探索java动态加载特性实现jsp webshell绕过

访客4年前黑客工具537

整体介绍

共四个jsp webshell 当时用来参加青藤webshell bypass 活动。主要思路是在静态中寻找动态特性:jdk内置javascript引擎class字节码加载

0.jsp webshell裸奔

最直接的写法直接over。另外发现本机PC windows defender也有把0.jsp查杀了。

image

1.jsp 借助JavaScript引擎开始之一次动态化

jdk内置javascript引擎,其中从jdk1.6默认实现是:Rhino jdk,jdk 1.8之后是:nashorn。1.jsp有对jdk不同版本做了适配。

2.jsp 基于动态化后的变形

1.jsp中只是使用了js引擎,但是还没充分发挥动态脚本混淆和变形的能力,2.jsp尝试做简单的替换变形。我们知道xss的防护对正则检测的挑战是很大的,个人的感受是xss经常伴随着html和JavaScript的混合,并且JavaScript的变化多端容易混淆带来的进一步的检测难度,这里我们实现了类似的思路:java 与JavaScript的混合,JavaScript的动态多变能力依然可以发力,所以无论是正则还是静态语法分析的检测方式应该都会带来一些障碍。

3.jsp 字节码动态加载

3.jsp 是基于defineClass0 加载字节码来bypass。当时的思路也是想历次的入侵黑客喜欢用base64做些绕过,java可以动态加载字节码,字节码十六进制传递很难被正则waf抓住。后面在研究 ”冰蟹“ 的时候看到也用了defineclass方式。

内置JavaScript引擎带来的脆弱

JEP提案,开发者 与安全三者的感想

jdk中是否要内置JavaScript引擎值得商榷,的确java开发者有比较强的 动态脚本 的需求,比如我自己做些规则引擎,配置系统的时候常用到这样的特性。这样的需求groovy是个很好的榜样,由第三方jar包提供。现实情况下内置的javascript引擎性可能不满足应用需求,比如jdk从1.8将实现换成nashorn,到了jdk15提案中又有人提议替换掉nashorn。还有在自己研究百度openrasp的时候,可以看到最早期版本java对应的规则引擎是由jdk内置提供的,而到最后还是因为性能问题切换到V8引擎。

solr配置脚本RCE

另记一次solr CVE-2019-0193 远程代码执行漏洞,记得当初这个0day爆出的时候乙方的poc文章对payload打了马赛克,结合官方文档已经猜到是javascript动态配置引起,立马验证确实如此。此处有“default”,脆弱性立马显现。

image

一句话javascript引擎哪家强有由用户自己决定吧

对比其他webshell工具

在写完上面的几个jsp的webshell的时候,和部门做渗透同事交流他提到过一个“冰蟹”。以前对webshell工具的理解上更多的关注自动化,方便,比如“中国菜刀”。但是“冰蟹”不同,他借用了协议交互会话的逻辑去增强bypass能力,开阔了思路值得借鉴。

RASP能做些什么?

以百度rasp为例,针对冰蟹,javascript动态脚本的webshell如何去匹配呢?

我们可以看到rasp会hook住java stacks信息,然后去和已知的黑名单库去匹配,比如上面提到的 javascript引擎手法(关键字nashorn),冰蟹(关键字behinder)。不得不说rasp这种以调用栈作为上下文检测的更加精准,但是软件的生命周期是迭代的,对抗的手法也是升级的。

比如javascript引擎随着jdk版本的迭代而变化,策略脚本中缺失了jdk 1.8 之前Rhino方式 。对于冰蟹关键字”behinder“匹配能够防住工具小子,尽管冰蟹作者没有公布源码,但是拟向这类工具更改包名都不是难事,从而逃脱rasp的检查。

相关文章

AI黎明即起,营销何去何从

AI黎明即起,营销何去何从

编辑导读:跟着AI技能的成长,营销正在朝着智能化偏向转型。智能系统可以或许自动对用户举办数据阐明,并及时追踪投放结果,实现对消费者需求的全方位洞察,及时把握处在差异决定阶段、差异场景下消费者信息。文章...

论学习贯彻党的十演员李亚林九届五中全会精神

  加快构建新发展格局   ——论学习贯彻党的十九届五中全会精神   党的十九届五中全会明确提出要加快构建以国内大循环为主体、国内国际双循环相互促进的新发展格局,并作出重大工作部署。   “十四...

房产知识:急!本地户口和外地户口拆迁赔偿是

相信现在有很多的朋友们对于急!本地户口和外地户口拆迁赔偿是否不同!都想要了解吧,那么今天小编就来给大家针对急!本地户口和外地户口拆迁赔偿是否不同!进行一个介绍吧,希望小编介绍的内容能够为大家起到帮助哦...

华夏黑客qq空间,我的世界手机黑客软件,黑客 局域网中密码

2 文件回传:文件分卷加密紧缩,多台内网机器进行ipc多层中转,本地组成拖文件集群,每个IP回传必定巨细文件,哈希校验,边传边删,本地解压重建。 2.取得指定dll的导出函数调集变量"海莲花"(又叫A...

新游戏线上亮相 PCGamer游戏展确认6月6日举办

新游戏线上亮相 PCGamer游戏展确认6月6日举办

4月25日,游戏媒体 PCGamer 官方宣布,一年一度的 PC Gaming Show 确定将于6月6日通过线上直播的形式举办,届时众多 PC 平台的游戏新作将在直播中登场亮相。虽然因为新型冠状病毒...

索马里宣布与顺丰快递价钱肯尼亚断交

  新华社内罗毕12月15日电(记者杨臻)摩加迪沙消息:索马里政府14日晚间宣布,由于肯尼亚“侵犯其主权、干涉其内政”,索马里政府决定与肯尼亚断绝外交关系。   索马里新闻部长奥斯曼·杜贝14日通过...