长亭百川云 - 文章详情

高危漏洞狙击框架:woodpecker-framework

回忆飘如雪

56

2024-07-14

 0x01 

简介

woodpecker-framework是一款高危漏洞综合利用框架,目的是可以狙击高危漏洞,拿到权限!其设计是由我在日常红队外围打点经验抽象得来。它的每个模块和外围打点的主要流程是一一对应的。

比如遇到一个具体的外围应用,渗透测试的流程是:

1. 探测当前应用所有攻击面和风险点 (信息探测模块)

2. 使用poc探测漏洞是否存在 (精准检测模块)

3. 通过exp拿下webshell (深度利用模块)

4. 遇到奇葩环境漏洞环境自动化无法打死,需要人工生成payload (荷载生成模块)

5. 人工构造payload时经常需要做一些常规操作,比如把Class变成BCEL编码,runtime.exec命令变形等等 (辅助模块)

下面围绕weblogic和shiro这两个高频漏洞应用来介绍详细每个模块。

 0x02 

信息探测模块(InfoDetector)

**信息探测模块的任务是寻找当前应用最薄弱的点。**显然有用的信息是判断的重要依据。这里探测的信息不是什么操作系,中间件,cms之类的指纹识别。而是针对具体应用的攻击面和风险点的探测,比如weblogic就会探测如下信息。

1. weblogic是那个版本

2. 协议是否开启t3/iiop协议

3. web端口是否可以访问到console,wls,async之类的组件

顺便值得一提的是,我们探测t3/iiop协议的时候,还需要探测它们是否被设置为禁止连接,不然探测出open也是无法利用的。如上图的t3开启了但是配置了如下过滤。

**这些信息有什么用呢?**当然是让我们知道面前这个weblogic的薄弱点在哪里,后续攻击的计划应该是:t3和iiop系列漏洞不用测试了,wls-wsat组件的xmldecoder反序列化漏洞可以看看。

 0x03 

精准检测模块(POC)

**精准检测模块的任务是使用poc去判断漏洞是否存在。**显然精准是这个模块关注的问题,我们的原则是误报可以原谅,但是漏报坚决杜绝。

那现实如此复杂的漏洞环境,怎么实现精准检查呢?woodpecker插件的检测原则是尽可能的实现以下所有检测方案。

1. 回显检测

2. dnslog检测

3. 间接检查

4. 写文件检测

5. 触发补丁检测

6. 延时检测

7. 特定特征检测

8. ....

这里我细说下3,5和7这三个方案,其他方案顾名思义。

间接检测是不通过直接触发漏洞来检测,而是通过其他方面间接来验证。举2个例子,shiro key的检测由开始的通过回显,dnslog之类的直接检测变成了现在统计rememberMe个数。weblogic漏洞检测则可通过下载黑明单class来验证是否被修复。这些方法很巧妙,在漏检中有四两拨千斤的作用。

1. 一种另类的 shiro 检测方式

2.  红蓝必备 你需要了解的weblogic攻击手法

触发补丁检测就是提交可触发补丁的payload,然后看是否拦截来确定漏洞是否修复。比如CVE-2019-2725我们就可以发送带标签的payload,若如下提示非法标签说明漏洞修复了。

特定特征检测就是通过respone的某些特征可以知道漏洞是否修复,比如CVE-2020-14882/3漏洞修复后的响应如下,那咱们就可以通过repsoen状态码为500,返回包中存在The server encountered an unexpected condition which prevented it from fulfilling the request.提示来判断。

 0x04 

深度利用模块(Exploit)

深度利用模块的任务是发挥漏洞的最大利用价值。比如一个RCE可以干的事情很多,命令执行,写文件,读文件,反弹shell,注入内存马,开启bindshell等等。不过最后我梳理了下,很多功能都是有交集的,比如反弹shell可以通过命令执行来反弹,读文件可以通过webshell来读。所以在红队行动中,真正对我们有用的一般是三个功能,woodpecker插件编写的原则上要求深度利用模块必须实现这3个功能,并保证稳定性。

1. 写文件

2. 命令回显

3. 注入内存马

 0x05 

荷载生成模块(Payload generator)

荷载生成模块的任务是帮助红队人员快速生成自定义payload。 自动化并不能解决所有问题,当遇到奇葩环境时就需要人工介入。比如当shiro漏洞遇到未知中间件时,可能无法回显也无法注入内存马,这时就需要人工构造payload了。但是每次都要先生成序列化数据,设置key,选择加密模式,非常浪费时间。而woodpecker shiro漏洞插件的荷载生成模块可以一键生成。

 0x06 

辅助模块(Helper)

该模块的任务是将漏洞检测和利用中经常要进行的操作自动化,节省时间。

比如在java命令执行漏洞中无法使用带有管道符的命令,需要我们去转换下命令。当然有Jackson_T这样的在线网站,这里我编写成了本地插件。

https://github.com/woodpecker-appstore/runtime-exec-encoder

同时如果想通过命令执行漏洞写一个shell的话,往往需要转义下,这个过程也是比较繁琐的。可以使用EchoToFileConverter插件来解决。

https://github.com/woodpecker-appstore/EchoToFileConverter

 0x07 

最后的话

如果你比较认同这样的设计,并有能力编写插件。欢迎到github提交pr或者插件。

1. 框架主页 https://woodpecker.gv7.me

2. 框架仓库 https://github.com/woodpecker-framework

3. 插件仓库 http://github.com/woodpecker-appstore

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2