图像隐写Bypass 执行命令绕过安全防护

随着安全厂商不断提升其产品的检测能力，对.NET程序集在内存中的加载特征、文件头信息、函数调用路径等行为的识别愈发精准。这使得任何带有明显.NET特征的攻击载荷往往还未执行便被拦截，给红队在渗透中的生存能力带来了极大压力。

面对这种局面，红队不得不转变思路，逐步从以代码为载体转向以数据为载体，即将恶意代码巧妙地伪装在普通业务数据中，以实现对检测系统的规避。在这一策略的推动下，Sharp4PNGCmd.png 这款图像类WebShell应运而生，为.NET渗透载荷的传输与激活提供了一个极具创新性与隐蔽性的解决方案。

1.1 早期图片马技术

早期的图片马技术虽早已被用于WebShell隐藏，但其实现方式大多较为粗糙，常见做法是将明文.NET代码或Base64编码数据直接追加至PNG或JPG图片的尾部。这类文件在视觉上看似正常，但在字节层级下极易暴露破绽。一旦安全系统启用了二进制内容检查或使用YARA规则扫描尾部伪装区域，这些“伪图真马”的手法便无所遁形，如下图所示。

1.2 新版图片马技术

为了实现其隐藏代码的触发与执行，需要配合一个专用的 .NET Web Loader 进行加载并解释其中隐藏的命令执行逻辑。该 Loader 通常以 WebShell 形式部署在目标站点某个具备上传能力的路径中，

如 .NET Web 应用的上传目录 /upload/ 下，例如，可使用如下方式部署一个名为 Sharp4PNGWebShell.aspx 的加载器：

示例路径:/upload/Sharp4PNGWebShell.aspx

一旦部署完毕，即可通过向其发送特定参数来触发隐藏于图像中的命令执行逻辑。执行格式如下：

/upload/Sharp4PNGWebShell.aspx?1=Sharp4PNGCmd.png&a=whoami

上述请求中的 Sharp4PNGCmd.png 文件即为预先构造的隐写图片，内部封装了基于.NET的远程命令执行逻辑。

在请求发出后，Sharp4PNGWebShell.aspx 负责将该图片读入内存，提取其中嵌入的.NET代码并动态加载执行，再根据 a 参数触发具体命令。

综上，Sharp4PNGCmd.png 这种配合模式不仅实现了远程命令执行能力，更重要的是，整个攻击链条始终伪装为合法图片访问与加载行为，可在不引起防护产品注意的前提下完成攻击逻辑，为红队在实战中提供了极大的隐蔽性和灵活性。。文章涉及的工具已打包在星球，感兴趣的朋友可以加入自取。