简单操作实现冰蝎jsp webshell 阿里云免杀
2022-12-19 17:6:45 Author: Tide安全团队(查看原文) 阅读量:16 收藏

前段时间模仿csroad师傅思路写了一个webhsell免杀生成工具但在某云 webshell检测平台败北,无意间在先知社区文章评论下发现一个哥斯拉的免杀思路,虽然当时给出的哥斯拉webshell已被记录查杀,但借助此思路稍微修改仍然可行。

某云webshell检测平台是基于静态特征检测的如自定义类加载器、base64解码、AES解密等特征。

常规的免杀手段如下:

进行如上修改的webshell依然没有逃过查杀。

先知社区师傅的思路,将class文件落地至WEB-INF/classes目录下,反射实例化该恶意类,在该恶意类内实现常规webshell所需的编解码、加解密、恶意类加载等操作绕过污点特征检查。

原封不动的webshell已被查杀,最后的pageContext也已被加入特征。

根据前面的冰蝎客户端解析pageContext对象用于request、response、seesion对象的获取。

那么略过pageContext对象直接传入所需对象数组即可绕过此特征,只需修改冰蝎源码中fillContext方法(所有payload/java下的java文件)在其中添加一个if判断并使用对象数组将pageContext替换即可。

E

N

D


知识星球产品及服务

团队内部平台:潮汐在线指纹识别平台 | 潮听漏洞情报平台 | 潮巡资产管理与威胁监测平台 | 潮汐网络空间资产测绘 | 潮声漏洞检测平台 | 在线免杀平台 | CTF练习平台 | 物联网固件检测平台 | SRC资产监控平台  | ......

星球分享方向:Web安全 | 红蓝对抗 | 移动安全 | 应急响应 | 工控安全 | 物联网安全 | 密码学 | 人工智能 | ctf 等方面的沟通及分享

星球知识wiki:红蓝对抗 | 漏洞武器库 | 远控免杀 | 移动安全 | 物联网安全 | 代码审计 | CTF | 工控安全 | 应急响应 | 人工智能 | 密码学 | CobaltStrike | 安全测试用例 | ......

星球网盘资料:安全法律法规 | 安全认证资料 | 代码审计 | 渗透安全工具 | 工控安全工具 | 移动安全工具 | 物联网安全 | 其它安全文库合辑  | ......

扫码加入一起学习吧~


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg2NTA4OTI5NA==&mid=2247504539&idx=1&sn=d2e07fd46f050e3bea6d88b5460c2ff2&chksm=ce5df0faf92a79ecb66ed27c58fab29d142d223b3039f130138abb8c3c0cb069ddff1b4ddbdb#rd
如有侵权请联系:admin#unsafe.sh