JSP Webshell与Unicode编码解析技术详解

引言

本文深入分析JSP Webshell构造中利用Unicode编码的特性绕过安全检测的技术原理。通过跟踪Tomcat JSP解析和ECJ编译器的工作机制，揭示Unicode在JSP编译过程中的处理细节，并提供多种混淆技术的实现方法。

Unicode解码过程解析

核心处理机制

JSP在Tomcat中的解析过程会动态生成Java源码并进行编译，此过程中会处理Unicode编码：

1. 解析位置：org.eclipse.jdt.internal.compiler.parser.Scanner#getNextToken0方法
2. 处理流程：
   • 将JSP源码抽象为char数组
   • 反斜杠\会被转义为\\
   • 通过\u标识判断是否处理Unicode编码

关键方法分析

getNextToken0方法

• diet模式：用于跳过方法体源代码，通过解析字符、跳过注释、空白和字符串来定位方法体结束位置
• 处理循环：使用do-while循环遍历每个字符

Unicode处理细节

1. 空白字符判断：jumpOverUnicodeWhiteSpace判断解码后的Unicode字符是否为空白字符
2. 字符解码：getNextUnicodeChar方法负责实际解码：
   • 跳过u字符：this.currentPosition++
   • 处理多个连续的u字符（混淆技术基础）
   • 解码后的字符保存在currentCharacter属性中

混淆技术实现

1. 多个u字符绕过

原理：ECJ编译器允许在Unicode转义序列中使用多个连续的u前缀

示例：

\uuuuuu0065\uuuuuu0078\uuuuuu0065\uuuuuu0063

等效于：

\u0065\u0078\u0065\u0063

实现细节：

• while循环处理连续的u字符
• unicodeSize变量记录u的数量
• 只要最终有4个有效的十六进制数字，前面的u数量不限

2. 注释符逃逸技术

原理：利用Unicode解码在注释处理前的特性

示例：

// \u000a System.out.println("This is executed!");

解释：

• \u000a解码为换行符，实际效果是终止注释
• 后面的代码会被正常执行

安全防御建议

1. 输入验证：

   • 严格过滤JSP上传内容
   • 检测异常Unicode编码模式

2. 编译层防御：

   • 修改ECJ编译器处理逻辑
   • 限制连续u字符数量

3. 运行时检测：

   • 监控动态生成的Java类
   • 检测异常字节码模式

技术总结

1. Unicode解码发生在JSP编译的早期阶段
2. 多个u前缀和注释逃逸是两种有效的混淆技术
3. 理解ECJ编译器的工作机制是构造高级Webshell的关键

通过深入理解这些技术原理，安全人员可以更好地检测和防御利用Unicode编码的JSP Webshell攻击。