利用常见致远OA后门进行打点

渗透技巧 2年前 (2023) admin

500 0 0

在各种攻防演练中，致远OA通常会成为进入内网的突破口。在我利用漏洞获取webshell的大多数致远OA中，通常在web目录下已经包含了多个websehll。这些webshell一般都是由网络上的扫描器进行漏洞测试遗留下来的。我将其中经常出现的webshell名称收集起来，编写了如下nuclei template，将该template加入扫描队列中，可方便的检测致远OA以前是否被入侵过。

编写后门扫描程序

id: Seeyon-OA-Backdoor

info:
  name: Seeyon OA behinder webshell
  author: Armitage
  severity: critical
  description: None
  reference: None
  tags: Seeyon,backdoor,webshell

requests:
  - method: GET
    path:
      - "{{BaseURL}}/{{path}}/{{webshell}}"

    payloads:
      path:
        - seeyon
        - seeyon/common/designer/pageLayout
      webshell:
        - SeeyonUpdate1.jspx
        - PeiQi.jspx
        - test.jspx
        - SeeyonUpdate.jspx
        - edictor.jspx
        - update.jspx
        - seeyonupdate.jsp
        - test233.jsp
        - 404.jsp
        - peiqi10086.jsp
        - test10086.jsp
        - test133.jspx
        - abab.jsp
        - core.jsp
        - a.jsp
        - seeyonupdate.jspx
        - seeyon.jspx
        - loveyou.jsp
        - justfortest1.jsp
        - sp1.jsp
    attack: clusterbomb
    stop-at-first-match: false

  - method: GET
    path:
      - ""

    matchers:
      - type: status
        status:
          - 200