简介

TideWebshell是一款使用Java编写的免杀webshell生成工具,支持市面上常见大部分Webshell管理工具,具体支持类型如下:
[+] jsp:behinder、godzilla、antsword、cmd[+] jspx:behinder、godzilla、antsword、cmd[+] asp:behinder、godzilla、antsword[+] aspx:behinder、godzilla、antsword[+] ashx: godzilla、cmd

免杀方式介绍

webshell免杀实现借鉴自大佬们的开源工具,介绍如下:
1.随机字符和名称变形 常规的behinder、godzilla等类型的webshell内容早已被杀软或者waf标记,采用将可以自定义的参数名等内容等进行随机生成和固定的类名、方法名进行变形可以逃避部分特征查杀。以Behinder_JSP为例:
a、BypassBehinder4j中使用unicode编码代替固定类名。
b、webshell_Generate中使用字符拼接代替固定类名并修改为反射调用。
2.语言语法特性 利用部分语言语法特性如asp中的注释符,jsp中的unicode编码等等。
3.内容填充 在webhell正常内容之间加入注释内容以及误导性指向404界面

使用方式

工具内设5个参数:

-h:显示帮助信息

-l:列出所有支持的webshell类型

-m:  指定要使用的webshell管理工具

-t:指定要使用的webshell类型

-p:指定webshell连接密码/密钥

-o:指定webshell输出文件名
生成Behinder JSP类型webshell命令如下:

java-jartidewebshell.jar-mbehinder-tjsp-ptide-otide
Tips:部分Godzilla webshell使用密钥连接。

免杀效果

以Behinder_JSP为例进行了5个平台的检测,通过率百分之80。其中VT、shellpub、D盾、百度WEBDIR+通过,阿里云恶意文件检测平台未通过。

VT
shellpub在线webshell查杀
D盾
百度WEBDIR+
阿里云恶意文件检测平台

参考

https://github.com/cseroad/Webshell_Generate  -- csroad师傅webshell_gennerate
https://github.com/G0mini/Bypass --极梦C团队Auto-JSPwebshell 
https://github.com/Tas9er/ByPassBehinder4J --Tas9er师傅BypassBehinder4J
感谢以上师傅们的无私奉献 !!!

工具获取

1.在线使用

工具已集成至潮影在线免杀平台,平台地址:http://bypass.tidesec.com/web/

2.下载

公众号后台回复"tidewebshell",可获取网盘下载链接。
E
N
D
Tide安全团队正式成立于2019年1月,是新潮信息旗下以互联网攻防技术研究为目标的安全团队,团队致力于分享高质量原创文章、开源安全工具、交流安全技术,研究方向覆盖网络攻防、系统安全、Web安全、移动终端、安全开发、物联网/工控安全/AI安全等多个领域。
团队作为“省级等保关键技术实验室”先后与哈工大、齐鲁银行、聊城大学、交通学院等多个高校名企建立联合技术实验室,近三年来在网络安全技术方面开展研发项目60余项,获得各类自主知识产权30余项,省市级科技项目立项20余项,研究成果应用于产品核心技术研究、国家重点科技项目攻关、专业安全服务等。对安全感兴趣的小伙伴可以加入或关注我们。

继续阅读
阅读原文