SharPyShell：用于C# Web应用程序的小型混淆版WebShell

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

工具

SharPyShell：用于C# Web应用程序的小型混淆版WebShell

2019-03-25 15:00:03

SharPyShell是一个用于C＃Web应用程序的小型混淆版ASP.NET webshell，执行由加密信道接收的命令，并在运行时将它们编译到内存中。

SharPyShell仅支持在.NET Framework >= 2.0上运行的C＃Web应用程序。当前不支持VB。

使用

python SharPyShell.py generate -p somepassword
python SharPyShell.py interact -u http://target.url/sharpyshell.aspx -p somepassword

安装条件

Python version >= 2.7

以及

pip install -r requirements.txt

简介

SharPyShell是一个由Python编写的后渗透框架，它能够：

生成混淆的webshell（generate）;
模拟Windows终端作为webshell的交互（interact）。

该框架的主要目的是为渗透测试人员提供一系列工具，以便在对 IIS webserver成功利用后简化后期利用阶段。

此工具不能替代C2 Server的框架（如Meterpreter，Empire等），但它非常适用于入站和出站连接完全受限的服务器环境。它包含了你在目标服务器cmd中将可能用到的所有有关privesc，netdiscovery以及横向渗透的工具。

除此之外，该框架还旨在尽可能做到隐蔽的在内存中执行c＃代码和powershell模块。

SharPyShell中实现的混淆，旨在躲避文件签名和网络签名检测。对于网络签名检测的躲避，已经开发了用于发送命令和接收输出的完全加密的信道。

通过对负责运行时编译c#代码的预编译DLL进行反射，可以躲避文件签名检测。

技术实现流程图

以下流程图是使用asciiflow.com生成的：

+-------------------------------------------+                      +--------------------------------------------+
| SharPyShell Client (Local)                |                      | Target Server (Remote)                     |
+-------------------------------------------+   +--------------+   +--------------------------------------------+
|                                           |   |  Encrypted   |   |                                            |
|   +--------+-----------------^-----------<---->     HTTP     <---->-----------+-----------------^--------+    |
|            |                 |            |   |   Channel    |   |            |                 |             |
|            |4-Receive        |1-Send      |   +--------------+   |            |2-Receive        |3-Send       |
|            |                 |            |                      |            |                 |             |
|   +--------v-----------------+--------+   |                      |   +--------v-----------------+--------+    |
|   |              Module               |   |                      |   |           Webshell URL            |    |
|   +--------+-----------------^--------+   |                      |   +--------+-----------------^--------+    |
|   |        |Parse            |Generate|   |                      |   |        |Parse            |Generate|    |
|   | +------v------+   +------+------+ |   |                      |   | +------v------+   +------+------+ |    |
|   | |Base64 Resp  |   |Base64 Req   | |   |                      |   | |Base64 Req   |   |Base64 Resp  | |    |
|   | +------+------+   +------^------+ |   |                      |   | +------+------+   +------^------+ |    |
|   |        |Decode           |Encode  |   |                      |   |        |Decode           |Encode  |    |
|   | +------v------+   +------+------+ |   |                      |   | +------v------+   +------+------+ |    |
|   | |Xor/Aes Data |   |Xor/Aes Data | |   |                      |   | |Xor/Aes Data |   |Xor/Aes Data | |    |
|   | +------+------+   +------^------+ |   |                      |   | +------+------+   +------^------+ |    |
|   |        |Decrypt          |Encrypt |   |                      |   |        |Decrypt          |Encrypt |    |
|   | +------v------+   +------+------+ |   |                      |   | +------v------+   +------+------+ |    |
|   | |Response     |   |C# Code      | |   |                      |   | |C# Code      |   |Output       | |    |
|   | +------+------+   +------+------+ |   |                      |   | +------+------+   +------+------+ |    |
|   |        |                 ^        |   |                      |   |        |                 ^        |    |
|   |        v                 |        |   |                      |   |        v                 |        |    |
|   |        +--------+--------+        |   |                      |   |        +--------+--------+        |    |
|   |                 |                 |   |                      |   |                 |                 |    |
|   +---------------- ^ ----------------+   |                      |   +---------------- ^ ----------------+    |
|                     |                     |                      |                     |                      |
|                     |Run&Parse            |                      |                     |Compile&Run           |
|                     |                     |                      |                     |                      |
|             +------ v ------+             |                      |             +------ v ------+              |
|             |Terminal       |             |                      |             |csc.exe        |              |
|             +---------------+             |                      |             +---------------+              |
|             |Modules:       |             |                      |             |System.dll     |              |
|             |#exec_cmd      |             |                      |             |Compile in Mem |              |
|             |#exec_ps       |             |                      |             |No exe output  |              |
|             |#runas         |             |                      |             |               |              |
|             |.....          |             |                      |             |               |              |
|             |               |             |                      |             |               |              |
|             +---------------+             |                      |             +---------------+              |
|                                           |                      |                                            |
+-------------------------------------------+                      +--------------------------------------------+

模块

#download              从服务器下载文件                                      
#exec_cmd              在服务器上运行cmd.exe /c命令                                
#exec_ps               在服务器上运行powershell.exe -nop -noni -enc'base64command'    
#invoke_ps_module      在目标服务器上运行ps1脚本                                 
#invoke_ps_module_as   以特定用户身份在目标服务器上运行ps1脚本              
#lateral_psexec        运行psexec二进制文件（横向渗透）                                   
#lateral_wmi           运行内置WMI命令（横向渗透）                            
#mimikatz              直接在内存中运行mimikatz的离线版本                 
#net_portscan          使用常规套接字运行端口扫描 
#privesc_juicy_potato  发起Juicy Potato攻击，冒充NT AUTHORITY\SYSTEM用户 
#privesc_powerup       运行Powerup模块评估privesc的所有错误配置         
#runas                 运行cmd.exe /c命令，以特定用户的身份生成新进程    
#runas_ps              运行powershell.exe -enc以特定用户形式生成新进程  
#upload                将文件上传到服务器

已测试的 Windows 版本

Windows Server 2019 Standard

系统名称：Microsoft Windows Server 2019 Standard Evaluation
系统版本：10.0.17763 N/A Build 17763

Windows Server 2016 Standard

系统名称：Microsoft Windows Server 2016 Standard Evaluation
系统版本：10.0.14393 N/A Build 14393

Windows Server 2012 R2 Standard

系统名称：Microsoft Windows Server 2012 R2 Standard
系统版本：6.3.9600 N/A Build 9600

Windows server 2012 Standard

系统名称：Microsoft Windows Server 2012 Standard Evaluation
系统版本：6.2.9200 N/A Build 9200

Windows Server 2008 R2 Standard

系统名称：Microsoft Windows Server 2008 R2 Standard
系统版本：6.1.7601 Service Pack 1 Build 7601

Windows Server 2008 Standard x64

系统名称：Microsoft© Windows Server© 2008 Standard
系统版本：6.0.6001 Service Pack 1 Build 6001

Windows Server 2003 Standard x64 (部分工作)

系统名称：Microsoft(R) Windows(R) Server 2003 Standard x64 Edition
系统版本：5.2.3790 Service Pack 2 Build 3790

*参考来源：GitHub，FB小编secist编译，转载请注明来自FreeBuf.COM

# webshell # SharPyShell

免责声明

1.一般免责声明：本文所提供的技术信息仅供参考，不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》，作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。

2. 适用性声明：文中技术内容可能不适用于所有情况或系统，在实际应用前请充分测试和评估。若因使用不当造成的任何问题，相关方不承担责任。

3. 更新声明：技术发展迅速，文章内容可能存在滞后性。读者需自行判断信息的时效性，因依据过时内容产生的后果，作者及发布平台不承担责任。

本文为独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）

被以下专辑收录，发现更多精彩内容

+ 收入我的专辑

+ 加入我的收藏

展开更多