在当今红蓝对抗持续升级的环境中,越来越多的安全产品已经不再满足于传统的文件特征识别方式,而是将重点转向对行为链条的识别与阻断。尤其是在 WebShell 场景中,命令执行行为已经被纳入安全厂商的高优检测范畴。
比如,w3wp.exe 调用 cmd.exe、powershell.exe、regsvr32.exe 等系统命令程序时,会被终端检测与响应系统(EDR)第一时间识别、标记并阻断,因此,对红队而言,急需寻找一条非 cmd.exe 调用链下的隐蔽执行路径。
01. 工具基本介绍
Sharp4WebCmdPlus 是对早期工具 Sharp4WebCmd 的全新升级版本,本质上是一个 .NET 编写的 WebShell ,但其亮点不在界面,而在于完全不依赖系统的 cmd.exe 来解析命令,通过底层 API 实现命令处理、进程控制和输出重定向,自带命令解释器逻辑,模拟 cmd /c xxx 功能。
02. 工具实战用法
其核心绕过点在于:让防护软件看不到cmd.exe,而又能完成相同的执行任务。传统 WebShell 调用命令通常是通过 Process.Start("cmd.exe", "/c whoami"); 这类行为在绝大多数终端安全产品中都属于高危事件。
2.1 核心原理
Sharp4WebCmdPlus 使用最新的 Unicode 字符绕过规则,提升代码层级隐蔽性,在源码层面引入不可见字符,使源码难以直接识别或分析;另外页面前端引入文本框 + 提交按钮,支持命令回显,用户体验接近本地终端黑屏命令行,可连续操作无刷新。
2.2 部署方式
将 Sharp4WebCmdPlus.aspx 文件上传到指定的目录下,比如 wwwroot,浏览器访问如下地址。
http://目标IP/Sharp4WebCmdPlus.aspx
页面显示一个命令输入框与一个执行按钮,输入任意系统命令,比如 ipconfig, whoami, netstat -ano;点击执行,命令执行结果将实时在下方展示。
在目标主机上查看进程行为日志或通过 Sysmon / EDR 平台验证执行链条,可观察到:并未触发 cmd.exe 的调用记录;命令执行是通过自定义底层方式创建的子进程,行为上完全脱离传统路径。
综上,Sharp4WebCmdPlus 是一款将规避特征与还原效果平衡得极好的工具。打破了WebShell 就一定要调用 cmd 的传统思路,从行为链条上走出了一条非典型执行路径,对红队而言,它提供了一种隐蔽上线、持久控制的新型方式。
文/章/涉/及/的/工/具/已/打/包,请//加//入//后/下//载:https://wx.zsxq.com/group/51121224455454
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
