原文始发于ARM!TAGE:利用常见致远OA后门进行打点
在各种攻防演练中,致远OA通常会成为进入内网的突破口。在我利用漏洞获取webshell的大多数致远OA中,通常在web目录下已经包含了多个websehll。这些webshell一般都是由网络上的扫描器进行漏洞测试遗留下来的。我将其中经常出现的webshell名称收集起来,编写了如下nuclei template,将该template加入扫描队列中,可方便的检测致远OA以前是否被入侵过。
编写后门扫描程序
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 |
id: Seeyon-OA-Backdoor info: name: Seeyon OA behinder webshell author: Armitage severity: critical description: None reference: None tags: Seeyon,backdoor,webshell requests: - method: GET path: - "{{BaseURL}}/{{path}}/{{webshell}}" payloads: path: - seeyon - seeyon/common/designer/pageLayout webshell: - SeeyonUpdate1.jspx - PeiQi.jspx - test.jspx - SeeyonUpdate.jspx - edictor.jspx - update.jspx - seeyonupdate.jsp - test233.jsp - 404.jsp - peiqi10086.jsp - test10086.jsp - test133.jspx - abab.jsp - core.jsp - a.jsp - seeyonupdate.jspx - seeyon.jspx - loveyou.jsp - justfortest1.jsp - sp1.jsp attack: clusterbomb stop-at-first-match: false - method: GET path: - "" matchers: - type: status status: - 200 |
写到最后
这个template在高烈度攻防对抗中不是很起作用。但对于一些下属单位的OA可能会起到作用。还有一个问题就是这些webshell中有命令执行的,有冰蝎的,无法准确判断webshell类型。
相关文章
暂无评论...
