用户
搜索
  • TA的每日心情
    开心
    前天 20:37
  • 签到天数: 14 天

    连续签到: 1 天

    [LV.3]偶尔看看II

    i春秋签约作家

    kalil-linux小白

    Rank: 7Rank: 7Rank: 7

    36

    主题

    259

    帖子

    519

    魔法币
    收听
    0
    粉丝
    18
    注册时间
    2017-3-6

    燕春秋游侠i春秋签约作者热心助人奖

    发表于 7 天前 215404
    0x01前言:
        小表弟又来写文章了,这次是一个新的发现,可能对于老手来说这都是渣渣,但我会写的尽量详细,让小白看了也会懂的程度,


    0x02有狗:
        大佬们说的有狗多半是 “安全狗”说有WAF的时候多半是有防火墙,请求的字段被waf拦截了,这里解释一下什么事WAF  这玩意学名叫做,网站应用级防火墙,用来拦截一些非法url请求的,比如说我们在一个url后缀为
    QQ截图20170811000153.png
      这样的后缀添加一个   %and  1=1 的时候就会被拦截,屌丝我今天日站的时候也遇到了,当时的情况是  我一句话写入了,但是用C刀,或者菜刀链接的时候显示链接被重置或者是拒绝链接,怎么都不行,比如这样:

        后来查了下ip发现是阿里云的服务器,这里需要提醒大家的是,阿里云的服务器,大部分装有一个简易的杀软,也就是阿里防御套装这个东西,你在任务管理器中可以看到,这种情况多半是被杀软给拦截了,但他名没有阻止我访问我的webshell,哪怕是执行webshell都没问题,


    0x03知识点:
        这里需要引入  一个知识点 也就是  php执行系统命令的函数 ,我们用最简单的webshell来简单的说说
        比如这句:
    QQ截图20170811000019.png
          可能一些小白看不懂了,说这玩意都长得差不多,到底怎么玩啊,那现在屌丝就简单的说说,其实很简单的,无非就是一个传值得问题,上面这个一句话,我们就说中间的这个,开头和末尾只不过是让系统吧这句话识别成php语句,并解析,之一这里需要系统来解析我们的一句话,如果系统不解析我们的一句话,我们也无法执行命令,中间这个 post表示  用post的数据来进行交互,相当于一种加密的沟通方式,这里我们 就可以直接用firefox的插件来调用我们的webshell来执行命令了,
         比如像这句:
        QQ截图20170809101641.png
         我们先把hackbar打开,并且加载我们的webshell,这个webshell指的是包含一句话的php文件,并且可以有执行权限的,我们加载当前的url之后勾选post提交方式,然后输入我们的 webshell密码,这个密码就是一句话中的 cmd,然后用这个cmd的参数去调用php语句,让php再去执行系统命令,这是一个传递的过程,测试的话 可以用我现在的这种方法,也就是调用phpinfo的探针,注意 用“;”作为结尾,注意中英文状态

         然后确定你的webshell可以执行命令,再去用系统函数去调用,然后  用 我们的函数去执行系统命令,比如 system就可以调用系统的命令,然后按照一定格式写出来就可以了,由于论坛这边的特殊字符串不能写,因为写在文章里 就会被WAF拦截,我只能上图片了,这里我们用我们的webshell调用系统php函数去执行系统命令,先从添加用户开始,

    QQ截图20170809102154.png
         添加了普通用户还不够,很多东西我们都无法执行,这时候我们就需要用 administrators 这个用户组了,我们需要把我们新创建的用户添加到用户组,让他有一定权限,就像下图这样 我们把刚刚创建的用户添加到用户组,
    QQ截图20170809102216.png
         友情提示一句,在他命令执行成功后  会给我们回显,有的命令就不会,这是因为php函数的输出的问题,有些时候我们不需要他输出,执行命令就好了,这个也是要根据当时的情况去酌情使用 的 一定要灵活运用,就像现在的教程一样,你只能仿照,并自己去解决问题,千万别照搬照抄,这是学习路线上的大忌!!!
    QQ截图20170809102317.png

    0x04登录
         我们用刚刚创建的用户,并且添加到了administrators用户组的账户去远程桌面登录,这里有一个窍门,就是在添加用户组的时候 是 administrators  末尾要多加一个s,因为他是一个组,是复数,明白我的意思吧,
    QQ截图20170809102454.png

          我们很顺利的登陆上来了,默认出现的服务器配置页面仿佛是在向我们挥手,庆祝我们在学习路上更新一步,很多时候,渐渐的忘记了初心,没有了第一次拿站的激情和刺激,渐渐地变得麻木,从一开始的兴趣,变成了一些机械化的操作,或者是为了利益去做,大佬们经常说的信仰也是我最不理解的东西,也许我还小吧
    QQ截图20170809102552.png

    0x05小技巧:
    到了现在我们已经可以成功登陆服务器了,但是我们并没有administrator的权限和密码,这里就有两个思路,
    第一 直接上传 wce或者猕猴桃 这两个工具是  用来在内存中抓取曾经登陆过得用户的密码,也就是说 如果 服务器被重启了,而且任何用户都没登录,那么就抓不到密码,而是想办法抓取hash去尝试破解,这边我要的是持续控制,还因为我比较懒,还不愿意用别人写的工具,所以我选择第二种方法

    直接在本地用msf生成一个木马,扔上去,扔到他开机启动项里,这样在他重启之后我们依旧可以连接,这就是一种持续后门的方法之一,
    还有一种是最简单的方法,那就是粘滞键的问题,在锁屏的时候 可以使用直接敲五次 shift键,windows会调用粘滞键的程序,而这个程序和cmd。EXE在同一个文件夹,也就是说 我们把这两个程序的名称去替换,那么在我们下一次登录的时候 直接用五次shift就可以直接弹出dos窗口,有了dos窗口,就可以创建用户了,对吧,你可能说权限够不够的问题,我会告诉你 这是  system用户调用的,system是啥?system直接控制硬件  比administrator权限还高,所以你懂我的意思吧
    QQ截图20170809102757.png

    0x06会话进行时:
        上图的木马 我是用系统自带的浏览器下载过来的,而不是复制的,因为我用的是kali系统,用不了复制和粘贴,所以只能从另一个服务器去调资源,然后刅本地  放在他开机启动项里   然后运行下,另一边我们的kali  开启监听,因为我的木马用的是  正向链接,就是说由本地去触发目标服务器的端口,这个端口是由我们的木马监听的,这样就为我们开启了后门,进而拿到会话
    QQ截图20170809102847.png

        为了猥琐发育 ,拿到会话直接删掉我们webshell创建的用户,防止暴露,嘿嘿嘿 猥琐发育,下图是我删掉之后的,,删之前忘了截图,,写文章也是很苦逼的,害的留下作案截图,,扎心
    QQ截图20170809103556.png

          这边我们可以在会话状态执行getuid看一下我们当前的用户名,很明显是我们刚刚创建的那个用户的权限,这边需要注意的事 你要先运行木马,再去删除自己这个账户,别做反了,做反了就逗比了
    QQ截图20170809103241.png

    0x07隐藏自己,持续后门:
         拿到会话 第一件事干什么?当然是进程迁移啊,因为我们运行了木马之后再目标服务器的进程管理I器中可以看到的,但是做了进程迁移之后就和别的程序捆绑在一起了,如果他要强制截止,只能重启,他一重启,系统还会在开机的时候自动运行我们的木马,这块相当于双保险,但是开机自启的木马,在内存中是可以被干掉的,这点需要注意下,这里的命令,要么写全路径,让模块自动迁移  要么就指定系统的exploit进程id,迁移到那个里面去,这两个是最靠谱的,
    QQ截图20170809103014.png
          然后我们在用msf的持续后门模块去把我们的后门变成服务的方式,寄存在对方系统服务中,彻底的随系统而自启,但是这个服务名字比较坑爹,好在可以在msf的模块中修改,后续的话 我在给大家写如何修改msf持续后门服务的服务名 这里创建了一个服务,并且持续监听本地的  31337端口,如果你是网站管理员就需要注意下这个端口了,还有默认的 4444端口,哈哈  你们懂的,
    QQ截图20170809103152.png
         下图就是我们做的msf的持久后门监听的端口,当然  这也是可以改的,在他的模块中搜一下就知道了,像这种参数一般是不会随意更变的
    QQ截图20170809103811.png

    0x08密码抓取和信息泄露:
         到现在你以为就结束了么?不可能的 administrator的密码我们还没拿到怎么能这样就放弃呢,对不对,嘿嘿嘿  这边我直接通过 msf的上传模块  upload 这个模块可以吧本地的程序上传到目标服务器的当前目录下,我愿意用wce  因为他小巧,简单,易用,而且kali也自带这个工具  ,我们直接把wce上传  然后切换到shell  取运行这程序,这里还可以直接  load 猕猴桃这个模块,但是猕猴桃用着不舒服,直接上传wce了
    QQ截图20170809103319.png
        然后我们就需要切换成shell状态,相当于切换到他的cmd窗口里了,然后运行刚刚上传的wce  工具   记得加 -w参数,不加参数抓取的事 hash  -w参数表示输出铭文密码,换句话说就是我们直接用的那种密码,可以复制粘贴的

    QQ截图20170809103357.png

    0x09擦屁屁:
        拿到administrator的密码,也做好了持续后门,确保万无一失了,然后做啥?当然是清理日志啊,哎哎哎 你干嘛 开什么远程桌面,不知道msf有自动清理日志的工具么?,这边我们直接在 msf的会话状态  直接执行 clearev  让msf自动清理日志,注意 这个模块是彻底的吧日志清理掉,很明显的可以看到日志变成0了,如果让管路员看到 傻子也知道自己被日了,所以这里要想好,根据实际情况去想,为什么我用这个模块,从密码你就可以知道了,特别有规律,而且全程弱口令,所以你觉得他会闲着蛋疼的看日志?,在说了 日志每个小时都会更新,只要里面的日志不永远是0  基本上可以无视,就算被发现了,清掉了我们所有的木马,我们还有administrator的密码在手 ,
    QQ截图20170809103227.png

    0x10反思:
    CNVD的漏洞 90%是弱口令 完全不知道网站管理员,开发,运维脑子里想的是什么,企业推广的大数据,极有可能成为黑客的信息库,随用随取,企业又是一副是不管理高高挂起的样子,就算出了问题,也是能小就小,大不了用钱砸的态度,最后坑的是谁?还是老百姓,这就是一个恶循环,

        本文就写到这里,其实在拿到了administrator的密码之后可以登上去看看他是否远程了别的服务器,可以用当前的密码去尝试登陆,很有可能中奖哦,再就是浏览器的历史记录以及   cookie,再就是数据库,最后是他在服务器安装了那些软件,有一次我就碰到了一个在服务器上挂百度云的,是一个黄色网站,好奇的打开了,,结果就发现了,之前被说成谣言的“迪丽热巴”的视频,老司机你们懂,,,,不解释,要资源我当然不能给,给你们在说我传播淫秽色请就不好了对不对,哈哈 所以说  在远程上去之后  一定要注意任何细节,都会有想不到的惊喜哦,

    后记:
    这段话是送给那些在背后喷我的人的一段话,别在背后喷我,有能耐我开直播 正面刚!我做的不对,你可以说,我会改,但你在背后喷我是几个意思?羡慕嫉妒恨?还是承认自己完犊子?只能耍嘴皮子?来问我问题的 我回答是我乐于助人,不回答是我的本分,凭什么你问我就得回答?没有谁欠你的,没有人该你的,努力了你就会得到,错过了也不要气馁,抓住机遇总会成功    平平淡淡,不忘初心,
    ——蜂巢网安-屌丝绅士




    本帖被以下淘专辑推荐:

    做自己的自己 和平年代的炮灰,战争年代的爆破鬼才
    阿甫哥哥 管理员 i春秋最帅男神-阿甫大哥哥 楚 核心白帽 i春秋签约作者 白帽传说 春秋游侠 秦 燕 魏
    来自 22#
    发表于 昨天 22:17
    文章奖励介绍及评分标准:http://bbs.ichunqiu.com/thread-7869-1-1.html,如有疑问请加QQ:286894635!
    奖金
    点评
    100
    排版很清晰,文章的内容也很实用,面向新手白帽。


    Time will give me the answer
    使用道具 举报 回复
    发表于 7 天前
    fcxx08 发表于 2017-8-11 01:25
    nice.. 多谢分享 .如果主机装有360安全卫士和360杀毒 是否还有可能完成进程的迁移??? ...

    拿到会话,看一下进程,
    如果有360之类的杀软,再看当前的权限,如果是system用户或者 administrator用户尝试结束360进程
    如果不是,就去看系统补丁,找没打的补丁,想办法提权,这里可以去 exploit-db这个网站上去找,有很多的提权脚本,总之,在进程中干掉他
    做自己的自己 和平年代的炮灰,战争年代的爆破鬼才
    使用道具 举报 回复
    发表于 7 天前
    本文前前后后写了四五遍才发出来,只是因为知道创宇的waf太敏感,每次提交都是被拦截 就像这样
    QQ截图20170811012726.png
    做自己的自己 和平年代的炮灰,战争年代的爆破鬼才
    使用道具 举报 回复
    发表于 4 天前
    唔炎 发表于 2017-8-13 10:24
    表哥,来迟了抱歉,希望下次还能看到你直播(上回看到一半太困睡着了) ...

    一脸无奈的我还能怎么办?
    做自己的自己 和平年代的炮灰,战争年代的爆破鬼才
    使用道具 举报 回复
    发表于 4 天前
    一晓 发表于 2017-8-13 18:01
    密密麻麻  伤眼睛 只适合浏览

    恩,,,,,,感谢你的建议,下次写的时候我会仔细排版
    做自己的自己 和平年代的炮灰,战争年代的爆破鬼才
    使用道具 举报 回复
    发表于 7 天前
    libiao 发表于 2017-8-11 03:25
    真心感觉这文章不错  感谢分享

    感谢老铁的鼓励,我将会做的更好
    做自己的自己 和平年代的炮灰,战争年代的爆破鬼才
    使用道具 举报 回复
    早。
    使用道具 举报 回复
    nice.. 多谢分享 .如果主机装有360安全卫士和360杀毒 是否还有可能完成进程的迁移???
    使用道具 举报 回复
    真心感觉这文章不错  感谢分享
    使用道具 举报 回复
    小白看来很有收货    谢谢
    使用道具 举报 回复
    小白表示很厉害
    使用道具 举报 回复
    发表于 7 天前
    晓枫 发表于 2017-8-11 06:00
    小白看来很有收货    谢谢

    感谢老铁的鼓励,我将会做的更好
    做自己的自己 和平年代的炮灰,战争年代的爆破鬼才
    使用道具 举报 回复
    发表于 7 天前

    感谢老铁的鼓励,我将会做的更好
    做自己的自己 和平年代的炮灰,战争年代的爆破鬼才
    使用道具 举报 回复
    好文章,学习学习
    使用道具 举报 回复
    发表于 5 天前

    感谢老铁的鼓励,我将会做的更好
    做自己的自己 和平年代的炮灰,战争年代的爆破鬼才
    使用道具 举报 回复
    表哥,来迟了抱歉,希望下次还能看到你直播(上回看到一半太困睡着了)
    使用道具 举报 回复
    密密麻麻  伤眼睛 只适合浏览
    使用道具 举报 回复
    12下一页
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册