2022年2月24日09:30:50评论217 views字数 2972阅读9分54秒阅读模式

破军安全实验室

忆享科技旗下高端的网络安全攻防服务团队.安服内容包括渗透测试、代码审计、应急响应、漏洞研究、威胁情报、安全运维、攻防演练等

本文约2000字，阅读约需5分钟。

0x00 前言

关于批量挖洞，别说看着简单，但是如果能自己实现一次并出成果，这将是一件非常有成就感的事。可以有效缓解近期挖洞挖不着的的爆炸心态。所以，gogogo

选择漏洞

选小厂冷门的洞的话，全网收录也不过几百个，为了迎合本次的效果。选择用友NC的BshServlet 命令执行。

CNVD-2021-30167

关于批量挖洞

了解触发条件

别的不说，像我们只需要了解该漏洞的触发条件即可。该漏洞验证只需要访问特定的BshServlet ，出下以下界面即可完成验证

关于批量挖洞

该漏洞可用的BshServlet地址

/servlet/~aim/bsh.servlet.BshServlet/servlet/~alm/bsh.servlet.BshServlet/servlet/~ampub/bsh.servlet.BshServlet/servlet/~arap/bsh.servlet.BshServlet/servlet/~aum/bsh.servlet.BshServlet/servlet/~cc/bsh.servlet.BshServlet/servlet/~cdm/bsh.servlet.BshServlet/servlet/~cmp/bsh.servlet.BshServlet/servlet/~ct/bsh.servlet.BshServlet/servlet/~dm/bsh.servlet.BshServlet/servlet/~erm/bsh.servlet.BshServlet/servlet/~fa/bsh.servlet.BshServlet/servlet/~fac/bsh.servlet.BshServlet/servlet/~fbm/bsh.servlet.BshServlet/servlet/~ff/bsh.servlet.BshServlet/servlet/~fip/bsh.servlet.BshServlet/servlet/~fipub/bsh.servlet.BshServlet/servlet/~fp/bsh.servlet.BshServlet/servlet/~fts/bsh.servlet.BshServlet/servlet/~fvm/bsh.servlet.BshServlet/servlet/~gl/bsh.servlet.BshServlet/servlet/~hrhi/bsh.servlet.BshServlet/servlet/~hrjf/bsh.servlet.BshServlet/servlet/~hrpd/bsh.servlet.BshServlet/servlet/~hrpub/bsh.servlet.BshServlet/servlet/~hrtrn/bsh.servlet.BshServlet/servlet/~hrwa/bsh.servlet.BshServlet/servlet/~ia/bsh.servlet.BshServlet/servlet/~ic/bsh.servlet.BshServlet/servlet/~iufo/bsh.servlet.BshServlet/servlet/~modules/bsh.servlet.BshServlet/servlet/~mpp/bsh.servlet.BshServlet/servlet/~obm/bsh.servlet.BshServlet/servlet/~pu/bsh.servlet.BshServlet/servlet/~qc/bsh.servlet.BshServlet/servlet/~sc/bsh.servlet.BshServlet/servlet/~scmpub/bsh.servlet.BshServlet/servlet/~so/bsh.servlet.BshServlet/servlet/~so2/bsh.servlet.BshServlet/servlet/~so3/bsh.servlet.BshServlet/servlet/~so4/bsh.servlet.BshServlet/servlet/~so5/bsh.servlet.BshServlet/servlet/~so6/bsh.servlet.BshServlet/servlet/~tam/bsh.servlet.BshServlet/servlet/~tbb/bsh.servlet.BshServlet/servlet/~to/bsh.servlet.BshServlet/servlet/~uap/bsh.servlet.BshServlet/servlet/~uapbd/bsh.servlet.BshServlet/servlet/~uapde/bsh.servlet.BshServlet/servlet/~uapeai/bsh.servlet.BshServlet/servlet/~uapother/bsh.servlet.BshServlet/servlet/~uapqe/bsh.servlet.BshServlet/servlet/~uapweb/bsh.servlet.BshServlet/servlet/~uapws/bsh.servlet.BshServlet/servlet/~vrm/bsh.servlet.BshServlet/servlet/~yer/bsh.servlet.BshServlet

0x01 编写批量验证脚本

因为该漏洞触发方式较简单，所以咱脚本编写起来也较为简单，直接上代码代码已上传，地址为：https://github.com/parkourhe/yongYouNC-RCE.git

关于批量挖洞

0x02 批量收集

使用 fofa 输入指纹 icon_hash="1085941792"

关于批量挖洞

导出结果保存

批量验证

关于批量挖洞

未修复该漏洞的企业多如牛毛啊.....

刷洞的话如何证明归属？

剩下的大家都懂，但是有个问题，许多平台如果你交公益，前提是必须证明归属才行，而fofa大部分收录的只是ip

方法1：IP反查，IPC备案

ip反查

关于批量挖洞

ipc备案这个就不说了，其实我没查出来过。。。

 方法2：查看IP其它端口

查看该ip其他端口，是否有其他系统。列如该ip，其他端口就是一个oa系统

关于批量挖洞

从oa 咱们就可轻松证明归属

关于批量挖洞

方法3：查看证书

关于批量挖洞

拿到证书域名后再去ipc备案反查，即可

关于批量挖洞

最后

各位大佬留点洞给弟弟吧关于批量挖洞

关于批量挖洞

声明

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，破军安全实验室及文章作者不为此承担任何责任。

破军安全实验室

# 长按二维码关注我们 #

原文始发于微信公众号（破军安全实验室）：关于批量挖洞

左青龙
微信扫一扫

右白虎
微信扫一扫

关于批量挖洞

选小厂冷门的洞的话，全网收录也不过几百个，为了迎合本次的效果。选择用友NC的BshServlet 命令执行。

因为该漏洞触发方式较简单，所以咱脚本编写起来也较为简单，直接上代码代码已上传，地址为：https://github.com/parkourhe/yongYouNC-RCE.git

ip反查

查看该ip其他端口，是否有其他系统。列如该ip，其他端口就是一个oa系统

拿到证书域名后再去ipc备案反查，即可

美国总统编年史：白宫里的那些大佬们

安全运营之通行字管理

【资料】美国海军研究实验室：未来25年25项关键技术展望

【公益译文】《后量子密码技术》报告

【暗网必备】Tor网络的私密性和安全性如何?

NSFOCUS旧友记我有故事、你有酒吗？(2)

新瓜速递微软最新RCE?!

网安众生相【三十七】关于工作选择

十条工作思路

Linux Shell基础详解

发表评论

在线咨询

微信

选小厂冷门的洞的话，全网收录也不过几百个，为了迎合本次的效果。选择用友NC的BshServlet 命令执行。

因为该漏洞触发方式较简单，所以咱脚本编写起来也较为简单，直接上代码 代码已上传，地址为：https://github.com/parkourhe/yongYouNC-RCE.git

ip反查

查看该ip其他端口，是否有其他系统。列如该ip，其他端口就是一个oa系统

拿到证书域名后再去ipc备案反查，即可

发表评论

在线咨询

微信

因为该漏洞触发方式较简单，所以咱脚本编写起来也较为简单，直接上代码代码已上传，地址为：https://github.com/parkourhe/yongYouNC-RCE.git