate | C2 模板标记 |
枚举系统(c2enum/,8个枚举)
| 枚举 | 说明 |
| — | — |
| CastStrEnum | 字符串转换枚举 |
| CommandMode | 命令模式 |
| CryptionChainEnum | 加密链类型枚举 |
| RequestBodyEnum | 请求体类型枚举 |
| RequestChannelEnum | 请求通道枚举 |
| RequestCheckEnum | 请求检查枚举 |
| RequestCheckOperationEnum | 请求检查操作枚举 |
| ResponseChannelEnum | 响应通道枚举 |
10. 独有功能详解
10.1 2.92 独有功能
| 功能 | 说明 |
| — | — |
| BeautyEye 主题 | 使用 BeautyEye LAF 作为 UI 主题,后继版本全部迁移到 FlatLaf |
| @PluginnAnnotation | Plugin 注解拼写错误(多了一个 n),后继版本修正为 @PluginAnnotation |
| getPayloadModel() | Payload getter 方法名,后继版本改为 getPayloadModule() |
| silentMode | Generate 类支持静默模式生成,不弹窗 |
| JavaVersion 工具 | util/JavaVersion.java 检测 Java 版本,后继版本整合到其他位置 |
10.2 4.01 独有功能
| 功能 | 说明 |
| — | — |
| SocksServer | 独立的 Socks 代理服务器模块(9文件),包含 SocksServer、PortForward、HttpToSocks 等 |
| JavaAesWeblogic | WebLogic 专用 AES 加密器,4.15 中被移除/替代 |
| CShapAsmxAesBase64/Ex | ASPX ASMx AES 加密器,4.15 中重命名为 CSharp 前缀 |
| CShapAesBase64Ex | C# AES 增强版,4.15 中重新组织 |
10.3 ekp_1.2 独有功能
| 功能 | 说明 |
| — | — |
| Galaxy 模块 | JSP encounter 子系统(10文件),包含 JSP 编码、混淆、字符集转换、XML 处理等 |
| Encoder 编码器 | 4个编码器实现:jspencounter(JSP 混淆)、unicode(Unicode 编码)、another_encode(备用编码) |
| EK 加密器系列 | 5组 EK(Enhanced Kernel?)变种加密器,用于绕过增强型安全检测 |
| JavaAes_ek | Java AES EK 变种(2文件),支持 Base64 和 Base64Ex |
| cshapAes_ek | C# AES EK 变种(1文件) |
| cshapAes_ekbypass | C# AES EK 绕过变种(1文件) |
| phpXor_ek | PHP XOR EK 变种(1文件) |
| JavaRSA | Java RSA 非对称加密(2文件),唯一使用 RSA 的加密器 |
| Suo5MemShell | Suo5 内存马隧道插件,基于 HTTP 隧道的内网穿透 |
10.4 4.15 独有功能
| 功能 | 说明 |
| — | — |
| Channel 系统 | 8种通信通道(HTTP、HttpChunk、WebSocket、TCP、JNDI、MSSQL、Oracle、C2Profile),彻底摆脱单一 HTTP 依赖 |
| ShellProcessor | Shell 处理器子系统(5文件),支持 JSP escapes(转义混淆)、JSP Unicode 编码,通过 ChooseProcessor 自动选择处理策略 |
| SocketHook | Socket 钩子(3文件),拦截 Java Socket 调用实现透明代理(Hook、HookSocksProxy、CurrentThreadSocketAddress) |
| 加密链系统 | C2 Profile 内置 9 种加密链(AES-128/256、Base64、Hex、Raw、RSA、URL、XOR),支持链式组合 |
| 模板系统 | 7 个代码生成模板(Java JSP/Servlet/内存马、C# ASPX/内存马、PHP),配合 C2 Profile 自动生成 |
| 内存编译器 | Javac + MemoryJavaCompiler + MemoryJavaFileManager,支持运行时编译 Java 代码 |
| cBasic 加密器 | 数据库协议级加密(MySQL、PostgreSQL、Redis),配合对应 Channel 实现 |
| JavaJndi 加密器 | JNDI 协议加密器 |
| 反序列化过滤 | GodzillaObjectInputFilter 实现 Java 反序列化安全过滤 |
| 内网扫描 | MS17010 (EternalBlue 检测)、NetBIOS(NetBIOS 扫描)、OXIDScan(OXID 接口扫描) |
| ExecuteAssembly | 跨语言 .NET Assembly 执行(generic + java + csharp 三端支持) |
| EasySocksProxy | 简化版 Socks 代理(替代旧版 SocksProxy 系列,支持 c/java/php 三端) |
| ListMachineKey | ASP.NET MachineKey 提取工具 |
| RC4 加密工具 | util/RC4.java RC4 流加密实现 |
| StringEscapeUtils | 字符串转义工具 |
11. 版本选择建议
11.1 按场景推荐
| 使用场景 | 推荐版本 | 理由 | | — | — | — | | 学习/研究架构 | 2.92 | 代码量最小(257文件),架构清晰,易于理解注解驱动的插件体系 | | 轻量级部署 | 2.92 | JAR 最小(8.7MB),依赖最少,启动最快 | | 标准渗透测试 | 4.01 | 功能均衡,插件覆盖面广(63个),支持 4 种 Payload,稳定可靠 | | EKP 环境定制 | ekp_1.2 | 包含 EK 系列加密器(绕过增强检测)、Galaxy JSP 混淆、Suo5MemShell 隧道 | | 高级渗透/红队 | 4.15 | 功能最完整,8种通信通道、84个插件、加密链、模板系统、内网扫描 | | 需要非 HTTP 通信 | 4.15 | 唯一支持 WebSocket/TCP/JNDI/MSSQL/Oracle 等非 HTTP 通道的版本 | | 内网横向移动 | 4.15 | 独有 MS17010、NetBIOS、OXIDScan、EasySocksProxy、SocketHook | | C2 Profile 定制 | 4.15 | 完整版 C2 Profile,支持加密链组合、模板生成、注解驱动 | | JSP 混淆/编码 | ekp_1.2 | Galaxy JSP encounter + Encoder 模块,或 4.15 的 ShellProcessor |
11.2 版本迁移注意事项
| 迁移路径 | 注意事项 |
| — | — |
| 2.92 -> 4.01 | getPayloadModel() 改为 getPayloadModule();@PluginnAnnotation 改为 @PluginAnnotation;BeautyEye -> FlatLaf |
| 4.01 -> ekp_1.2 | 几乎无破坏性变更;可直接使用新增的 EK 加密器和 Galaxy 模块 |
| 4.01 -> 4.15 | execSql 返回值从 8参数变为 GDatabaseResult;CShapShell -> CSharpShell;ApplicationContext 自动初始化;SocksServer -> SocketHook + EasySocksProxy |
| ekp_1.2 -> 4.15 | EK 系列加密器不可用;Galaxy/Encoder 不可用;需适配 Channel 架构和新的加密器命名体系 |
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:赛博生存指南 GLM-5.1 GLM-5.1《AI生成 | 多版本 Godzilla 反编译源码对比》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
![[译苑雅集Vol.9]没人攻击,AIAgent也可能把事情办砸](/images/random/titlepic/11.jpg)
评论