文章插图
前言
很久没有整理实战文章了,恰好这周项目上有一个目标折腾了两天时间,记录分享下其中的心路历程(本次渗透过程均在目标授权下进行,请勿进行非法渗透行为) 。
目标基本信息
某政务网站Getshell 过程
服务器--windows
数据库--未知
中间件--Tomcat
开发语言--JAVA
未使用 CDN
存在 waf--种类未知
其它漏洞的挖掘过程不再描述,直奔权限,发现目标存在一处上传功能 。
文章插图
上传成功后返回取件码 。
文章插图
使用取件码进行信件查询 。
文章插图
点击附件为下载链接 。
文章插图
通过对下载链接进行测试,发现报错时泄漏了网站的绝对路径 。
文章插图
进过几次尝试,成功访问到上传的图片 。
文章插图
网站 waf 对上传文件的后缀名进行了白名单限制 。
根据以往的 bypass 经验,开始手撕 waf 。
后缀名校验绕过
寻找 waf 的设计缺陷来绕过 waf 的上传限制,
常用的几种方法有:
删除实体里面的 Conten-Type 字段总结一下思路就是在不影响正常上传功能的前提下,尝试改变数据包的部分格式内容,绕过 waf 的校
删除 Content-Disposition 字段里的空格
修改 Content-Disposition 字段值的大小写
文件名处回车
等等等等 。
验 。
经过多次尝试,当 Content-Disposition 字段修改为 Content+Disposition 时可以绕过 waf,可以看到上传功能的代码未对后缀名做限制,存在任意文件上传漏洞 。
文章插图
内容校验绕过
成功对文件后缀名进行了绕过 。
直接上传免杀还可以的冰蝎马 。
文章插图
上传失败,再次被 waf 拦截,发现还存在文件内容校验,尝试使用平时积累的免杀马 。
经过尝试免杀马全部阵亡,无一例外 。
当使用 java 的输出函数时也会被 waf 检测拦截 。
文章插图
第一次碰到连输出 helloword 都拦的 waf 。
经过多次测试,waf 对绝大部分的 java 函数都进行了拦截 。
内容加密
这种情况下,首先想到的解决方案是对木马进行加密 。
在网上查找相关的资料,发现了 LandGrey 大佬的一个 unicode 编码的菜刀马 。传送门
可以上传成功 。
文章插图
必须要使用 caidao-20160622 的版本进行连接(默认分隔符 : X@Y),然而 。
文章插图
菜刀流量被 waf 拦截了 。
想到了 2 种解决方案 。
1、使用内容加密的大马,例如下图的 php 大马的这种加解密 。
文章插图
2、菜刀马流量中转,上传中转菜刀马,配合本地加解密脚本文件,对数据进行中转加密传输 。
中转 Webshell 绕过安全狗(一)
中转 Webshell 绕过安全狗(二)
奈何网上关于 jsp 加密大马和 jsp 中转木马研究的文章数量有限,再加上本人不懂 java 开发,最后以失败告终 。
在这个学习尝试的过程看到了不少大佬优秀的文章,学习到了很多相关知识 。如:
菜刀 HTTP 流量中转代理过 WAF
CaidaoMitmProxy:基于 HTTP 代理中转菜刀过 WAF
感兴趣的小伙伴可以研究下 。
推荐阅读
- 淘宝换货一次后怎么退货 淘宝退换货只能换一次吗
- 惠普|10+%增速狂奔两年!PC第一次蔫儿了 惠普最惨
- 淘宝网店授权书 淘宝店铺怎么授权
- 波轮洗衣机清洗一次多少钱,波轮洗衣机自己在家怎么清洗
- 皮肤黑,想美白?美白总是不成功?一次性告诉你变白的全部方法
- 新能源汽车多久要换一次电池?
- 内网域实战渗透常用命令总结
- 大佬黑客手把手渗透数据库,带小白进入黑客圏
- |职业哭丧人:哭一次给700,一年要哭176天,家人对此却非常不满
- 编发|宝宝防晒霜如何选,用多少,怎么洗?一次说清楚