分类 权限维持 下的文章

Awd线下赛总结
Part I:
注意事项:
1.比赛的时候web守护机为Linux系统,权限非常低,你就认为是只能操作html目录就可以了。
2.据了解,他们判定宕机的情况是网页功能不能正常访问就行,如:删除页面,页面功能不正常(登陆验证码没了都算宕机)
3.不可以使用DDOS攻击
4.不能使用外网环境。
Part II:
问题
1.PHP的代码审计技巧和审计工具推荐
seay
链接: https://pan.baidu.com/s/1n6IbF10DToZ6XqWPjBBz0Q 密码: ubc9
提前准备好各种cms的poc exp (因为你们不允许联网)phpwin phpcms dz
everything find
2.Python脚本的编写:文件监控、预留后门批量利用、flag批量提交、审计出来的漏洞的利用。

linux文件监控脚本.py(十分钟内新生成的文件删除)
D盾扫描完 服务器上传seayfindshell脚本,将生成列表保存在1.txt,隔一段时间对比下1.txt
flag批量提交(让防守队员进行脚本修改,批量获取flag/批量提交flag)
审计出来的漏洞比较耗时间,我更倾向于如果本机发现别人的shell,那就利用它进行手动/自动攻击别人的机器,善于怼别人的后门。

不死马清理:

`ps aux www|grep shell.php` 找到pid后杀掉进程就可以,你删掉脚本是起不了作用的,因为php执行的时候已经把脚本读进去解释成opcode运行了

重启php等web服务

用一个`ignore_user_abort(true)`脚本,一直竞争写入(断断续续)。usleep要低于对方不死马设置的值。
    创建一个和不死马生成的马一样名字的文件夹。

3.不死马、waf、抓流量的waf

    不死马使用原理就是不断将的自己写入,造成进程占用,被删除后一秒就已经生成新的了,还有就是.XXX文件建立隐藏文件不死马。
    waf,脚本waf可以防止一般情况下的危险字符,但是不能报太大希望,
        

require_once('waf.php');
    抓流量waf,挂载后可以让防守队员_实时关注日志,一旦发现被getflag了,就通过日志相应的手法攻击别人

4.审计出漏洞后的利用办法。
分析和利用,骚操作,不管你多厉害,只要你能利用。我也就能利用(md5马不想说话)。

流程:一、防御
1、cat /var/log/apache2/access.log | cut -f4 -d   | sort | uniq -c | sort -k  -r | head -  查看当前访问量前十的链接

2、文件监控增删改查的文件使用脚本Monitor(一个简单的文件监控示例脚本,可以监控创建、删除、移动、属性修改操作,自动删除新增文件或目录。已使用pyinstaller打包成了linux可执行程序)

3、chattr +i 命令锁死网站目录和文件,防止其他队伍删除网站宕机。注:添加后不取消特殊权限 即使是root用户也无法删除/修改文件(

chattr -R +i /var/www/html  
chattr -R +i /var/www/html/*   
(取消命令将+号改成-   chattr -R -i /var/www/html)

4、weblogger监控所有访问连接 配合第一条命令使用判断别人的poc

5、通过iptables/firewall 禁止非相关端口开放(蓝帽杯不建议)

6、 漏洞修复简单粗暴
CTF比赛中修复漏洞主要就是为了防止其他队伍的入侵了。

  1. 删站:如果赛组没有明确禁止,这是最粗暴的姿势,只留自己的webshell,参加过几场比赛确实遇到了这种尴尬的事情,web攻防最后都演变成了拼手速的“GetShell+留后门+删站”。

  2. 破坏正常功能:无法修复但是发现被功能攻击那就删除相关函数,或者将页面新建一个空白的PHP文件(慎用)。rce,sql
    7、使用waf全局包含waf,注意waf的日志和weblogger日志与第二项文件监控冲突,建议建立文件夹将日志和weblogger日志放到指定文件夹中,避开文件监控,

find /var/www/html/ -type f -path "*.php" | xargs sed -i "s/<?php/<?php\nrequire_once('\/tmp\/98366ed74d36da9dd6c07cc3aacc0c80\/weblogpro.php');\n/g"命令的意思就是查找/var/www/html目录下所有php文件,在头部添加一句,用require函数引入/tmp/waf.php文件。

sudo -i 输入你用户密码

8、后台一定要登陆后台,有没有弱口令,修改成强口令。

9、不只是后台,phpmyadmin、测试页面容易出现sql注入,rce之类的这些。(看我下午发的那个视频,那个视频里面操作内容。)

Social-Engineer Toolkit克隆制作钓鱼网站
社会工程师工具包(SET)由TrustedSec的创始人创建和编写。它是一个开源的Python驱动工具,旨在围绕社交工程进行渗透测试。
 
已经在包括Blackhat,DerbyCon,Defcon和ShmooCon在内的大型会议上提出过。拥有超过两百万的下载量,这是社交工程渗透测试的标准,并在安全社区内得到很大的支持。
 
它拥有超过200万的下载量,旨在利用社会工程类型环境下的高级技术攻击。TrustedSec认为,社交工程是最难防备的攻击之一,现在是最流行的攻击之一。该工具包已被包括在自从发行后12个月的安全书籍的头号畅销书,包括由TrustedSec的创始人,Devon Kearns,Jim O'Gorman编写的“Metasploit:渗透测试者指南” Mati Aharoni。
 
官方网站:https://www.trustedsec.com/social-engineer-toolkit-set/
使用手册完整文档:https://github.com/trustedsec/social-engineer-toolkit/

安装:

git clone https://github.com/trustedsec/social-engineer-toolkit.git
cd 
python setup.py install

运行:
kali中已经安装了可以省略刚刚的安装步骤。
直接运行setoolkit
或者从菜单栏打开工具
图片1.png
克隆网站:
图片2.png
1、社会工程学攻击
2、快速追踪测试
3、第三方模块
4、升级软件
5、升级配置
6、帮助
99、退出
这里我选择1,
图片3.png
1、鱼叉式网络钓鱼攻击
2、网页攻击
3、传染媒介式(俗称木马)
4、建立payloaad和listener
5、邮件群发攻击(夹杂木马啊payload的玩意发给你)
6、Arduino基础攻击
7、无线接入点攻击
8、二维码攻击(我喜欢)
9、Powershell攻击
10、第三反模块
99、返回上级
既然已经钓鱼那就选2,网页攻击
图片4.png
1、java applet攻击(网页弹窗那种)
2、Metasploit 浏览器漏洞攻击
3、钓鱼网站攻击
4、标签钓鱼攻击
5、网站jacking攻击(这个真心不明白,好像也和java的攻击方式有些相同)
6、多种网站攻击方式
7、全屏幕攻击(不明所以的玩意,只能够对谷歌邮箱和脸书用)
99、返回上级
选3
图片5.png
1网站模版
2克隆网站
3自己写
这里我博客的的登陆页面,wordpress
图片6.png
第一个让输入的是你post返回服务器的ip
图片7.png
图片8.png

可以看到抓到了密码。

图片9.png

各个大佬都在分享各种bypass av的方法,我来分享下mimikatz bypass 360的一个思路。
这个传出来也好久了,通过msbuild来执行xml的mimikatz达到绕过导出的想法。
前提:
1、能够交互方式执行cmd(推荐使用冰蝎)
2、权限能够执行debug(id:500)
3、.net 4.0
关于msbuild的介绍:
MSBuild 是 Microsoft 和 Visual Studio的生成系统。它不仅仅是一个构造工具,应该称之为拥有相当强大扩展能力的自动化平台。MSBuild平台的主要涉及到三部分:执行引擎、构造工程、任务。其中最核心的就是执行引擎,它包括定义构造工程的规范,解释构造工程,执行“构造动作”;构造工程是用来描述构造任务的,大多数情况下我们使用MSBuild就是遵循规范,编写一个构造工程;MSBuild引擎执行的每一个“构造动作”就是通过任务实现的,任务就是MSBuild的扩展机制,通过编写新的任务就能够不断扩充MSBuild的执行能力。

过程:
https://raw.githubusercontent.com/3gstudent/msbuild-inline-task/master/executes%20mimikatz.xml
将xml文件保存在本地,这里我放到目标机器的桌面上。

图片1.png
以管理员权限执行cmd:

#C:\Windows\Microsoft.NET\Framework64\v4.0.30319\MSBuild.exe C:\Users\123\Desktop\mimikatz.xml

图片2.png
图片3.png
没有任何提示弹窗和拦截,直接就执行了。
但是有个不太明白的情况就是如果我是执行的导出hash > 1.txt这种情况,360就会拦截,不太明白360的拦截机制是怎么判断的

#C:\Windows\Microsoft.NET\Framework64\v4.0.30319\MSBuild.exe mimikatz.xml "privilege::debug" "sekurlsa::logonPasswords full" exit