WEB和服务器安全漏洞

0x00 前言 之前的文章《域渗透——DCSync》提到了DCSync的使用条件： 从下列任何用户处获取权限： 管理员组中的用户 域管理员组中的用户 企业管理员组中的用户 域控制器的计算机帐户 本文将完成上一篇文章没有提到的最后一个利用方法，介绍如何通过域控制器的计算机帐户密码哈希实现DCSync。 0x01 简介 本文将介绍以下内容： 机器帐户简介 一种获取机器账户密码哈希的方法 使用MachineAccount实现DCSync 防御探测 0x02 MachineAccount简介 MachineAccount是每台计算机安装系统后默认生成的计算机帐户。 计算机帐户的密码存储在注册表中：HKLM \安全\策略\机密\ $机器. acc 如果计算机加入域，计算机帐户的密码将与域控制器同步，并保存在域控制器的NTDS.dit文件中。 默认情况下，计算机帐户的密码每30天自动更新一次，密码长度为120个字符。所以，即使获取了电脑账号密码的哈希，也很难还原电脑账号的明文密码。 关闭当前计算机帐户密码自动更新的两种方法（适用于工作组）： 1.修改组策略 组策略位置： 计算机配置\Windows设置\安全设置\本地策略\安全选项\ 如下图 默认情况下不启用。如果设置为启用，它将停止更新密码。 参考资料： https://docs . Microsoft . com/en-us/先前版本/wi…

0x00 前言 最近学了一个利用方法：在vCenter上使用管理员权限，从/storage/db/VMware-vmdir/data . MDB中提取IdP证书，为管理员用户创建SAML请求，最后使用vCenter server进行身份验证，获取有效的管理员cookie。 直观理解：从vCenter的本地管理员权限到VCSA管理面板的管理员访问权限。 学习材料： https://www . horizon 3 . ai/compromising-vcenter-via-SAML-certificates/ https://github.com/horizon3ai/vcenter_saml_login 本文将在学习资料的基础上，完善代码，增加通用性，并结合利用的思路给出防御建议。 0x01 简介 本文将介绍以下内容： 方法复制 脚本优化 利用理念 辩护建议 0x02 方法复现 在Kali系统下测试。 安装Openssl: apt安装python3-openssl 1.从vCenter获得数据库文件 路径：/storage/db/VMware-vmdir/data . MDB 需要vCenter的管理员权限。 2.运行脚本 下载地址： https://github . com/horizon 3 ai/vcenter _ SAML _ log in/blob/main/vcenter _ SAML _ log in . py…

0x00 前言 知名恶意软件Poweliks利用后门技术，在注册表启动位置创建特殊的注册表键值，并通过mshta执行有效载荷。 对于这个特殊的注册表项，正常情况下是无法访问的。这是什么原理？如何读取、创建和删除？本文将一一介绍。 0x01 简介 本文将介绍以下内容： 如何隐藏注册表 隐藏注册表的实现 编程中应注意的问题 0x02 原理 注册表项名称是特殊构造的：它以“\0”开头，后跟任何字符(不是数字)。 对于Windows系统来说，“\0”(即0x0000)会被识别为字符串的终止符，所以在读取字符串的过程中遇到开头的“\0”时，会被解释为终止符并提前截断，导致读取错误。 要使用Native API设置注册表，需要使用OBJECT_ATTRIBUTES结构作为参数来指定读取字符串的长度。 只要长度设置正常，就可以读取正确的字符串，避免这个bug。 因此，我们可以通过Native API创建这个特殊的注册表名称。 更重要的是，像regedit.exe等对注册表的操作，通常会调用Win32 API，使得注册表不可读，从而实现所谓的“隐藏”。 综上所述，创建方法是：通过Native API创建一个以”\0”开头的键值 0x03 编写程序实现 注册表由Native API操作，参考的工程地址为： https://www . code project . com/Articles/14508/Registry-Manipulation-Usin…

0x00 前言 针对wyzzoo在《Password Filter DLL在渗透测试中的应用》文章中的回复，我想提请大家注意在较高版本系统上考虑的问题，地址如下： https://github . com/3g student/feedback/issues/13 # issue comment-371694931 于是我研究了这部分，并把它写成文字。 0x01 简介 本文将介绍以下内容： 如何配置额外的LSA保护 如何获得监测结果 补充一个密码过滤器DLL的使用思路 使用附加LSA保护的检测效果 0x02 配置额外的LSA保护 参考官方文件： https://docs . Microsoft . com/en-us/windows-server/security/credentials-protection-and-management/configuring-additional-LSA-protection Windows8.1系统启动，为LSA提供额外保护，防止未受保护的进程读取内存和代码注入。 保护方法： 要求加载到LSA的任何插件都要使用Microsoft signature进行数字签名。 具体来说，数字签名是指目录签名，签名需要满足WHQL认证。 参考资料： https://docs . Microsoft . com/zh-cn/windows-硬件/驱动程序/install/whql-release-signature …

0x00 前言 Mimilib是米米卡茨的子工程，编译成功后生成文件mimilib.dll，包含多个导出函数。 目前介绍这个动态链接库用法的资料比较少，于是我将结合自己的测试结果，逐个介绍mimilib.dll导出函数的用法。 0x01 简介 本文将要介绍以下内容： Mimilib导出函数简介 6种功能的具体用法 0x02 Mimilib导出函数简介 对应文件的地址为： https://github。com/gentili kiwi/mimikatz/blob/master/mimilib/mimilib。极好的 内容如下： 出口 startW=kappfree_startW spl samode initialize=kssp _ spl samode initialize InitializeChangeNotify=k filt _ InitializeChangeNotify passwordchangentify=k filt _ passwordchangentify WinDbgExtensionDllInit=kdbg _ WinDbgExtensionDllInit extensionapi版本=kdbg _ extensionapi版本 咖啡=kdbg _咖啡 mimikatz=kdbg_mimikatz DnsPluginInitialize=kdns _ DnsPluginInitialize …

0x00 前言 在之前的文章《域渗透——DCSync》中，系统整理了DCSync的利用方法。本文将详细介绍使用DCSync导出域内所有用户hash的方法，分析不同环境下的利用思路，并给出防御建议。 0x01 简介 本文将介绍以下内容： 使用条件 利用工具 利用理念 辩护建议 0x02 利用条件 从下列任何用户处获取权限： 管理员组中的用户 域管理员组中的用户 企业管理员组中的用户 域控制器的计算机帐户 0x03 利用工具 1.C实现(mimikatz) 实施代码： https://github . com/gentil kiwi/mimikatz/blob/master/mimikatz/modules/LSA dump/kuhl _ m _ LSA dump _ DC . c # L27 命令示例： (1)导出域内所有用户的hash mimikatz.exe ' LSA dump:DC sync/domain:test . com/all/CSV '退出 (2)导出域内administrator帐户的hash mimikatz.exe ' LSA dump:DC sync/domain:test . com/user:administrator/CSV '退出 2.Python实现(secretsdump.py) 命令示例： python secretsdump.py测试/管理员：DomainAdmin…

0x00 前言 在Windows系统下，tscon可以用来切换远程桌面的会话。一般情况下，切换会话需要提供登录密码，但可以通过特殊利用方式绕过认证，实现不输入密码的非授权登录。 这会有什么影响？这种方法在什么条件下可以使用？如何防御组合法？本文将一一介绍。 注： 本文中使用tscon未授权登录的想法借用了以下链接： https://medium . com/@ network security/RDP-jacking-how-to-jacking-rds-and-remote app-sessions-transparently-to-move-through-an-da 2 a 1e 73 a5f 6 0x01 简介 本文将介绍以下内容： tscon的正常使用 一种通过tscon实现远程桌面非授权登录的方法 应用示例 辩护建议 0x02 tscon的正常用法 对于打开了远程桌面服务的Windows系统，当多个用户登录系统时，将会生成多个会话，如下图所示 测试系统：Server2012 R2 管理员在本地登录。 用户b通过远程桌面服务(RDP)连接到端口3389远程登录。 接下来，如果用户管理员想切换到用户B的远程桌面，可以通过右键-连接的方式进行连接，然后输入密码。 如下图 Tscon是命令行下使用的工具，可以实现同样的功能。 首先，获取用户对应的sessionid，并执行以下命令： 查询用户 …

0x00 前言 邮件启用提供端到端的解决方案，用于提供安全的电子邮件和协作服务。引用自官方网站的说法：最近的一项独立调查报告称邮件启用是世界上最受欢迎的Windows操作系统操作系统邮件服务器平台。 对于邮件启用的开发者API，我在官方网站上只找到了AJAX API的说明文档，所以本文将要尝试编写计算机编程语言脚本，实现对邮件启用邮件的访问，记录开发细节，开源代码。 0x01 简介 本文将要介绍以下内容： 环境搭建 开发细节 开源代码MailEnableManage.py 0x02 环境搭建 1.安装 安装前需要安装（同移民检查员移民检查)服务和。净3.5,否则无法正常配置网访问 邮件启用下载地址：http://www。启用邮件。com/下载。动态服务器页面 2.配置 启动MailEnableAdmin.msc，在邮件启用管理-邮件管理器-邮局下配置邮件服务器信息 如下图 默认登录页面： http://邮箱。localhost/me webmail/Mondo/lang/sys/log in。aspx 3.开启Web管理页面 参考资料： http://www.mailenable.com/kb/content/article.asp?ID=ME020132 启动MailEnableAdmin.msc，选择邮件启用管理-服务器-本地主机-服务和连接器-WebAdmin，右键单击并从弹出菜单中选择属性，选择安装使成形.按钮，进行安装 …

0x00 前言 米米卡茨中sekurlsa:wdigest是渗透测试中经常会用到的功能，它能够从lsass进程中提取凭据，通常可获得已登录用户的明文口令(Windows Server 2008 R2版版及更高版本的系统默认无法获得，需要修改注册表等待用户再次登录才能获得) XPN在他的博客中记录了对WDigest的研究心得，开源了一个POC，通过C实现了在Win10_1809 x64下从lsass进程中提取凭据 本文将会对XPN的无线一键通进行扩展，使其支持R2/Windows server 2012/Windows server 2012 R2，记录程序实现的细节与过程 XPN的博客： https://blog.xpnsec.com/exploring-mimikatz-part-1/ 概念验证： https://gist.github.com/xpn/12a6907a2fce97296428221b3bd3b394 0x02 简介 本文将要介绍以下内容： 实现思路 程序实现细节 0x03 实现思路 提升至调试权限 获得lsass进程句柄 枚举lsass进程中全部模块的句柄，定位wdigest.dll和lsasrv.dll在内存中的位置 从lsasrv.dll中获得初始化向量，AES和3DES的值，用于解密 从wdigest.dll中获得每条凭据的信息，判断加密算法，解密获得明文口令 具体说明如下： 1. 提升至Debug权限 …

0x00 前言 2019年8月10日，厄扎坎(@ehakkus)在防御状态应用安全村公开了一个0天，1.930以下版本的Webmin存在远程代码执行漏洞，文章地址如下： 彭斯特街https://号。com。tr/exploits/DEFCON-Webmin-1920-未经验证-远程-命令-执行。超文本标记语言 我对这个漏洞进行了跟踪研究，本文将要记录测试过程，根据漏洞原理使用计算机编程语言编写一个POC，并给出防御建议 0x01 简介 本文将要介绍以下内容： 漏洞简介 搭建测试环境 使用打嗝组曲复现漏洞 使用计算机编程语言编写无线一键通 0x02 漏洞简介 Webmin是基于网的Unix操作系统操作系统系统管理工具，简单理解：使用Webmin能够通过浏览器远程管理Unix操作系统操作系统系统的主机 1.930以下版本的Webmin存在远程代码执行漏洞，当Webmin的密码过期策略设置为提示密码过期的用户输入新密码时（默认设置为总是拒绝密码过期的用户),通过构造特殊格式的邮政包，能够实现远程代码执行 0x03 搭建测试环境和漏洞复现 测试系统：Centos7 x64 IP:192.168.112.181 1.安装perl和依赖库 好吃的安装实际抽取与汇报语言 安装perl-Net-SSLeay 好吃的安装perl-编码-检测 2.下载并安装存在漏洞的Webadmin(1.920) wget https://SourceForge。…

0x00 前言 在域渗透中，活动目录信息的获取是必不可少的。 本文将以获取活动目录中的所有用户、所有计算机和所有组为例，介绍常用的信息获取方法。 0x01 简介 本文将介绍以下内容： 一种获取域外活动目录信息的方法 获取域中活动目录信息的方法 调用ADSI接口获取信息。 0x02 基础知识 该域使用目录数据库来存储用户、计算机帐户和组等对象。 使用LDAP(轻量级目录访问协议)来查询和更新目录数据库。 常见缩写 DN:可分辨名称 CN:常用名 OU:组织单位 DC:域控制器 DN有三个属性，即CN、OU和DC。 简单理解： 默认情况下，域控制器将为LDAP服务打开端口389。 0x03 域外获取活动目录信息的方法 1.Kali系统通过ldapsearch进行数据查询 测试环境如下 前提：我们可以访问域控制器(DC)的389端口，并且我们已经获得了域中至少一个普通用户的密码。 在这个测试环境中，我们获得了域中普通用户testa的密码DomainUser123！ 连接命令如下： LDAP search-x-H LDAP://192 . 168 . 1 . 1:389-D ' CN=testa，CN=Users，DC=test，DC=com' -w DomainUser123！-b ' DC=测试，DC=通讯' 参数描述： -x表示简单身份验证 -H服务器地址 -D用于绑定服…

0x00 前言 过程隐藏器能够在任务管理器和流程浏览器之类的监视工具中隐藏指定进程，本文将要介绍实现原理，分析代码细节。 0x01 简介 本文将要介绍以下内容： 过程隐藏器测试 过程隐藏器的实现原理 过程隐藏器的代码分析 过程隐藏器的检测 0x01 简介 过程隐藏器能够在任务管理器和流程浏览器之类的监视工具中隐藏指定进程 地址如下： https://github.com/M00nRise/ProcessHider 支持以下参数： pid 进程名 两种启动形式： 可执行程序的扩展名 powershell 过程隐藏器能够自动识别操作系统版本和进程位数，向32位和64位进程分别注入Payload.dll，通过钩子API NtQuerySystemInformation()实现进程隐藏 注入的代码使用动态链接库反射，地址如下： https://github.com/stephenfewer/ReflectiveDLLInjection 钩的代码使用恩索克京，地址如下： https://www。代码项目。com/Articles/21414/functional-x86-x64-迷你挂钩引擎 参数实例： ProcessHider.exe-n ' putty。exe '-x ' proce XP。' exe ' 能够在procexp.exe中隐藏进程名putty.exe，并且默认针对以下进程进行隐藏： …

0x00 简介 涉及漏洞： CVE-2016-8869 CVE-2016-8870 利用上述漏洞，攻击者可以注册特权用户。 POC: https://github.com/XiphosResearch/exploits/tree/master/Joomraa https://www.exploit-db.com/exploits/40637/?简易资讯聚合 分析文章： http://paper.seebug.org/88/ http://paper.seebug.org/86/ 注： 0x01和0x02摘自分析文章。 http://paper.seebug.org/88/ http://paper.seebug.org/86/ 0x01 CVE-2016-8870 漏洞影响 当网站注册关闭时，仍然可以创建用户。 影响版本 3.4.4至3.6.3 漏洞原理 用户注册有两种方法： userscontrollerregistration:register()位于components/com _ users/controllers/registration . PHP中。 UsersControllerUser:register()位于components/com _ users/controllers/user . PHP中 与userscontrollerregistration:register()相比，UsersCo…

0x00 前言 之前的文章《域渗透——DNS记录的获取》介绍了在域穿透中获得DNS管理员权限后获取DNS记录的方法，但更常见的情况是只有域内的普通用户才需要获取DNS记录。 本文将参考公开资料，梳理域内普通用户获取DNS记录的方法，修复高版本Windows系统下dns-dump.ps1的bug。 0x01 简介 本文将介绍以下内容： 实现原则 开源工具和方法 0x02 实现原理 1.SharpAdidnsdump的实现原理 通过LDAP查询得到域中计算机的名称，再通过DNS查询得到对应的IP。 详细的实施细节可以在以下位置找到： https://github.com/b4rtik/SharpAdidnsdump 测试环境：test.com (1)通过LDAP查询获得域内计算机的名称 LDAP的查询参数如下： LDAP://test.com/DC=test.com，CN=微软dns，DC=域名区域，DC=测试，DC=com ((!(objectClass=DnsZone))(！(DC=@)(！(DC=*arpa))(！(DC=*DNSZones))) (2)通过DNS查询获得域内计算机对应的IP 使用Dns。GetHostEntry方法，资源： https://docs . Microsoft . com/en-us/dot net/API/system . net . DNS . gethostentry？redirectedfrom…

0x00 前言 Gootkit银行木马最早发现于2014年。最近Daniel Bunce(@ 0verfl0w_)介绍了一些关于Gootkit银行木马的分析。文章地址如下： https://www . sentinel one . com/blog/goot kit-banking-trojan-persistence-other-capabilities/ 其中，Gootkit银行木马使用的后门启动方式是独一无二的，本文仅从技术研究的角度再现Gootkit银行木马使用的后门启动方式，分析利用思路，给出防御和检测建议。 0x01 简介 本文将介绍以下内容： 原理介绍 inf文件的基本知识 循环后门启动方法 分析和利用方法 检测和防御建议 0x02 原理介绍 Explorer.exe将在运行时加载特定的组策略对象(GPO)，包括Internet Explorer管理工具包(IEAK)的GPO。 如果您通过添加注册表并指向inf文件来为IKAK创建挂起的GPO，那么当explorer.exe启动时，将加载挂起的GPO并执行inf文件的内容。 这种方法的优点是不需要管理员权限。 0x03 inf文件的基础知识 inf设备信息文件的全称是微软为硬件设备制造商发布其驱动程序而推出的一种文件格式。 不区分大小写 文件格式： 它由几个部分组成，部分名称用方括号括起来。 值得注意的部分： 1.Version节 Inf文件包含这一节来…

0x00 前言 在之前文章《渗透基础——从lsass.exe进程导出凭据》 介绍了本地导出凭据的方法，而在渗透测试中，经常遇到的情况是需要远程导出凭据，本文将要介绍远程导出凭据的思路和方法，记录细节 0x01 简介 本文将要介绍以下内容： 思路 实现方法 lsassy介绍 0x02 思路 在远程导出凭据时，需要考虑以下几点： (1)需要实现远程命令执行，关于远程命令执行，可以参考之前的文章《在远程系统上执行程序的技术整理》 (2)由于保护措施的限制，不同环境需要不同的导出方法 (3)远程导出lsass进程的倾销文件后，通常会选择将倾销文件复制到本地，解析得到口令哈希，而有的时候lsass进程的倾销文件很大，所以需要考虑传输文件的效率 (4)对于多个系统，重复劳动太多，效率不高 综合以上几点，我们需要一个方便快捷的方法：支持多种导出方法，能够直接解析出口令哈希，操作自动化以提高效率 这里可以使用开源工具伊莎西，地址为：https://github.com/Hackndo/lsassy 0x03 lsassy介绍 1.安装使用 安装命令： 点安装lsassy 测试命令： lsassy -u管理员-p密码1 192.168.1.1 在输出上，使用术语颜色添加了颜色显示，在默认Windows cmd下无法正常显示颜色，会导致显示格式不友好，存在一些乱码 为了解决Windows操作系统操作系统下格式乱码的问题，可以修改\ li…

0x00 前言 在渗透测试中，如果获得了用户的NTLM哈希，我们可以尝试使用传递哈希的方法登录WMI和SMB服务，这也可以用于远程桌面服务。 本文将介绍当受限管理模式打开时，使用Pass hash登录到远程桌面的方法。 对于传递散列的利用，请参考前一篇文章： 《域渗透——Pass The Hash的实现》 0x01 简介 本文将介绍以下内容： 受限管理模式简介 远程桌面的pass hash实现方法(受限管理模式) 0x02 Restricted Admin mode简介 官方描述： https://blogs . TechNet . Microsoft . com/kfalde/2013/08/14/restricted-admin-mode-for-RDP-in-windows-8-1-2012-R2/ 本部分参考官方说明，补充个人理解。如有错误，请指正。 受限管理模式，字面意思是受限管理模式，主要功能是防止凭据在目标系统中暴露。 适用系统 默认情况下，Windows 8.1和Windows Server 2012 R2支持此功能。 默认情况下，不支持Windows 7和Windows Server 2008 R2。需要安装修补程序2871997和2973351。 注： 相关信息可参考： https://docs . Microsoft . com/en-us/security-updates/security advisories…

0x00 前言 最近APT34的6款工具被泄露，本文作为分析文章的第二篇，仅在技术角度对其中的高壳和超级外壳进行分析 参考资料： https://malware-research.org/apt34-hacking-tools-leak/amp/ 0x01 简介 本文将要介绍以下内容： 对高壳的分析 对超级外壳的分析 小结 0x02 对HighShell的分析 对应泄露文件的名称为Webshells _和_面板中的高壳 其中的文件为HighShell.aspx，是针对Windows操作系统操作系统服务器的webshell 默认访问页面如下图 注册框为红色，需要输入连接口令 正确的口令为Th！sN0tF0rFAN 输入正确的口令后，点击动手吧，刷新页面，成功登录，如下图 注册框变为绿色 该工具的公开线索： https://号42单元。帕洛阿尔托网络。com/unit 42-双面-web shell-持久-接入点-横向-移动/ 高壳同帕洛阿尔托网络在文中提到的双面的页面相同 0x03 对HyperShell的分析 对应泄露文件的名称为Webshells _和_面板中的超级外壳 下面包含七个文件夹： ExpiredPasswordTech 超级外壳 图像 图书馆 包装 ShellLocal 稳定版本 1.ExpiredPasswordTech 包括3个文件：…

About: 使用odbcconf加载dll 使用powershell获取dll导出 使用Windows事件跟踪来记录USB键盘的击键 目录： 本文介绍了为什么通过odbcconf加载dll可以绕过regsvr32在命令行的拦截。 —— ExportsToC，一个比导出ToC更方便的dll导出函数批量输出的工具 通过ETW可以录制USB键盘的键盘，记录测试体验。 0x01 Use odbcconf to load dll Reference: https://twitter.com/subTee/status/789459826367606784 简介 如图，凯西史密斯在推特上分享了一个窍门。如果执行regsvr32以加载dll的代码是在。rsp文件，然后通过odbcconf.exe调用，它可以绕过regsvr32在命令行的拦截。本文将介绍为什么可以在命令行绕过regsvr32的拦截。 odbcconf： 用于配置ODBC驱动程序和数据源。 有关详细说明，请参见以下链接： https://msdn . Microsoft . com/en-us/library/ee 388579(v=vs . 85)。aspx 用法如图所示 值得注意的是odbcconf包含了注册dll的功能。在之前的文章《Code Execution of Regsvr32.exe》中，我具体介绍了如何开发一个可以被regsvr32调用的dll，并编写一个测…

0x00 前言 在之前的文章《Use CLR to maintain persistence》 介绍了通过清除(清除的缩写)劫持。网程序的后门，特点是无需管理员权限，并能够劫持所有。网程序。那么，如果劫持了高权限的。网程序，就能够绕过UAC，比如gpedit.msc 最近我在clem@clavoillotte的博客上也看到了相同的利用思路，并且，他的博客里有更多值得学习的地方。于是，我对他博客介绍的内容进行了整理，结合自己的经验，适当作补充，分享给大家。 clem@clavoillotte的博客地址： https://offsec.provadys.com/UAC-bypass-dotnet.html 0x01 简介 本文将要介绍以下内容： 使用清除(清除的缩写)绕过UAC的方法 劫持系统CLSID绕过UAC的方法 0x02 使用CLR绕过UAC 我在《Use CLR to maintain persistence》 一文中使用了wmic修改环境变量，代码如下： wmic环境创建名称='COR_ENABLE_PROFILING '，用户名='%username% '，变量值='1 ' wmic环境创建名称='COR_PROFILER '，用户名='%username% '，变量值=' { 111111111-1111-1111-1111-1111111111 } ' 在《Use Logon Scripts to maintain persistence》 补充了使…