随着安全防护产品对传统 WebShell 特征的识别能力不断增强,许多经典的 WebShell 编码方式,比如 \u180B、\u200c 已经被纳入主流杀软与 WAF 的规则库中,失去了原有的隐身能力。近日,一种全新的 Unicode 编码规避方法被提出,它可以有效绕过大部分终端安全检测,甚至在 Visual Studio 等开发工具中也无法被正确解析。
本文将详细介绍一款采用此技术实现的 WebShell-Sharp4UnicodeCShell,并剖析其免杀核心机制与典型使用场景。
01. 工具基本介绍
Sharp4UnicodeCShell.aspx 是一款专为 .NET 环境下的交互式命令执行设计的 WebShell,最大亮点在于:使用最新 Unicode 编码混淆技术规避检测、不依赖传统关键字特征,比如 cmd、eval等,如下图所示。
02. 工具实战用法
Sharp4UnicodeCShell 使用的 Unicode 混淆字符,属于 非标准显示控制字符,如一些被遗弃或无法正常解析的方向性控制码、组合符号等,其特点:编译器解析失败、正则难匹配,访问如下地址:
http://localhost/UploadFile/Sharp4UnicodeCShell.aspx
页面会呈现一个基本的交互式输入框,输入ver、whoami命令。点击执行后,页面即返回该命令的输出结果,如下图所示。
综上,Sharp4UnicodeCShell.aspx 是新一代结合 Unicode 编码混淆技术的 .NET WebShell 工具,利用极为冷门的编码机制躲避传统检测体系,其低特征、高隐蔽的特性,使其在当前越来越严密的防守环境中,成为红队在初始阶段迅速落点、维持权限的重要利器之一。
文/章/涉/及/的/工/具/已/打/包,请//加//入//后/下//载:https://wx.zsxq.com/group/51121224455454
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
