超级会员免费看
本文介绍了如何在蚁剑中实现JSP一句话和动态秘钥编码器。对于JSP一句话,通过类反射和动态加载字节码实现,以解决shell体积大的问题。在动态秘钥编码器方面,提出了基于时间、随机Cookie的秘钥生成方法,以避免握手特征并减少被WAF检测的概率。此外,还讨论了如何增加垃圾数据以绕过WAF过滤。
蚁剑进行二次开发的一些技巧与经验。
一、蚁剑实现JSP一句话
由于Java中没有所谓的eval函数,无法对直接传递的代码进行解析执行。所以不管是蚁剑还是菜刀对于JSP的shell一直是采用custom模式,即把要执行的代码提前写在shell中,然后每次只需要传递要调用的函数名以及对应的参数即可。
虽然可以实现相应的功能,但是带来一个问题就是shell体积非常巨大。菜刀的jsp脚本有7kb大小,蚁剑的jsp custom脚本即使去掉注释后还有17k之多,用起来非常的不方便。
jsp一句话的实现方式:利用classloader直接解析编译后的class字节码,相当于实现了一个java的eval功能。
自己以前通过类反射+动态加载字节码的方式实现了一个命令执行后门,但是是在shell中获取的输入输出。参数个数也不可控,只能一股脑按最大数传进去,还会有类反射的特征。
然而冰蝎是直接重写了Object类的equals方法,并且把pageContext传了进去。熟悉jsp的同学都知道,通过pageContext就可以控制几乎所有的页面对象,也就可以在payload中动态控制输入输出。
冰蝎的方法既没有类反射之类的特征,又便于控制输入输出,实在是妙。
但是冰蝎很久没更新了,并且暂时没有开源,有些小BUG修改起来非常麻烦。我就想能否把这个功能给移植到蚁剑上。
冰蝎的操作是直接用asm
订阅专栏 解锁全文
扫一扫
1997
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
