或许真的应该跟上时代的潮流,学习一些新的技能/知识了。传统的web似乎有点打不动了...
1.用友系列 GUI版本 用友NC因为禁用了很多类,不是那么容易直接回显和打内存马,这款工具解决了这点 命令行版 无漏洞利用 2.OA综合利用 Thelostworld_OA.jar Github搜即可 3.Shiro 之前收集了很多的shiro工具,这里作者推荐老牌工具 ShiroAttack2 这工具还有个再次加强版,作者的描述增加Suo5 v0.8.0内存马 增加UpgradeMemshell内存马 增加内存马自定义payload key选项,消除工具特征 消除内存马pass、path特征ShiroAttack2再次加强版 4.IIS短文件名猜解工具 IIS-ShortName-Scanner 5.JAR包分析工具 jar-analyzer-gui 6.mysql恶意服务端 mysql-fake-server 7.JNDI Expolit JNDIExploit-1 8.数据库综合利用工具 但MSSQL我还是选择SharpSQLToolsMDUT 9.流量分析工具 BlueTeamTools 10.两个免杀Webshell的工具 但是好像有些是秒杀马 ByPassBehinder4J ByPassGodzilla 11.JDBC链接提取工具 InjectJDBC 12.哥斯拉内存马 GodzillaMemoryShellProject 13.HeapDump heapdump提取工具,命令行 以前的heapdump都是用MemoryAnalyzer人工分析,非常折磨,现在可以一键提取出有用信息了。 JDumpSpider
该文章主要分析了一下哥斯拉的从生成Webshell到连接Webshell的过程