用户
搜索
  • TA的每日心情
    慵懒
    2017-11-28 14:05
  • 签到天数: 32 天

    连续签到: 1 天

    [LV.5]常住居民I

    i春秋作家

    Rank: 7Rank: 7Rank: 7

    2

    主题

    60

    帖子

    1085

    魔法币
    收听
    0
    粉丝
    4
    注册时间
    2015-11-20

    i春秋签约作者

    发表于 2017-9-17 04:15:47 107230752
    本帖最后由 凉风有信 于 2017-9-17 04:15 编辑

    hi,我是凉风
    (以下内容纯属个人见解,如有不同的意见欢迎回复指出)


    本菜比发现aspx过狗的姿势不常见,不像php一样一抓一大把,于是我决定研究一下aspx

    引用i春秋作家团大佬@非主流  对一句话木马的理解:
    一句话木马的意思就是,我们制造了一个包含远程代码执行漏洞的web页面。

    目录:
    0x01:我没有aspx代码编写基础,我该从哪入手?
    0x02:正式开始:从过狗菜刀配置文件里寻找思路
    0x03:再写一个:分析各种拦截机制,一一绕过
    0x04:总结

    0x01:我没有aspx代码编写基础,我该从哪入手?

      许多人在自学过程中都会遇到:自己想掌握一门技术,却无从下手。往往在还未入门的时候,就放弃了。
      我在接触网络安全之前,对这一领域的认知为零,偶然的机会知道有“渗透”这一个东西,才进到这个“圈子”里,触摸到了网络安全的冰山一角。起步时一切都靠自己,不可能有人会主动教你知识,一切只能自己查资料,自己冒着被骂的风险去请教大佬们。
    学习遇到的问题无穷尽,不可能每次都问大佬们,伸手党是最不受欢迎的。这时我们就要学会如何“自学”。



    在这里,本菜比与小白们一起学习:如何自己写aspx过狗一句话木马
    “授人以鱼不如授人以渔”
    前期准备(建议,自行决定):

    (1)了解aspx,aspx的百度百科至少看一遍,看懂aspx一句话木马
    (2)准备好可以查资料的网站(aspx语法、函数等必备知识)、工具,例如官方手册(chm文件)。
    (3)本地搭建环境,装好安全狗,D盾顺便也装了
    (4)菜刀肯定不可少


    aspx文件就是asp.net文件,需要.net 环境,用“C#”,“Jscript”等语言编写。
    Jscript手册我会放在附件里
    我用的是2003server+iis+asp.net 环境,装了 .net 2.0与4.0


    0x02:正式开始:从过狗菜刀配置文件里寻找思路

    我并不会aspx,起步的时候很难凭空弄个过狗的出来,那么就要自己想办法。

    因为曾经分析过:过狗菜刀php的配置,配置里过狗的思路与php过狗木马类似,所以我在没学过aspx并且没有过狗的aspx一句话作为参考的时候,突然想到酱紫做。
    曾经的分析:https://bbs.ichunqiu.com/thread-26196-1-1.html

    我们看一下配置文件关于aspx的部分:
    1.过狗菜刀中aspx部分配置.png

    先根据它的格式还原回正常的代码(把%%换回%)
    2.还原百分号.png
    可以看有一部分是经过url编码的,因为asp.net文件貌似不能直接解析,所以先还原,看还原之后的代码。
    利用网上的在线解码直接转码:
    3.url编码还原.png
    因为我曾分析过,知道:其中%s是菜刀要执行的经过base64加密的命令。
    所以应该有一个base64解密函数,以及代码执行函数
    两个函数很容易找出来,
    4.两个函数.png

    其中编码为:65001,这是utf-8。
    仔细看了看有些不对劲,aspx代码部分只给了这两个函数,也就是说,aspx过狗的那一部分主要是前半段的url编码。找到的这两个函数并没有使用过狗的姿势。难道这次分析白费了?先试试再说吧,简单利用base64解密函数。(本来就没学过aspx,知道个base64解密函数也不亏了)
    看我操作
    5.第一个aspx过狗.png
    我用安全狗、D盾扫描了一下,居然奇迹般的绕过了
    再用菜刀连接,没问题。
    (注:D盾防护全开后,将限制木马的权限,不在本文考虑范围,本文只使用D盾的后门扫描功能,安全狗全开)

    0x03:再写一个:分析各种拦截机制,一一绕过

    第一种方法感觉有运气成分在内,并不是我希望看到的,所以再写一个吧
    这回我们靠自己。
    一行一行的写代码,看看他什么时候会拦截
    不再使用base64解密函数,自己寻找别的方法。

    写一个光明正大的aspx木马
    6.光明正大的木马.png

    安全狗拦截,可是D盾只是可疑的级别,也就是说,如果只装D盾,木马不会被拦截。(已测试哦)

    再改改
    7.不使用unsafe.png

    这次删掉了unsafe参数,安全狗照样拦截,但是D盾什么也扫不出。.net 4.0 下的eval的第二个参数取消,也就是说.net 4.0开发的网站,只装D盾,这个木马就可以绕过。但是为了兼容性,我们试着绕过“unsafe”这个拦截机制,(可以用base64解密,但是我说过不用)
    用字符串拼接的方法:
    8.拼接unsafe.png
    安全狗还是没绕过,但是D盾没检测出unsafe参数被加进去,所以什么也没扫到。
    接下来就是绕过安全狗了。
    第二个参数做了绕过D盾处理,那么第一个参数来绕过安全狗的检测吧,有经验的人都知道安全狗没那么严格,第二个参数的unsafe应该不会被安全狗拦截。
    9.function.png

    创了一个函数fun(),直接返回接收到的pass的内容,也就是说经过了一个函数的传递,安全狗就不认识了。
    菜刀连接成功,没问题

    0x04:总结
    aspx的函数没有php的函数多,个人感觉aspx花样不多,所以绕过waf的姿势不像php一样多。但是由于使用aspx的网站没有php的那么多,所以waf对aspx的重视程度没有php的大。
    (学习)方法很重要,之前我没有具体分析waf的一些拦截机制,直接使用各种错误的姿势,走了一堆弯路,后来一步一步试,看怎样会被拦截(就像测试sql注入绕过一样)。用这种方法感觉效率快多了,而且思路清晰连贯。

    附件:文中的两个aspx马和Jscript手册(手册可以让你想到更多姿势)

    游客,如果您要查看本帖隐藏内容请回复


    spx的函数没有php的函数多,个人感觉aspx花样不多,所以绕过waf的姿势不像php一样多。但是由于使用aspx的网站没有php的那么多,所以waf对aspx的重视程度没有php的大。
    (学习)方法很重要,之前我没有具体分析waf的一些拦截机制,直接使用各种错误的姿势,走了一堆弯路,后来一步一步试,看怎样会被拦截(就像测试sql注入绕过一样)。用这种方法感觉效率快多了,而且思路清晰连贯。

    附件:文中的两个aspx马和Jscript手册(手册可以让你想到更多姿势)

    你不认识我,如果您要查看本帖隐藏内容请回复


    评分评分

    转播转播

    分享分享

    分享淘帖
    分享至 Q空间 0 人收藏
    使用道具 举报 回复
    使用道具 举报 回复
    发表于 2017-9-27 08:34:58
    你不认识我 发表于 2017-9-17 13:03
    spx的函数没有php的函数多,个人感觉aspx花样不多,所以绕过waf的姿势不像php一样多。但是由于使用aspx的网 ...

    感谢大表哥的分享
    使用道具 举报 回复
    nice .....                  
    使用道具 举报 回复
    电缆上的猫 发表于 2017-9-21 11:32
    我就看看,我不说话

    你是不是我最爱的人 你为什么不
    使用道具 举报 回复
    .net开发的网站没有php和java的多,相对而言研究者不是那么多
    不服你TMD来打我啊!
    使用道具 举报 回复
    11111111111111111111111111111111111111111111
    使用道具 举报 回复
    发表于 2017-9-17 08:01:47
    大表哥我又来看你了!!!
    使用道具 举报 回复
    发表于 2017-9-17 10:14:49
    表哥,我也来看你了!!!
    使用道具 举报 回复
    感谢大牛分享
    使用道具 举报 回复
    发表于 2017-9-17 13:16:01
    感谢大牛,ASPX的变形比较少,珍贵啊
    使用道具 举报 回复
    发表于 2017-9-17 14:15:15

    感谢大牛分享
    使用道具 举报 回复
    表哥,我也来看你了!!!
    使用道具 举报 回复
    发表于 2017-9-17 21:03:45
    我来了,我要撩你qwq
    使用道具 举报 回复
    路过看看
    使用道具 举报 回复
    发表于 2017-9-17 23:37:33
    55566这个可以有~~~~~~~~
    使用道具 举报 回复
    发表于 2017-9-18 00:05:21
    如何自己写aspx过狗D盾一句话木马 [修改]
    使用道具 举报 回复
    发表于 2017-9-18 13:54:49
    学习一下  
    使用道具 举报 回复
    发表于 2017-9-18 15:24:35
    看看先
    同样是一个B,往北走是NB,往南走就是SB,所以人生的方向很重要!
    使用道具 举报 回复
    发表于 2017-9-19 10:44:21
    思路太棒了
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册