前情提要

首先是在本地审计代码的时候发现了个隐藏的文件上传接口，存在任意文件上传漏洞。

由于中间件权限较高，并且服务端没有恶意字符过滤，在执行任意文件上传时可以使用../方式跨目录上传,如下图使用../在发送请求将文件上传到根目录。

此处在linux系统上就已经可以通过覆盖计划任务的方式实现命令执行，但是直到我经历了后面的事，这个任意文件上传才刚刚开始。

测试了一会之后去看看源代码扫描这边的结果，看到了个被标记为中危的漏洞Process_Control。

Process_Control这是什么东东？看了一下源码，哦，原来是加载了个外部的库。

参考freebuf上的文章：《缺陷周话:进程控制》(https://www.freebuf.com/articles/web/209789.html)

进程控制的危害：在使用动态库加载函数时，如果攻击者可以把一个同名的恶意库文件放置在搜索顺序靠前的位置，甚至优先于应用程序所需加载文件的位置，那么应用程序将会加载该恶意库的副本，而不是原本所需的文件，从而导致恶意代码执行。

自己本地写了个demo测试一下System.loadLibrary。

在java中的System.loadLibrary会动态的加载库文件，如果是linux系统则加载.so,在windows系统上默认加载.dll。

如果你的代码如上图所示，在linux中最终加载的so文件名为libdemo_java.so，加载过程也有优先级顺序。

这时我联想到上面的任意文件上传，如果将这个库覆盖为恶意的so文件，那不就可以实现命令执行了，秉承着知行合一的原则，有想法了咱就尝试一下，直接开干。

直接在虚拟机里搜一下库在哪。

有了路径我们去使用msfvenom生成一个反弹shell的so文件。

文件生成后，我们使用hash工具计算一下我们生成的so文件的hash值。（此处要考）

我们在服务器上查看一下原so文件的hash值。

接着我们使用burpsuite-> Repeater工具修改请求,修改filename使用../覆盖服务器上的目标so文件。

删除原上传请求中的文件内容，在内容部分右键Paste from file，选择我们的恶意so文件。

点击send->上传成功->朴实无华

看一下传上去的文件的hash，？？？？？？？？？大哥，您哪位啊，既不是我们生成的so，也不是原so。

此时我第一个想法是，难道是Content-Type类型有问题，我选择了错误的类型导致文件内容被不知名力量篡改了。

在网上找到.so文件使用的Content-Type是 “application/ octet-stream”，发送后依然是sha256为“be1”开头的这兄弟。

当时在各种各样的尝试过程中内心逐渐走向疯狂，burpsuite作为我可靠的伙伴，我竟然开始质疑它，遂拿出winhex逐个byte比对，左侧为该文件在请求体中的情况，右侧为使用winhex打开的情况。

对比发现Repeater中的文件内容比原文件多了好多，我一位一位比对了一下，从中间开始隔几位就会有一个被插进来的byte,最后更是多了一大段不知道哪里的数据。。。。眼睛差点瞎了。

随后将服务端的so文件、burpsuite传输的流、以及winhex打开的源文件进行比对：

发现burpsuite对so文件进行了处理，并且将处理后的文件原封不动的传输到服务器上，发现了与源文件对比已经变化的情况。

无力研究为什么burpsuite加载我的so文件时会在请求中修改文件内容了，最终自己编辑了个脚本实现了正常的上传。

将服务端重启，程序代码自动加载我们的恶意库文件，shell反弹成功。

工具获取回复“burp”“awvs”“nessus”“ladon”"Forfity"等可以。

快速攻击全自动化工具JuD

Exp-Tools 1.1.3版本发布

GUI-tools渗透测试工具箱框架

阿波罗自动化攻击评估系统

 微软 Word RCE附PoC

Clash最新远程代码执行漏洞（附POC）

禅道系统权限绕过与命令执行漏洞（附POC）

【附EXP】CVE-2022-40684 & CVE-2022-22954

网络安全应急预案合集