现在只对常读和星标的公众号才展示大图推送，建议大家能把星落安全团队“设为星标”，否则可能就看不到了啦！

XPost是一款专为高价值系统定制的红队攻防人员后渗透工具，旨在协助实际攻击中的渗透测试，实现更全面、隐蔽和持久的后渗透信息收集，以及横向移动渗透。目前支持的应用程序：zimbra、confluence、zoho

应用方向

电子邮件服务器、网关设备、文档、企业知识管理和协作平台、单点登录平台、缺陷跟踪平台、IT运营管理软件、域名管理团队建设、代码存储库管理等。

工具能力

包括但不限于：邮件检索、明文密码记录、操作数据获取、获取未知密码下的任意登录凭证、域控信息检索、单点登录劫持、痕迹清理等操作。

工具优势

数据回调流量实现了流量隐身持久化，服务器重启或补丁更新后无文件落地，后门依然无法被察觉。

该主题讨论了电子邮件服务器、网关设备、文档、企业知识管理和协作平台、单点登录平台、缺陷跟踪平台、IT 运营管理软件、域管理团队建设、代码仓库管理等高价值系统的后开发研究。针对各种应用程序，它是通过部署高度隐蔽的插件并利用已弃用的功能来劫持运行时 Web 容器请求处理逻辑并在内存中植入高度隐蔽的持久后门来实现的。这些植入内存的后门充当加载器，直接在内存中执行有效的有效载荷，后门代码逻辑和功能载荷都在内存中运行。

对不同应用程序的代码逻辑进行深入分析后，探索了在运行时执行内存中有效负载期间遇到的挑战的解决方案。这些挑战包括多类加载器加载、绕过系统文件验证保护以及功能代码提取的上下文解耦等问题。 该实现支持在内存中执行有效的有效负载，而无需向目标发起额外的网络请求或将文件写入磁盘。这允许在高度隐蔽的攻击场景下隐蔽地执行内存中的有效负载，便于提取高价值的系统信息，例如电子邮件检索、明文密码记录、操作数据采集、获取未知密码下的任意登录凭证、域控制器信息检索、单点登录劫持和跟踪清理操作。 随后，利用现有的 Web Shell 管理工具对数据进行加密和传输，实现流量侧隐藏。这种方法旨在实现更全面、隐蔽和长期的漏洞利用后信息收集，并在实际攻击场景中进行深度渗透。

1. 该工具依赖Godzilla Webshell管理工具，以插件形式部署，Godzilla下载链接：

https://github.com/BeichenDream/Godzilla

1. 将“injec.jsp”文件上传到目标系统的

上传目录：

/opt/zimbra/jetty_base/webapps/zimbra/public/

2. 访问inject.jsp向系统注入内存后门，注入后，删除inject.jsp，但后门仍交将保留。

成功删除“inject.jsp”并建立与内存后门的连接。

3. 后门持久性

通过替换zimbra-license.jar插件，防止在重启时清除内存驻留后门。将恶意的zimbra-license-success.jar替换掉原始系统jar文件，实现后门持久化。

4. 清除日志

利用“zimbraplugin ClearLog”功能清除恶意 JSP 访问的日志。

5. 功能性有效载荷

根据需要使用特定功能，单击相应功能后，payload 将被发送到服务器后门，并在内存中执行相应的 payload。

6. Traffic流量

7. 测试版本

9.0.0_GA_4583

1. 上传shell.jar，以在运行时向目标系统注入后门

后门已成功注入；删除shell.jar。

2. 后门持久性

为了防止系统重启后后门丢失，可以通过替换 AdventnetADSMStartUp.jar 来修改启动逻辑。

3. 功能性有效载荷

4. Traffic流量

5. 测试版本

ManageEngine_ADManager_Plus_7222_64

1. 上传inject.jsp，注入内存后门。

上传路径：

/opt/atlassian/confluence/synchrony-proxy/

2. 访问inject.jsp，注入内存后门。

成功注入后门后，删除inject.jsp。

3. 功能性有效载荷

4. Traffic流量

5. 测试版本