前言 这是通过 JavaAgent + javassist 动态修改 web 服务内部关键类注入恶意代码的内存马技术。限制是需要在已经控制目标机器并且上传 Agent jar 包和 javassist 包才可以完成的注入。 环境 tomcat 环境（目标受害环境）： <project xmlns="http://maven.apac…

“知识在于积累” 比较常见的不死马是通过一个死循环强占一个 PHP 进程不断写入恶意的代码到 php 文件中。代码如下： <?php // 忽略用户中止并允许脚本 // 永远运行 ignore_user_abort(true); set_time_limit(0); unlink(__FILE__); // unlink，删除自身 $file…

前言 Jackson 在 SpringBoot 中自带。而这个依赖包中的 POJONode 在调用 toString 会触发 getter 方法的调用。类似于 fastjson 的 parse 和 rome 的 ToStringBean#toString。因此如果目标环境可以用 TemplatesImpl 并且 jdk 版本较低，那么将可以在 Sp…

前言 任意文件上传漏洞应该避免，攻击者可以上传任意数量、任意大小的文件至服务器，导致服务器磁盘不足，无法正常运行，造成拒绝服务攻击。甚至可以造成远程命令执行。 绕过 服务端有时候会对用户上传的文件进行校验。我们可以有这些思路进行绕过。 文件头 https://en.wikipedia.org/wiki/List_of_file_signatures…

实验环境 仍旧像介绍 tomcat 一样，目标是反序列化注入内存马。引入存在漏洞 rome 依赖。 pom.xml 主要如下： <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-pa…

前言 本文对 Tomcat 的各种内存马进行了简单学习和整理，所给出的 PoC 代码均已通过反序列化注入的方式测试成功。 环境 引入依赖以及环境如下： <properties> <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding> &…

前言 Venom 是一个非常好用的渗透代理工具，可以轻易的获得不同节点的 shell。这里的节点指的是连接了 admin 或某个节点的机器。并且还可以很容易的从不同 agent 节点连接到其它的 agent 节点。而且 socks 代理操作起来也显得极其简单。admin 节点是我们主要的攻击机器使用，而 agent 节点则常用于内网中的各个机器。还…

前言 我们拿到手的 frp 主要有两个配置文件，分别是服务端的 frps.ini 和客户端的 frpc.ini。 我们先来简单分析一下配置文件的含义，首先是 frps.ini [common] bind_port = 7001 authentication_method = token token = qwer1234 上面的文件表示 frps 监…

前言 chisel 是一个轻量易用的代理工具，基本用法如下： 服务端使用方法： ./chisel server --reverse --port 9999 服务端参数 –host [指定服务端 ip，默认是 0.0.0.0] –port 指定监听端口 –reverse 表示允许所有客户端通过该服务端进行端口转发 客户端使用方法： ./chisel …