前言
一个数据报表系统,一个RCE,一个阿里云防护
过程
该漏洞是一个SQL处理的RCE,之前使用的攻击payload会被拦截。文件写入的payload危险字符最少,排除变量:攻击payload不变,破坏select关键字发现不再被拦截
之前在处理SQL注入类型漏洞时习惯会拼接正常的select语句,但是这次的阿里云防护会直接ban掉body里携带select关键字的
解决办法:直接删掉后面的select拼接只保留攻击payload部分。
实际访问落地的jsp时 404
测试txt, 200
猜测是jsp落地被杀,后面测试静态免杀,但是jsp解析编译class时NotFound了,编译后的字节码又被杀了
后面经过多轮测试发现上传后的jsp存活几秒钟的时间,但是jsp编译后的class一定不能有高危函数。
刚开始想到的是直接用jsp打一个内存马,实际测试shell内容过长数据库语句处理后的文件直接乱码。
最后使用写一个解析js引擎的jsp,接收参数去加载内存马的字节码。虽然他仅存活了几秒钟但还是成功注入了shell
原文始发于微信公众号(安全白白):攻防随手记之阿里云防护微对抗
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论