0x01 问题描述
用友NC的一个远程命令执行漏洞,在命令终端下用Py利用工具可以正常执行命令,但由于目标主机存在WindowsDefender,测试了各种CS/MSF的远程执行上线方式都失败了,也不能使用echo写入webshell,会将<>尖括号给转义了,测试了一些文件落地方式好像也被拦截了。
0x02 测试过程
0x03 解决方式
找到问题所在就简单了,只需找一个能过WindowsDefender的冰蝎或哥拉斯的jsp免杀马就行,将这个jsp免杀马经过base64编码后写进去,然后在py利用工具下使用certutil解码即可,只要不被WindowsDefender查杀就可以连接了。但最后还得解决下360+WindowsDefender执行cs马上线问题,一个进程防护,一个特征查杀。
JSP马免杀相关链接:
https://github.com/G0mini/Bypasshttps://mp.weixin.qq.com/s/Nbt711grXyubO8q0z8wk5g
关 注 有 礼
还在等什么?赶紧点击下方名片关注学习吧!
推 荐 阅 读
原文始发于微信公众号(潇湘信安):用友NC-RCE写马问题分析与解决
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论