CTF导航 CTF导航

Webshell_Generate 编写

渗透技巧 3年前 (2022) admin
834 0 0

前言

市面上有越来越多的webshell,而使用文件夹的方式管理又比较麻烦。且每次想修改源文件都异常麻烦。所以在学过一点java基础上采用javafx开发了一款GUI工具来管理webshell。

使用说明

Webshell_Generate 编写
image.png

只需要输入密码就可以生成webshell。目前暂不支持哥斯拉,已适配cmd、蚁剑、冰蝎的各类webshell。且都已做了简单的免杀处理。免杀说明:jsp、jspx:

  • 争取将代码最小化、最简化
  • 代码层使用一些随机变量替换了标识符
  • cmd 访问为404是伪造的页面,为正常效果,使用:xxx.jsp?pass=
  • cmd_reflect 访问500,但不影响使用,使用:xxx.jsp?pass=
  • AntSword 访问404为正常使用
  • behinder 访问为java.lang.NullPointerException
  • 添加随机注释绕过关键字
  • 使用反射调用defineClass()方法
  • 使用反射编写AES加密
  • 使用unicode编码进一步免杀处理
  • 添加了反射调用ProcessBuilder ……

php:

  • AntSword 为eval语言构造器,可以直接连接
  • AntSword_base64 需选择base64方式连接

工具已上传github 

https://github.com/cseroad/Webshell_Generate/

参考资料

https://xz.aliyun.com/t/10937 

https://github.com/CrackerCat/JSPHorse 

https://github.com/LandGrey/webshell-detect-bypass 

https://github.com/czz1233/GBByPass 

https://github.com/pureqh/Troy 

http://yzddmr6.com/posts/jsp-webshell-upload-bypass/


原文始发于微信公众号(Wings安全团队):Webshell_Generate 编写

版权声明:admin 发表于 2022年5月19日 下午5:22。
转载请注明:Webshell_Generate 编写 | CTF导航

相关文章

MC禁止多人游戏引发的破解
admin
969
每日安全动态推送(7-18)
admin
231
TeamTNT挖矿木马应急溯源分析
admin
596
多租户AWS漏洞暴露账户资源
admin
440
每日安全动态推送(24/10/25)
admin
45
基于工作量证明(PoW)的验证码系统的简单实现
admin
62

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...

相关文章

Boolean-based SQL Injection in ZoneMinder v1.37.* <= 1.37.64
0
Open-Source Intelligence Summit 2024议题慢递
0
NTLM Relaying – Making the Old New Again
0
每日安全动态推送(24/11/4)
0
wuzhicms<=4.1.0后台RCE(0day)
0
每周蓝军技术推送(2024.10.26-11.1)
0
Apache Solr漏洞CVE-2024-45216分析
0
某小型cms漏洞复现审计
0
Distributed RPC Framework RemoteModule has Deserialization RCE in pytorch/pytorch(CVE-2024-48063)
0
JWT(JSON Web Token) 攻击面小结
0