夜雨聆风
Godzilla哥斯拉-进程识别插件(ProcRadar)
|
|
|
|---|---|
|
限时免费 |
|
|
≥3年粉丝 |
|
|
星球成员 |
大家好,我是3had0w!!!好像很久没发原创技术文了,今天这篇文章我们来分享一个去年我和@程哥一起二开的哥斯拉进程识别插件(ProcRadar)。
本文主要记录的是这插件的简介、加载使用以及在二开过程中新增的一些功能、修复的BUG和前期的测试,写好的插件已发到我的星球,需要的师傅请自取!
0x01 插件介绍
ProcRadar是基于@Conan师傅的tasklist项目二开的一个哥斯拉进程识别插件,用于快速识别目标主机中存在哪些常用AV/EDR/运维/办公等软件进程,目前已完成以下主要核心功能,如下图所示。
支持版本:哥斯拉 V4.0.1、哥斯拉特战版;集成接口:棱角接口、潇湘接口、刨洞接口、本地接口;识别方式:自动(tasklist)、绕过(bypass)、手动识别;支持脚本:ASP、PHP、.NET、JSP等Webshell以及数据库Shell;进程格式:tasklist、cs/msf、wmic、powershell等多种进程格式;AI 分析:整合DeepSeek API,提供专业的红队评估视角分析进程;设置接口:可同时设置DeepSeek API和潇湘信安API保存到配置文件;
潇湘接口API用的是我们《红队必备在线杀软/运维识别平台》这篇文章中的:https://av8.de5.net
关于作者原版tasklist插件的功能介绍可以直接去看他们的这篇文章《GodzillaPlugin-tasklist》。
虽然有用AI润色,但比我自己想写的更好更详细,所以我也懒的再去重复写了(费脑子、费手)…!
插件加载:
打开哥斯拉特战版 -> 左上角“配置”-> 插件配置 -> 添加(选择要加载的插件),如下图所示。
插件使用:
连接Webshell或数据库shell,有3种识别方式、4个数据接口,可根据实际情况使用,如下图所示。
自动识别:无防护场景下可以用这种,tasklist命令获取进程识别;绕过识别:有防护场景下可以用这种,Bypass技术获取进程识别;手动识别:无/有防护场景下都可以用这种,手动输入进程列表识别;
AI 分析:
这功能是原版tasklist插件就有的,@程哥在测试“AI分析”功能正常后提供的图,如下图所示。
注意事项:
保存配置和设置接口会将API信息保存在%USERPROFILE%\.godzilla\api_config.ini;另外只有当选择“潇湘接口”时设置接口才可用(且只能设置为我们的潇湘接口API),如下图所示。
0x02 优化修复
1、优化记录:
新增ASP自动识别,使用forfiles.exe白名单(已完成)删除之前的国外接口,数据已汇总到潇湘接口(已完成)新增手动识别,webshell会话超时也能使用(已完成)将之前刨洞接口使用的本地库改为在线接口(已完成)将刨洞接口先去重处理后再发到后端匹配识别(已完成)处理forfiles白名单执行tasklist首行换行符(已完成)潇湘接口进程匹配结果以红->紫->蓝->绿依次排序(已完成)潇湘接口新增设置接口按钮,防止接口挂了好修改(已完成)支持CobaltStrike、Metasploit等进程列表格式(已完成)将之前潇湘接口使用的本地库也改为了在线接口使用(已完成)预留了本地接口,将XiaoXiang_local.json传到assets目录下即可(已完成)潇湘接口的其他杀软进程数据整理汇总完善,白神+Github+其他数据(已完成)https://gist.github.com/Te-k/6b239f9a4e59237d937f100171e6958e
2、BUG修复:
1、修复原版必须Ctrl+a & Ctrl+c & Ctrl+v才能获取匹配结果(已修复)2、PHP绕过识别获取进程列表乱码 - tasklist.php编码问题(已修复)3、PHP个别环境无法执行tasklist - tasklist.exe路径问题(已修复)$command = 'C:\\Windows\\System32\\tasklist /FO CSV /NH';4、刨洞接口无法识别notepad++.exe进程 - URLEncoder编码问题(已修复)URLEncoder.encode(modifiedTaskListText.toString(), "UTF-8")5、潇湘接口无法识别带一个或多个空格的进程 - \\s+正则拆分问题(已修复)String[] trimmedLine = line.trim().split("\\s+");6、潇湘接口不支持大写.EXE或存在多个.exe被截断 - 大写和截断问题(已修复)trimmedLine.toLowerCase(Locale.ROOT).lastIndexOf(".exe");测试进程:CMFNSS6.EXE、MSIP.ExecutionHost.exe、MSIP.ExecutionHost32.exe7、手动识别有6个绿色进程会插入在紫色进程中间,color颜色提取问题(已修复)if (match.contains("<font color=green>")) return "green"; // 要用完整标签提取8、修复刨洞接口无法正确识别CS和MSF进程列表格式问题 - 改用正则匹配(已修复)[\w\u4e00-\u9fa5.\-+()]+\.exe\b // 无法匹配到带空格的进程名[...SNIP...]
3、已知BUG:
1、哥斯拉4.0.1无法识别中文进程名,如:语雀.exe,特战版没问题(暂不修复)2、哥斯拉4.0.1的PHP/JSP“绕过识别”无法获取进程列表,特战版没问题(暂不修复)3、哥斯拉特战版-数据库shell的“绕过识别”无法使用,自动、手动没问题(暂不修复)4、手动识别使用CS/MSF进程列表格式会漏报带空格的进程,带空格进程较少(暂不修复)5、刨洞接口暂不支持CS和MSF进程列表格式,需单独处理,潇湘、棱角接口没问题(现已修复)[...SNIP...]
0x03 注意事项
使用CS、MSF进程列表时必须带上“PPID”(老版问题,新版已经解决),但可能会因进程列表格式或者权限问题而出现漏报的情况(进程名中带空格也会漏报),特别是Metasploit,它在高权限下有个别进程的文件路径中会存在多个空格、换行、文件名显示不全等情况,处理起来有点棘手,因为还得考虑其他接口和多种进程格式的兼容性问题,所以这个问题我们就暂时不修复了,个人建议使用tasklist /fo csv命令获取进程列表去进行对比(基本没有漏报和误报)!!!
关注我们
还在等什么?赶紧点击下方名片开始学习吧 
知 识 星 球
|
|
|
|---|---|
|
限时免费 |
|
|
≥3年粉丝 |
|
|
星球成员 |
推 荐 阅 读
