潮影webshell在线免杀功能上线
2022-9-5 17:4:16 Author: Tide安全团队(查看原文) 阅读量:153 收藏

TideWebshell是一款使用Java编写的免杀webshell生成工具,支持市面上常见大部分Webshell管理工具,具体支持类型如下:
[+] jsp:behinder、godzilla、antsword、cmd[+] jspx:behinder、godzilla、antsword、cmd[+] asp:behinder、godzilla、antsword[+] aspx:behinder、godzilla、antsword[+] ashx: godzilla、cmd
webshell免杀实现借鉴自大佬们的开源工具,介绍如下:
1.随机字符和名称变形 常规的behinder、godzilla等类型的webshell内容早已被杀软或者waf标记,采用将可以自定义的参数名等内容等进行随机生成和固定的类名、方法名进行变形可以逃避部分特征查杀。以Behinder_JSP为例:
a、BypassBehinder4j中使用unicode编码代替固定类名。
b、webshell_Generate中使用字符拼接代替固定类名并修改为反射调用。
2.语言语法特性 利用部分语言语法特性如asp中的注释符,jsp中的unicode编码等等。
3.内容填充 在webhell正常内容之间加入注释内容以及误导性指向404界面
工具内设5个参数:
-h:显示帮助信息
-l:列出所有支持的webshell类型
-m:  指定要使用的webshell管理工具
-t:指定要使用的webshell类型
-p:指定webshell连接密码/密钥
-o:指定webshell输出文件名
生成Behinder JSP类型webshell命令如下:
java -jar tidewebshell.jar -m behinder -t jsp -p tide -o tide
Tips:部分Godzilla webshell使用密钥连接。
以Behinder_JSP为例进行了5个平台的检测,通过率百分之80。其中VT、shellpub、D盾、百度WEBDIR+通过,阿里云恶意文件检测平台未通过。
VT
shellpub在线webshell查杀
D盾
百度WEBDIR+
阿里云恶意文件检测平台
https://github.com/cseroad/Webshell_Generate  -- csroad师傅webshell_gennerate
https://github.com/G0mini/Bypass --极梦C团队Auto-JSPwebshell 
https://github.com/Tas9er/ByPassBehinder4J --Tas9er师傅BypassBehinder4J
感谢以上师傅们的无私奉献 !!!

1.在线使用

工具已集成至潮影在线免杀平台,平台地址:http://bypass.tidesec.com/web/

2.下载

公众号后台回复"tidewebshell",可获取网盘下载链接。

E

N

D

Tide安全团队正式成立于2019年1月,是新潮信息旗下以互联网攻防技术研究为目标的安全团队,团队致力于分享高质量原创文章、开源安全工具、交流安全技术,研究方向覆盖网络攻防、系统安全、Web安全、移动终端、安全开发、物联网/工控安全/AI安全等多个领域。

团队作为“省级等保关键技术实验室”先后与哈工大、齐鲁银行、聊城大学、交通学院等多个高校名企建立联合技术实验室,近三年来在网络安全技术方面开展研发项目60余项,获得各类自主知识产权30余项,省市级科技项目立项20余项,研究成果应用于产品核心技术研究、国家重点科技项目攻关、专业安全服务等。对安全感兴趣的小伙伴可以加入或关注我们。



文章来源: http://mp.weixin.qq.com/s?__biz=Mzg2NTA4OTI5NA==&mid=2247500314&idx=1&sn=b202533429f9b6f0832843752d19376b&chksm=ce5de07bf92a696d5cb742d5baa644dbd5ec0d864cfc13e1528b72ec207a51fbe8f619188d8b#rd
如有侵权请联系:admin#unsafe.sh