用友NC-RCE写马问题分析与解决

admin 2022年7月26日10:24:31安全文章评论22 views910字阅读3分2秒阅读模式
朋友解决的一个用友NC-RCE写马问题,这篇主要记录的是解决这个问题的过程和思路,其实这次遇到的这个问题与用友NC RCE的这个py利用工具有着很大关系,可以多试一些其他的工具看看。


0x01 问题描述

用友NC的一个远程命令执行漏洞,在命令终端下用Py利用工具可以正常执行命令,但由于目标主机存在WindowsDefender,测试了各种CS/MSF的远程执行上线方式都失败了,也不能使用echo写入webshell,会将<>尖括号给转义了,测试了一些文件落地方式好像也被拦截了。


0x02 测试过程

使用certutil将冰蝎jsp马进行一次base64编码,使用burpsuite抓包py利用工具的写马payload,将刚编码的base64通过这个Payload写进去,然后在py利用工具下使用certutil解码,但解码后发现找不到jsp马文件,再次测试使用certutil进行二次编码,第一次解码jsp马文件是存在的,这就说明可能是因为这个jsp马不免杀,在解码后被WindowsDefender给杀掉了。

0x03 解决方式

找到问题所在就简单了,只需找一个能过WindowsDefender的冰蝎或哥拉斯的jsp免杀就行,将这个jsp免杀马经过base64编码后写进去,然后在py利用工具下使用certutil解码即可,只要不被WindowsDefender查杀就可以连接了。但最后还得解决下360+WindowsDefender执行cs马上线问题,一个进程防护,一个特征查杀。


JSP马免杀相关链接:

https://github.com/G0mini/Bypasshttps://mp.weixin.qq.com/s/Nbt711grXyubO8q0z8wk5g


关 注 有 礼



关注公众号回复“9527”可以领取一套HTB靶场文档和视频1208”个人常用高效爆破字典0221”2020年酒仙桥文章打包2191潇湘信安文章打包,“1212”杀软对比源码+数据源,0421Windows提权工具包

用友NC-RCE写马问题分析与解决 还在等什么?赶紧点击下方名片关注学习吧!用友NC-RCE写马问题分析与解决


推 荐 阅 读




用友NC-RCE写马问题分析与解决
用友NC-RCE写马问题分析与解决
用友NC-RCE写马问题分析与解决

用友NC-RCE写马问题分析与解决

原文始发于微信公众号(潇湘信安):用友NC-RCE写马问题分析与解决

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月26日10:24:31
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  用友NC-RCE写马问题分析与解决 http://cn-sec.com/archives/1200981.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: