用友NC-RCE寫馬問題分析與解決

給朋友解決的一個用友NC-RCE寫馬問題，這篇主要記錄的是解決這個問題的過程和思路，其實這次遇到的這個問題與用友NC RCE的這個py利用工具有著很大關系，可以多試一些其他的工具看看。

0x01 問題描述

用友NC的一個遠程命令執行漏洞，在命令終端下用Py利用工具可以正常執行命令，但由于目標主機存在WindowsDefender，測試了各種CS/MSF的遠程執行上線方式都失敗了，也不能使用echo寫入webshell，會將<>尖括號給轉義了，測試了一些文件落地方式好像也被攔截了。

0x02 測試過程

使用certutil將冰蝎jsp馬進行一次base64編碼，使用burpsuite抓包py利用工具的寫馬payload，將剛編碼的base64通過這個Payload寫進去，然后在py利用工具下使用certutil解碼，但解碼后發現找不到jsp馬文件，再次測試使用certutil進行二次編碼，第一次解碼jsp馬文件是存在的，這就說明可能是因為這個jsp馬不免殺，在解碼后被WindowsDefender給殺掉了。

0x03 解決方式

找到問題所在就簡單了，只需找一個能過WindowsDefender的冰蝎或哥拉斯的jsp免殺馬就行，將這個jsp免殺馬經過base64編碼后寫進去，然后在py利用工具下使用certutil解碼即可，只要不被WindowsDefender查殺就可以連接了。但最后還得解決下360+WindowsDefender執行cs馬上線問題，一個進程防護，一個特征查殺。

JSP馬免殺相關鏈接：

https://github.com/G0mini/Bypasshttps://mp.weixin.qq.com/s/Nbt711grXyubO8q0z8wk5g