随手记

一、Thinkphp图形化漏洞利用工具

二、记一次看似简单到处是坑的入口打点

  1. 用友文件上传漏洞
  2. 存在 AV。
    1. 改文件后缀上传,成功,但是拒绝访问。
    2. 写了个程序,作用是执行后在d:\download下面输出一个ok.txt,转化成shellcode用哥斯拉自带的shellcode执行功能,失败。
    3. 执行自己的exe这条路几乎可以放弃,因为是高权限,可以尝试一下运行本来系统自带的exe。
    4. 导出注册表的SAM,下载回来用mimikatz解析。然后在webshell开启目标的RestrictedAdmin模式。
    5. 用re-Georg等支持http to socks5的工具生成jsp文件,做好代理。
    6. 输入目标IP地址后成功登录。

三、[漏洞挖洞]Axis2高版本利用方法_获得赏金

  1. 背景
    1. Axis2⽆法登录,⽹上Getshell⽅法都 是基于1.6.2版本getshell。
  2. 利用
    1. 使用burp替换功能。
    2. axis2/ → axis2;/ 成功访问(axis 路径:axis2/services/AxisInvoker/info、axis2/axis2-admin/index)
    3. 存在弱口令 admin axis2
    4. 从Github下载⼀个:https://github.com/Lexus89/AxisInvoker/blob/master/build/AxisInvoker.aar,上传失败。
    5. 通过查看axis2版本号发现为 1.7.9
  3. 绕过
    1. 绕过 The ServiceClass object does not implement the required method in the following form: OMElement info(OMElement e) ⽅法。
    2. 修改 services.xml⽂件.成功RCE.

四、SwingLazyValue在WebShell下的利用

在Hessian相关的反序列化场景下经常会看到这个链子,本文列举分析一些常见的利用,并且融入到WebShell场景。SwingLazyValue.createValue可以实现一个任意方法的反射,相当于一个反射的包装类。

  1. JNDI注入
  2. 套娃反射执行命令
  3. defineClass加载字节码
  4. BCEL加载字节码

五、【2023】无痕制作钓鱼邮件

  1. 服务器准备