构造免杀一句话木马

前言

随着时间的推移和其它新型动态网页技术的兴起，使用ASP(Active Server Page)技术构建的Web应用越来越少。ASP的衰落、旧资料和链接的失效、前辈们早期对ASP较多的研究，都导致了新型ASP网站后门和技术研究的减少。

本篇文章主要梳理ASP一句话Webshell的构建和规避检测软件达到源文件免杀的思路。最终构建能够同时绕过以下表格中8个专业木马查杀工具和平台检测的Webshell，构造出零提示、无警告、无法被检测到的ASP一句话木马后门。

常见Web查杀软件

安全狗、D盾Web查杀、D盾防火墙、深信服WebShellKillerTool、360主机卫士、OpenRASP、护卫神云查杀系统、河马专业版查杀 等......

ASP执行流程和原理

ASP脚本原生支持通过VBScript和JScript两种脚本语言来建立动态页面，本质上是将PC端的脚本执行能力迁移到了服务器。使用ASP技术构建的网站，通常都是部署在IIS或PWS服务器上。

借用一个简图表示浏览器请求一个ASP脚本的流程：

当Web应用服务器(IIS)判断出请求是访问ASP脚本后，自动通过Isapi模块调用ASP脚本的解释运行引擎asp.dll。asp.dll从文件系统或内部缓冲区中获取ASP脚本的文本内容，然后进行语法分析并解释执行。

ASP脚本中的代码块一般被包裹在<% %>标签中，默认以VBscript语言进行解释。除此之外，还可以使用

或者

标签，显性的告诉服务器脚本使用VBscript语言进行解释。同理可将language指定为JScript，则表示用微软实现的JavaScript语言解释服务器上的ASP脚本中的代码。ASP脚本中的基本语法可参考ASP、VbScript和JScript各自的参考手册，本文不再赘述。

ASP支持的注释方式

ASP脚本中支持五种注释方式

ASP一句话后门现状

ASP脚本中，主要用以下三个VBscript函数执行代码，也是我们构造ASP一句话木马的入口。下面是用三个函数分别构建对应长度最短的密码为0的ASP一句话后门示例：

遗憾的是VBscript语言和其它高级语言相比，语法结构偏向简单。代码层面上很难隐藏上面三个函数的敏感词Eval、Execute和ExecuteGlobal 。
目前用的较多的隐藏以上三个敏感词的两种方式如下：
使用UTF-7编码脚本
一个密码为"cesafe"的原始ASP一句话脚本代码如下：

UTF-7编码后utf7-bypass.asp脚本内容如下：

这种方式可以躲过较多webshell检测软件查杀，但是D盾Webshell查杀工具，提示脚本使用了UTF-7编码，并不能做到完全不被察觉。
使用VBScript.Encode功能编码脚本

ASP脚本默认可以使用内置的Encoder工具，对代码进行混淆，以保护源码的安全性。写一个vbs脚本，内容如下：

使用微软的工具运行命令screnc.exe script.vbs script.vbe，得到结果

然后就可以构建一个密码为"LandGrey"的编码混淆后的一句话木马脚本。注意里面有不可打印字符。

这种方式也可以绕过较多的查杀工具，但D盾会解码混淆后的脚本，然后再判断是否是恶意脚本，构造出来的一句话脚本木马依然会被查杀。

接着就陷入了较长时间的进度停滞，堆积各种代码姿势和测试已经公开的一句话木马，均不能躲过"D盾"的毒手。

期间人工测试了大量代码，也试图通过fuzzing，来构造eval{some-char}RequEst("cesafe")形式的代码，尝试找到可以连接在eval和request之间的特殊字符，让ASP引擎既能正常解析脚本，又能绕过软件检测，结果失败了。