.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
0x01はじめに
ヒント:否定的なケースとして見てください。実際、あなたがそれを得る方法は、以下に言及しているものよりもはるかに厄介ではありません。私はただ焦りすぎていると自分自身を責めています.
もともとはBCプロジェクトによって作成されたプロモーションサイトでしたが、当時はシェルしかありませんでした
許可は通常のユーザーです。サーバー上の情報をさらに収集する許可を提起したいとき、彼はさまざまなことを実行することが許可を拒否されることを発見し、グループポリシーにプログラムをブロックするよう促しました。当時、他のことがあったため、彼はそれを研究し続けませんでした(プロジェクトは関連部門によって承認されており、ユーザー名はより敏感であり、プロセス全体が後でコーディングされます)。
0x02バイパスアップルロッカー
私は最近突然それを覚えていたので、私はそれを続け、グループのマスターに尋ねました
それが何であるかを知った後、簡単に言うことができます。辛抱強く探していると、常に何かを獲得します。 Applockerはじめに:
https://baike.baidu.com/item/applocker/2300852?fr=aladdinそれからマスター3gの記事を見つけました。
https://3gstudent.github.io/3gstudent.github.io/use-msxsl-to-bypass-applocker/suse who rease nows ows。記事を読んだ後、フォローアップの一般的なアイデアが明らかになります。
0x03オンラインでエスカレートする
私が思うのは、バイパスアップルロッカーにより、ターゲットサーバーはターゲットサーバーを実行し、馬が起動した後にその後の権利の引き上げを実行できるということですが、実行はシェルの下で実行されます
ネットユーザー、タスクリスト /SVCなどをエコーしないでください。そうしないと、プロセス比較を使用してソフトソフトウェアを判断できます(私が書いた小さなホイールで、一致するプロセスは960+:3http://get-av.se7ensec.cn/に増加しました)
わからないので、私は自分のキャラクターを競い、ホストにキリングソフトウェアがないことに賭けます。上記の3Gマスター記事の3番目の方法で馬を走らせた後、下のマシンを無視してオンラインになりました.
CSが起動された後、次のようなコマンドを実行すると、タスクリスト/SCVは引き続きアクセスが拒否されます。
次に、組み込みのCSシステムプロセスコマンド「PS」を試して、システムプロセスを正常にリストしました。それを見た後、それは本当にソフトウェアを殺しませんでした。
/*スクリーンショットを撮るのを忘れた */
走る "
Shell SystemInfo「システムとパッチ情報が見えることがわかりましたが、システムにはいくつかのパッチがありませんでした。私は幸運でした。ユーザーの許可をチェックした後、Juicy Potatoの要件を満たしました。
テスト後、それが起動されたことがわかりました(実際、実行許可はありましたが、その時点で何かが間違っているとは思っていませんでした。後で記事を要約したときに何かが間違っていることに気付きました。詳細については、記事の最後を参照してください)。 c: \ users \ public \には実行権限があります。 Juicy Potatoを使用してWhoamiパラメーターを実行し、システムに正常に戻りました。
その後、それを使用して直接降りると、システムセッションは数秒で行われます。ディレクトリをめくった後、私はそれがまだウェブサイトグループであることがわかりました。
管理者許可のスクリーンショットを取ります。たくさんあるのも不思議ではありません。彼らはすべてバッチでWebサイトを構築することがわかりました:
0x04要約
今回は幸運でキラーに出会わなかったことが起こりました。そうでなければ、それはでこぼこの道であり、より挑戦的です。
最も失敗するのは、今回はApplockerの機能のいくつかを完全に理解していなかったことです。
https://www.anquanke.com/post/id/159892、私はバイパス法を検索することを切望していて、それを使用し始めました。実際、私が今回遭遇したのは、ファイルパスの単なる制限でした。 c: \ users \ public \はプログラムを実行できます。以前に見つけるのはそれほど難しくありません。ただし、Applockerメカニズムを完全に理解できることも報酬です。
元のリンクから転載:https://mp.weixin.qq.com/s/ede6g1g4hbmkxq6tkieq
コマンドラインnslookup+url IPを表示するには、CDNが見つかりません
ラブステーションに行き、見てください
さて、カンボジアは大丈夫です
は、ポートが変更されたと推測して、ログインIPホワイトリストを推測して2回試しましたか?
バックエンドが出てきました、このBCは少し悲惨です、私はいくつかの弱いパスワードをランダムにテストしましたが、それは実りがありませんでした
従来の弱いパスワードを見つけるのに十分です。
パスワードは数秒でリリースされます:123456、私は嘔吐し、それらの操作とメンテナンスは死に至ることがあります
(私のいとこはあなたに領収書コードを送りましたか?金持ちになる機会はここにあります!)
「リアル画像タイプではない」とプロンプト、パッケージのPHPサフィックスに変更して、違法なファイルタイプを求めて
ホワイトリスト +ファイルヘッダーの確認のように感じます。写真馬を試してみてください
はいくつかの波を試しましたが、ホワイトリストは非常に真剣に制限されていましたが、それはありませんでした。
Accept-Encoding3: gzip、deflate、削除、GZIPの中央のスペースを削除し、リクエストパッケージでデフレート
エンコーダーをbase64に変更することを忘れないでください
アリの剣のリクエスト情報を変更し、以下に示すようにヘッダーヘッドを変更する
テスト接続、接続に成功しました
それが直接システムの許可であることがわかりました。
新しいディレクトリを作成し、winrar.exe+mimikatzをアップロードします
アップロードされたwinrarを減圧する、コマンド:winrar.exe e x64.rar
MIMI.BATを実行して、ここで説明してみましょう。以下の画像の後に出口を追加するのが最善であると、Mimikatzはログを書き続け、ログファイルが大きく大きくなります。私はその時にそのような間違いを犯しました。
生成されたmimikatz.logをWebサイトのルートディレクトリにコピーして、それを表示します
管理者のRDPパスワードを正常にキャプチャしました。
は、合計3つのポートが開いていることを示しており、一般的にポート3389が変更されています。 NMAPを使用して-SVパラメーターをスキャンして追加すると、スキャンされたRDPサービスは通常、SSL/不明として表示されます。
heheheは、正常にログインし、サーバーを倒し、タバコに火をつけ、すべての証拠を詰め込み、電話を取り出して110と呼ばれる
圧縮ディスクの下のDATフォルダーとbat.rarwinrar.exe a -ag -k -r -s -ibck C3:/bak.rar C:/dat/
한 번의 주입
32 비트 만 읽을 수 있기 때문에 서브 스트링을 사용하여 별도로 읽습니다.
편안한 느낌이 들었습니다. 이제 들어가서 속옷을 공개적으로 선택할 수 있습니다.
INURL:A.com 관리자
는 재설정 된 것 같습니다
OK 방금 문장을 작성하십시오
0x03 라이센스 
권한은 약간 낮습니다
MySQL을 사용하는 다른 방법은 없습니다.
MySQL 권리를 높이려고 노력하십시오
업로드 할 수없는 디렉토리를 제외하고 다른 모든 조건이 충족되므로 CS, PowerShell Online으로 이동하십시오.
자세한 내용은 Juicy Potato를 사용하십시오. Sanhao 학생들의 기사를 참조하십시오. 원하는 clsid를 선택하십시오. 링크
그러면 우리는 시스템 권한으로 PowerShell을 실행하고 있습니다
0x04 수평 침투 
은 작업 그룹 환경이며 0.9를 스캔하며 웹이기도합니다. 다음은 해시 패스이며 해시를 잡기 위해 직접 전송됩니다. 현재 다음 계정이 있습니다
웹이어야하는 데모, 그리고 0.7은 데이터베이스 서버 일 수 있습니다.
그런 다음 System.Exe를 업로드하고 Shell SelectMyparent.exe System.exe 500을 실행하십시오.
이 단계는 실제로 단어 수를 구성하는 것입니다.
스티커 키는 동시에 두 개 이상의 키를 누르는 데 어려움이있는 사람들을 위해 설계된 컴퓨터에 사용되는 바로 가기 키를 나타냅니다. 끈적 끈적한 본드의 주요 기능은 시프트와 다른 키의 조합을 용이하게하는 것입니다. 스티커 키는 먼저 (예 : Shift)를 누르고 다른 키를 동시에 누르는 대신 다른 키를 누르지 않고 물리적 인 이유로 인해 여러 키를 동시에 누를 수없는 일부 사람들에게 편리합니다. 일반적인 컴퓨터는 시프트를 5 번 누를 때 끈적 끈적한 키 프롬프트가 있습니다.
그런 다음 전체 제어로 수정하십시오.
이제 우리는 5 번 연속으로 교대를 누르고 시스템 권한 CMD가 팝업됩니다.
주입 백도어 등록
계획 작업의 백도
Web Backdoor, Weevely를 사용하여 Shell.php를 생성하여 테스트 할 수 있습니다.
파일을 서버 디렉토리에 넣고 실행하십시오.
내장 명령을 보급하십시오
원래 링크에서 재 인쇄 : https://mp.weixin.qq.com/s?__biz=mzg2ndywmda1na==mid=mid=22474826idx=2SN=8F11B7CC12F6C5DFBB5eeeeb316f14f460ch KSM=CE67A31BF9102A0D70487584DC3C49141A376CC1B35C0659F3AE72BAA7E77E6DE7E0F916DB5SCENE=21#WECHAT_REDIGRECT
攻撃をクリックして攻撃を開始すると、「%s」が生成された辞書コンテンツに置き換えられていることがわかります。 29431リクエストは31秒で正常にリクエストされ、949のRPSで
同時テストでは、元のリクエストパッケージの処理は必要ないため、次の問題に遭遇する可能性があります。
ツール実行プロセスのため、元のリクエストパッケージに「%s」フィールドが必要なため、リクエストパッケージのどこにでも「%s」を追加する必要があります。
同時にデータパケットを送信すると、送信結果の長さの大部分は328。328であることがわかります。
繼續跟踪createtxt方法,如下所示,僅僅只是進行了文件寫入操作,並沒有進行過濾,導致任意文件寫入漏洞。
原文鏈接關注Beacon Tower Lab專欄
