用户
搜索
  • TA的每日心情
    开心
    2017-8-16 20:37
  • 签到天数: 14 天

    连续签到: 1 天

    [LV.3]经常看看I

    i春秋签约作家

    蜂巢网安 Kali-小白

    Rank: 7Rank: 7Rank: 7

    41

    主题

    323

    帖子

    480

    魔法币
    收听
    0
    粉丝
    28
    注册时间
    2017-3-6

    燕春秋游侠i春秋签约作者热心助人奖

    发表于 2017-8-11 01:25:42 239907
    本帖最后由 屌丝绅士 于 2017-9-29 12:28 编辑

    0x01前言:
        小表弟又来写文章了,这次是一个新的发现,可能对于老手来说这都是渣渣,但我会写的尽量详细,让小白看了也会懂的程度,


    0x02有狗:
        大佬们说的有狗多半是 “安全狗”说有WAF的时候多半是有防火墙,请求的字段被waf拦截了,这里解释一下什么事WAF  这玩意学名叫做,网站应用级防火墙,用来拦截一些非法url请求的,比如说我们在一个url后缀为
    QQ截图20170811000153.png
      这样的后缀添加一个   %and  1=1 的时候就会被拦截,屌丝我今天日站的时候也遇到了,当时的情况是  我一句话写入了,但是用C刀,或者菜刀链接的时候显示链接被重置或者是拒绝链接,怎么都不行,比如这样:

        后来查了下ip发现是阿里云的服务器,这里需要提醒大家的是,阿里云的服务器,大部分装有一个简易的杀软,也就是阿里防御套装这个东西,你在任务管理器中可以看到,这种情况多半是被杀软给拦截了,但他名没有阻止我访问我的webshell,哪怕是执行webshell都没问题,


    0x03知识点:
        这里需要引入  一个知识点 也就是  php执行系统命令的函数 ,我们用最简单的webshell来简单的说说
        比如这句:
    QQ截图20170811000019.png
          可能一些小白看不懂了,说这玩意都长得差不多,到底怎么玩啊,那现在屌丝就简单的说说,其实很简单的,无非就是一个传值得问题,上面这个一句话,我们就说中间的这个,开头和末尾只不过是让系统吧这句话识别成php语句,并解析,之一这里需要系统来解析我们的一句话,如果系统不解析我们的一句话,我们也无法执行命令,中间这个 post表示  用post的数据来进行交互,相当于一种加密的沟通方式,这里我们 就可以直接用firefox的插件来调用我们的webshell来执行命令了,
         比如像这句:
        QQ截图20170809101641.png
         我们先把hackbar打开,并且加载我们的webshell,这个webshell指的是包含一句话的php文件,并且可以有执行权限的,我们加载当前的url之后勾选post提交方式,然后输入我们的 webshell密码,这个密码就是一句话中的 cmd,然后用这个cmd的参数去调用php语句,让php再去执行系统命令,这是一个传递的过程,测试的话 可以用我现在的这种方法,也就是调用phpinfo的探针,注意 用“;”作为结尾,注意中英文状态

         然后确定你的webshell可以执行命令,再去用系统函数去调用,然后  用 我们的函数去执行系统命令,比如 system就可以调用系统的命令,然后按照一定格式写出来就可以了,由于论坛这边的特殊字符串不能写,因为写在文章里 就会被WAF拦截,我只能上图片了,这里我们用我们的webshell调用系统php函数去执行系统命令,先从添加用户开始,

    QQ截图20170809102154.png
         添加了普通用户还不够,很多东西我们都无法执行,这时候我们就需要用 administrators 这个用户组了,我们需要把我们新创建的用户添加到用户组,让他有一定权限,就像下图这样 我们把刚刚创建的用户添加到用户组,
    QQ截图20170809102216.png
         友情提示一句,在他命令执行成功后  会给我们回显,有的命令就不会,这是因为php函数的输出的问题,有些时候我们不需要他输出,执行命令就好了,这个也是要根据当时的情况去酌情使用 的 一定要灵活运用,就像现在的教程一样,你只能仿照,并自己去解决问题,千万别照搬照抄,这是学习路线上的大忌!!!
    QQ截图20170809102317.png

    0x04登录
         我们用刚刚创建的用户,并且添加到了administrators用户组的账户去远程桌面登录,这里有一个窍门,就是在添加用户组的时候 是 administrators  末尾要多加一个s,因为他是一个组,是复数,明白我的意思吧,
    QQ截图20170809102454.png

          我们很顺利的登陆上来了,默认出现的服务器配置页面仿佛是在向我们挥手,庆祝我们在学习路上更新一步,很多时候,渐渐的忘记了初心,没有了第一次拿站的激情和刺激,渐渐地变得麻木,从一开始的兴趣,变成了一些机械化的操作,或者是为了利益去做,大佬们经常说的信仰也是我最不理解的东西,也许我还小吧
    QQ截图20170809102552.png

    0x05小技巧:
    到了现在我们已经可以成功登陆服务器了,但是我们并没有administrator的权限和密码,这里就有两个思路,
    第一 直接上传 wce或者猕猴桃 这两个工具是  用来在内存中抓取曾经登陆过得用户的密码,也就是说 如果 服务器被重启了,而且任何用户都没登录,那么就抓不到密码,而是想办法抓取hash去尝试破解,这边我要的是持续控制,还因为我比较懒,还不愿意用别人写的工具,所以我选择第二种方法

    直接在本地用msf生成一个木马,扔上去,扔到他开机启动项里,这样在他重启之后我们依旧可以连接,这就是一种持续后门的方法之一,
    还有一种是最简单的方法,那就是粘滞键的问题,在锁屏的时候 可以使用直接敲五次 shift键,windows会调用粘滞键的程序,而这个程序和cmd。EXE在同一个文件夹,也就是说 我们把这两个程序的名称去替换,那么在我们下一次登录的时候 直接用五次shift就可以直接弹出dos窗口,有了dos窗口,就可以创建用户了,对吧,你可能说权限够不够的问题,我会告诉你 这是  system用户调用的,system是啥?system直接控制硬件  比administrator权限还高,所以你懂我的意思吧
    QQ截图20170809102757.png

    0x06会话进行时:
        上图的木马 我是用系统自带的浏览器下载过来的,而不是复制的,因为我用的是kali系统,用不了复制和粘贴,所以只能从另一个服务器去调资源,然后刅本地  放在他开机启动项里   然后运行下,另一边我们的kali  开启监听,因为我的木马用的是  正向链接,就是说由本地去触发目标服务器的端口,这个端口是由我们的木马监听的,这样就为我们开启了后门,进而拿到会话
    QQ截图20170809102847.png

        为了猥琐发育 ,拿到会话直接删掉我们webshell创建的用户,防止暴露,嘿嘿嘿 猥琐发育,下图是我删掉之后的,,删之前忘了截图,,写文章也是很苦逼的,害的留下作案截图,,扎心
    QQ截图20170809103556.png

          这边我们可以在会话状态执行getuid看一下我们当前的用户名,很明显是我们刚刚创建的那个用户的权限,这边需要注意的事 你要先运行木马,再去删除自己这个账户,别做反了,做反了就逗比了
    QQ截图20170809103241.png

    0x07隐藏自己,持续后门:
         拿到会话 第一件事干什么?当然是进程迁移啊,因为我们运行了木马之后再目标服务器的进程管理I器中可以看到的,但是做了进程迁移之后就和别的程序捆绑在一起了,如果他要强制截止,只能重启,他一重启,系统还会在开机的时候自动运行我们的木马,这块相当于双保险,但是开机自启的木马,在内存中是可以被干掉的,这点需要注意下,这里的命令,要么写全路径,让模块自动迁移  要么就指定系统的exploit进程id,迁移到那个里面去,这两个是最靠谱的,
    QQ截图20170809103014.png
          然后我们在用msf的持续后门模块去把我们的后门变成服务的方式,寄存在对方系统服务中,彻底的随系统而自启,但是这个服务名字比较坑爹,好在可以在msf的模块中修改,后续的话 我在给大家写如何修改msf持续后门服务的服务名 这里创建了一个服务,并且持续监听本地的  31337端口,如果你是网站管理员就需要注意下这个端口了,还有默认的 4444端口,哈哈  你们懂的,
    QQ截图20170809103152.png
         下图就是我们做的msf的持久后门监听的端口,当然  这也是可以改的,在他的模块中搜一下就知道了,像这种参数一般是不会随意更变的
    QQ截图20170809103811.png

    0x08密码抓取和信息泄露:
         到现在你以为就结束了么?不可能的 administrator的密码我们还没拿到怎么能这样就放弃呢,对不对,嘿嘿嘿  这边我直接通过 msf的上传模块  upload 这个模块可以吧本地的程序上传到目标服务器的当前目录下,我愿意用wce  因为他小巧,简单,易用,而且kali也自带这个工具  ,我们直接把wce上传  然后切换到shell  取运行这程序,这里还可以直接  load 猕猴桃这个模块,但是猕猴桃用着不舒服,直接上传wce了
    QQ截图20170809103319.png
        然后我们就需要切换成shell状态,相当于切换到他的cmd窗口里了,然后运行刚刚上传的wce  工具   记得加 -w参数,不加参数抓取的事 hash  -w参数表示输出铭文密码,换句话说就是我们直接用的那种密码,可以复制粘贴的

    QQ截图20170809103357.png

    0x09擦屁屁:
        拿到administrator的密码,也做好了持续后门,确保万无一失了,然后做啥?当然是清理日志啊,哎哎哎 你干嘛 开什么远程桌面,不知道msf有自动清理日志的工具么?,这边我们直接在 msf的会话状态  直接执行 clearev  让msf自动清理日志,注意 这个模块是彻底的吧日志清理掉,很明显的可以看到日志变成0了,如果让管路员看到 傻子也知道自己被日了,所以这里要想好,根据实际情况去想,为什么我用这个模块,从密码你就可以知道了,特别有规律,而且全程弱口令,所以你觉得他会闲着蛋疼的看日志?,在说了 日志每个小时都会更新,只要里面的日志不永远是0  基本上可以无视,就算被发现了,清掉了我们所有的木马,我们还有administrator的密码在手 ,
    QQ截图20170809103227.png

    0x10反思:
    CNVD的漏洞 90%是弱口令 完全不知道网站管理员,开发,运维脑子里想的是什么,企业推广的大数据,极有可能成为黑客的信息库,随用随取,企业又是一副是不管理高高挂起的样子,就算出了问题,也是能小就小,大不了用钱砸的态度,最后坑的是谁?还是老百姓,这就是一个恶循环,

        本文就写到这里,其实在拿到了administrator的密码之后可以登上去看看他是否远程了别的服务器,可以用当前的密码去尝试登陆,很有可能中奖哦,再就是浏览器的历史记录以及   cookie,再就是数据库,最后是他在服务器安装了那些软件,有一次我就碰到了一个在服务器上挂百度云的,是一个黄色网站,好奇的打开了,,结果就发现了,之前被说成谣言的“迪丽热巴”的视频,老司机你们懂,,,,不解释,要资源我当然不能给,给你们在说我传播淫秽色请就不好了对不对,哈哈 所以说  在远程上去之后  一定要注意任何细节,都会有想不到的惊喜哦,

    后记:
    这段话是送给那些在背后喷我的人的一段话,别在背后喷我,有能耐我开直播 正面刚!我做的不对,你可以说,我会改,但你在背后喷我是几个意思?羡慕嫉妒恨?还是承认自己完犊子?只能耍嘴皮子?来问我问题的 我回答是我乐于助人,不回答是我的本分,凭什么你问我就得回答?没有谁欠你的,没有人该你的,努力了你就会得到,错过了也不要气馁,抓住机遇总会成功    平平淡淡,不忘初心,
    ——蜂巢网安-屌丝绅士




    本帖被以下淘专辑推荐:

    做自己的自己 和平年代的炮灰,战争年代的爆破鬼才
    阿甫哥哥 管理员 i春秋最帅男神-阿甫大哥哥 楚 核心白帽 i春秋签约作者 白帽传说 春秋游侠 秦 燕 魏
    来自 22#
    发表于 2017-8-17 22:17:59
    文章奖励介绍及评分标准:http://bbs.ichunqiu.com/thread-7869-1-1.html,如有疑问请加QQ:286894635!
    奖金
    点评
    100
    排版很清晰,文章的内容也很实用,面向新手白帽。


    Time will give me the answer
    使用道具 举报 回复
    发表于 2017-8-11 11:27:33
    fcxx08 发表于 2017-8-11 01:25
    nice.. 多谢分享 .如果主机装有360安全卫士和360杀毒 是否还有可能完成进程的迁移??? ...

    拿到会话,看一下进程,
    如果有360之类的杀软,再看当前的权限,如果是system用户或者 administrator用户尝试结束360进程
    如果不是,就去看系统补丁,找没打的补丁,想办法提权,这里可以去 exploit-db这个网站上去找,有很多的提权脚本,总之,在进程中干掉他
    做自己的自己 和平年代的炮灰,战争年代的爆破鬼才
    使用道具 举报 回复
    发表于 2017-8-24 14:24:50
    naga 发表于 2017-8-24 03:06
    期待来一篇.NET.JAVA的拿下过程啊。。。PHP是多,但是很多管理系统也有.NET ,JAVA 的 ...

    恩  我会留意的
    做自己的自己 和平年代的炮灰,战争年代的爆破鬼才
    使用道具 举报 回复
    发表于 2017-8-11 01:27:41
    本文前前后后写了四五遍才发出来,只是因为知道创宇的waf太敏感,每次提交都是被拦截 就像这样
    QQ截图20170811012726.png
    做自己的自己 和平年代的炮灰,战争年代的爆破鬼才
    使用道具 举报 回复
    发表于 2017-8-14 08:56:23
    唔炎 发表于 2017-8-13 10:24
    表哥,来迟了抱歉,希望下次还能看到你直播(上回看到一半太困睡着了) ...

    一脸无奈的我还能怎么办?
    做自己的自己 和平年代的炮灰,战争年代的爆破鬼才
    使用道具 举报 回复
    发表于 2017-8-14 08:57:01
    一晓 发表于 2017-8-13 18:01
    密密麻麻  伤眼睛 只适合浏览

    恩,,,,,,感谢你的建议,下次写的时候我会仔细排版
    做自己的自己 和平年代的炮灰,战争年代的爆破鬼才
    使用道具 举报 回复
    发表于 2017-8-11 08:58:45
    早。
    使用道具 举报 回复
    发表于 2017-8-11 09:25:59
    nice.. 多谢分享 .如果主机装有360安全卫士和360杀毒 是否还有可能完成进程的迁移???
    使用道具 举报 回复
    发表于 2017-8-11 11:25:12
    真心感觉这文章不错  感谢分享
    使用道具 举报 回复
    发表于 2017-8-11 11:34:41
    libiao 发表于 2017-8-11 03:25
    真心感觉这文章不错  感谢分享

    感谢老铁的鼓励,我将会做的更好
    做自己的自己 和平年代的炮灰,战争年代的爆破鬼才
    使用道具 举报 回复
    发表于 2017-8-11 14:00:37
    小白看来很有收货    谢谢
    使用道具 举报 回复
    小白表示很厉害
    使用道具 举报 回复
    发表于 2017-8-11 17:09:27
    晓枫 发表于 2017-8-11 06:00
    小白看来很有收货    谢谢

    感谢老铁的鼓励,我将会做的更好
    做自己的自己 和平年代的炮灰,战争年代的爆破鬼才
    使用道具 举报 回复
    发表于 2017-8-11 17:09:33

    感谢老铁的鼓励,我将会做的更好
    做自己的自己 和平年代的炮灰,战争年代的爆破鬼才
    使用道具 举报 回复
    好文章,学习学习
    使用道具 举报 回复
    发表于 2017-8-13 11:18:42

    感谢老铁的鼓励,我将会做的更好
    做自己的自己 和平年代的炮灰,战争年代的爆破鬼才
    使用道具 举报 回复
    发表于 2017-8-13 18:24:21
    表哥,来迟了抱歉,希望下次还能看到你直播(上回看到一半太困睡着了)
    使用道具 举报 回复
    发表于 2017-8-14 02:01:32
    密密麻麻  伤眼睛 只适合浏览
    使用道具 举报 回复
    12下一页
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册