WEB和服务器安全漏洞

0x00 前言 Windows系统中的重要文件经常添加数字签名以防止篡改，一些白名单规则也是基于数字签名的。 作为数字签名研究系列的基本内容，本文介绍了两种添加数字签名的方法，分析了CAT文件数字签名的特点，并纠正了一位读者对我的文章的回复。地址如下： 《利用xwizard.exe加载dll》 基于我的测试，个人认为移动位置后，CAT文件的数字签名不会失效。 0x01 简介 本文将介绍以下内容： 生成证书的方法 在文件末尾添加数字签名的方法(验证码) 在CAT文件(目录)中保存数字签名的方法 使用CAT数字签名的文档的特征 0x02 将数字签名添加在文件末尾的方法(Authenticode) 在关于隐写术技术的系列文章中，我研究了在数字签名中隐藏有效载荷的方法。地址如下： 《隐写技巧——在PE文件的数字证书中隐藏Payload》 证书格式在本文中已有介绍，此处不再赘述。 在文件末尾添加数字签名后，可以通过文件属性查看它。 示例： c:\ Windows \ System32 \ comment . exe 使用Microsoft数字签名，如下所示 powershell可以验证数字签名： Get-AuthenticodeSignature。\mimikatz.exe 您也可以使用工具从命令行查看数字签名。 使用signtool.exe查看： signtool.exe验证/v C:\ Windows \…

0x00 前言 之前的文章《利用IIS的端口共享功能绕过防火墙》介绍了以下问题的解决方案： Windows server已打开IIS服务，防火墙只允许端口80或443通信。那么如何在不使用webshell的情况下远程管理这个服务器呢？再者，如果只有低权限，有什么办法？ 本文将介绍上述问题的另一种解决方案：利用IIS的模块功能绕过防火墙。 0x01 简介 本文将介绍以下内容： IIS的模块功能 c开发模块 使用c#开发模块 IIS-Raid测试 利用率分析 防御探测 0x02 IIS的模块功能 从IIS7开始，开发者可以通过模块扩展IIS的功能。 参考资料： https://docs . Microsoft . com/en-GB/IIS/develop/runtime-extensibility/extending-we B- server-functionality-in-net 如果能通过模块函数读取HTTP请求的内容，控制HTTP回复的内容，就可以利用模块函数实现对服务器的远程管理。 IIS的模块是以DLL的形式存在的，加载后不会有单独的进程。 2018年，PaloAlto Unit42发现APT34使用这种方法作为IIS的后门，并将其命名为RGDoor。 本文将重现RGDoor的一些功能，重点介绍这种利用方法的检测和识别。 0x03 使用c++开发模块 参考资料： https://docs . Micr…

0x00 前言 之前《Use CLR to maintain persistence》的文章介绍了劫持all的方法。Net程序，可以作为没有管理员权限的后门。美中不足的是，通过WMI添加环境变量需要重启系统。 本文将继续介绍使用后门的另一种方法。原理差不多，但好处是不需要重启系统，也不需要管理员的权限。 注： 本文介绍的方法已被木马程序利用。 详细介绍地址： https://www . gdata software . com/blog/2014/10/23941-com-object-jacking-the-discreet-the-way-of-persistent 0x01 简介 本文将介绍以下内容： 后门 POC编写 防御探测 0x02 COM组件 COM组件对象模型代表组件对象模型。 COM组件由以DLL和EXE形式发布的可执行代码组成。 COM与语言和平台无关。 COM组件对应于注册表中CLSID下的注册表项值。 0x03 后门思路 注： 这个想法来自于3359 www . gdata software . com/blog/2014/10/23941-com-object-hicking-the-confidential-way-of-persistence。 类似于利用CLR劫持的方法。它还通过修改CLSID下的注册表项劫持CAccPropServicesClass和MMDeviceEnumerator。系…

0x00 前言 SILENTTRINITY是一款C2工具，由byt3bl33d3r开源。用C#实现，使用IronPython引擎执行Python代码，值得研究。这个工具通过Python实现有效载荷，不仅提高了效率，而且使用IronPython引擎从内存加载有效载荷，更加隐蔽。 本文将从技术研究的角度对沉默三位一体原则进行分析和扩展，最后给出防御侦查的一些建议。 地址： https://github.com/byt3bl33d3r/SILENTTRINITY 0x01 简介 本文将介绍以下内容： SILENTTRINITY的简单用法 SILENTTRINITY的实现细节 # C用IronPython调用Python的方法 辩护建议 0x02 SILENTTRINITY的简单使用 方法类似于meterpreter。 1、安装 git克隆https://github.com/byt3bl33d3r/SILENTTRINITY.git cd SILENTTRINITY python3 -m pip安装要求. txt python3 st.py 2、开启teamserver python3 teamserver.py 3、连接teamserver python 3 ST . py WSS://用户名：@:5000 4、开启监听 听众 使用http 选择 开始 5、生成payload 舞台演员 目录 使用…

0x00 前言 津布拉反序列化漏洞(CVE-2019-6980)适用于8.7.x至8.8.11的津布拉邮件服务器，是一个远程代码执行漏洞。 考虑到距补丁公开日期已经超过两年，并且没有一个完整的可用POC，所以本文将要在技术研究的角度记录测试过程，开源利用脚本，分享细节。 0x01 简介 本文将要介绍以下内容： 本地漏洞复现 实际利用分析 开源利用脚本 防御建议 0x02 本地漏洞复现 参考资料： https://博客。色调0。com/2019/03/a-saga-of-code-executions-on-zimbra。超文本标记语言 https://blog.csdn.net/fnmsd/article/details/89235589?UTM _ medium=分销。PC _相关。无-任务-博客-blogcommendfromachinelenpai 2-1。控制分配请求标识=1328603.11954。1614928993579653深度_ 1-UTM _源=分布。PC _相关。无-任务-博客-blogcommendfromachinelenpai 2-1。控制 (1)搭建环境 挑选符合漏洞版本的津布拉邮件服务器，下载地址： https://www。津布拉。com/downloads/zimbra-协作-开源/归档/ 具体搭建过程可参考其他资料 (2)创建用户 创建一个测试用户测试1,命令如下： /opt/zimbra/b…

0x00 前言 以前的文章《从内存加载.NET程序集(execute-assembly)的利用分析》和《从内存加载.NET程序集(Assembly.Load)的利用分析》已经介绍了加载的方法。使用C Sharp从内存中调用. NET程序集。这一次，我们将更进一步，介绍使用C Sharp从内存加载PE文件的方法。 0x01 简介 本文将介绍以下内容： 实现原则 凯西史密斯的开源PELoader.cs 扩展PELoader.cs的方法 SharpPELoaderGenerater的实现细节 使用方法 0x02 内存加载PE文件的实现原理 实现原理如下： 读取PE文件并根据PE格式解析它。 内存应用程序，ImageBase作为内存基址，SizeOfImage作为长度 将PE文件头复制到内存中 解析该段的地址，并将该段复制到内存中。 基于重定位表修改内存 解析该表并加载所需的Dll。 跳转到AddressOfEntryPoint并执行PE文件。 0x03 Casey Smith开源的PELoader.cs 目前可供参考的地址： https://github . com/re4 lity/subTee-gits-backups/blob/master/peloader . cs 此代码可以使用中的csc.exe进行编译。NET 4.0以上。 按如下方式编译该命令： C:\Windows\Microsoft。NET …

0x00 前言 在域渗透中，如果已经掌握了部分域用户的密码，通常会选择寻找密码规则，生成字典文件，尝试暴力破解其他域用户的密码。 从防御的角度来说，既要保证域用户不使用正规的弱密码，又要能够发现暴力破解域用户密码的行为。 本文将介绍域内外暴力破解域用户密码的常用方法，并结合利用思路介绍检测方法。 0x01 简介 本文将介绍以下内容： 一种通过域暴力破解域用户密码的方法 域外暴力破解域用户密码的方法 检测方法 0x02 暴力破解域用户口令需要注意的问题 多次密码输入错误会导致用户账号被锁定，默认错误号为5。 用户账号锁定后，默认需要30分钟才能恢复使用。 将记录最后一次密码输入错误的时间，这不能通过修改LDAP数据来清除。提示如下： 错误0x209A不允许访问该属性，因为该属性由安全帐户管理器(SAM)拥有。 用户账号被锁定后，即使输入了正确的密码，也会提示密码错误。 0x03 域内暴力破解域用户口令的方法 1.获得域内用户的口令策略，避免帐户被锁定 获取密码策略的详细方法请参考之前的文章《渗透基础——域内用户口令策略的获取》。 2.获得所有域用户的列表 详细获取方法请参考之前的文章《渗透基础——活动目录信息的获取》。 这里需要判断用户的属性，去除禁用和锁定的用户。 (1)识别被禁用的用户 标识用户是否被禁用的位置位于userAccountControl属性中，具体位置为0x0002。 如下图 参考资料： …

0x00 前言 在渗透测试中，经常联系Windows server的远程桌面服务，通过接口管理服务器。但是，对于常见的Windows系统，在某些情况下也需要界面操作。 虽然我们可以通过编写程序(抓取桌面信息、压缩传输、发送鼠标键盘消息等)来实现界面操作。)，如果能使用远程桌面服务岂不是更方便高效？ 那么，对应非服务器版本的Windows系统，使用远程桌面服务需要注意哪些问题呢？本文将对它们逐一进行分析和介绍。 0x01 简介 本文将介绍以下内容： 一种打开远程桌面的方法 使用mimikatz支持远程桌面多用户的原理 改进的想法 测试工具rdpwrap 0x02 开启远程桌面的方法 1、查询系统是否允许3389远程连接 REG QUERY ' HKEY _ LOCAL _ MACHINE \ SYSTEM \ current Control set \ Control \ Terminal Server '/v fdenyts connections 1表示关闭，0表示打开。 要查看远程连接的端口： REG QUERY ' HKEY _ LOCAL _ MACHINE \ SYSTEM \ current Control set \ Control \ Terminal Server \ win stations \ RDP-Tcp '/v端口号 端口格式为十六进制，如下图所示 0xd3d转换成十进制的33389。 2、本机开启3389远…

0x00 前言 Outlook MAPI提供了一组访问观点的接口，用来扩展观点应用程序的开发，本文将会介绍Outlook MAPI的基本用法，开源一份Outlook MAPI的实现代码mapi_tool，便于后续的二次开发。 0x01 简介 本文将要介绍以下内容： 基本知识 使用Outlook MAPI访问观点资源 开源代码mapi _工具 mapi _工具功能介绍 多种环境下的利用思路 0x02 基本知识 参考资料： https://份文件。微软。com/en-us/office/客户端开发人员/outlook/mapi/outlook-mapi-参考 Outlook MAPI的使用前提：需要安装观点客户端 Outlook MAPI同EWS的区别： Outlook MAPI用来访问观点客户端中的资源 EWS用来访问交换服务器中的资源 关于EWS的使用可以参考之前的文章《Exchange Web Service(EWS)开发指南》 观点客户端中的用户邮件存储在后缀名为原声音乐的文件中，和交换服务器中的数据库保持一致 原声音乐文件的默认保存位置：% local appdata % \ Microsoft \ Outlook \ 邮件应用程式接口(邮件应用程序编程接口)主要包括以下三个功能： 通讯簿，设置电子邮件类型、协议等参数 运输，文件的发送和接收 消息存储，发送接收等信息的处理 0x03 使用Outl…

0x00 前言 AdminSDHolder是一个特殊的AD容器，具有一些默认的安全权限，用作受保护的AD帐户和组的模板。 Active Directory将采用AdminSDHolder对象的ACL，并定期将其应用于所有受保护的AD帐户和组，以防止意外和无意的修改，并确保对这些对象的访问是安全的。 如果您可以修改AdminSDHolder对象的ACL，修改后的权限将自动应用于所有受保护的AD帐户和组，这可以用作在域环境中维护权限的方法。 本文将参考公开资料，结合自己的理解，介绍ACL的使用、填写和清除方法，并分析检测方法。 0x01 简介 本文将介绍以下内容： 利用理念 如何枚举受保护的AD帐户和组中的信息 如何查询AdminSDHolder对象的ACL 如何向AdminSDHolder对象添加ACL 删除AdminSDHolder中指定用户的ACL 完全利用法 测试建议 0x02 利用思路 1.枚举受保护的AD账户和组中的信息 通常，在域中具有高权限的用户包括my Server2008R2下的以下组： 管理员 打印操作员 备份操作员 复制器 域控制器 架构管理员 企业管理员 域管理员 服务器操作员 帐户操作员 只读域控制器 组织管理 Exchange可信子系统 2.向AdminSDHolder对象添加ACL 例如，如果将用户testa的完全管理权限添加到AdminSD…

0x00 前言 在渗透测试中，远程桌面连接的历史是不可忽略的，根据历史往往可以定位到关键服务器。 前几天有一篇关于如何清除记录的文章，所以这篇文章将介绍如何导出历史记录。 记录的文章地址如下： http://woshub.com/how-to-clear-rdp-connections-history/#h2_3 最初的假设是可以通过枚举注册表来实现。但是深入研究发现，如果想要获取所有用户的历史记录，就需要获取用户的NTUSER。DAT文件，通过注册表加载hive，导入用户配置信息，然后枚举。 0x01 简介 本文将介绍以下内容： 关于获取史料的思考 导出已登录用户的历史记录。 导出所有用户的历史记录 两种方法的实现思路和脚本编写细节。 0x02 获得远程桌面连接历史记录的思路 1、获得当前用户的历史记录： 枚举注册表项hkcu:\ software \ Microsoft \ terminal server client \ servers 每个注册表项存储连接的服务器地址，键值UsernameHint对应于登录用户名。 如下图 2、获得已登录用户的历史记录： 登录用户的注册表信息会同步保存在HKEY _用户\SID下，SID要对应每个用户的SID。 目前，系统以两个子项目登录两个用户，如下图所示。 注： HKEY _用户只包含默认用户设置和已登录用户的信息，用户未登录时用户设置不可用。 也就是说，如果当前有…

0x00 前言 Shay Ber公开的一种利用方法，在域环境下，使用DNSAdmin权限可以实现在DNS服务器上远程加载Dll。这不是漏洞，但可以作为域渗透技能。本文将根据自己的经验对这个利用技巧进行梳理，补充自己的理解，并根据利用思路给出防御建议。 参考资料： https://medium . com/@ esnesenon/feature-not-bug-dnsadmin-to-DC-compromise-in-one-line-a0f 779 b 8dc 83 0x01 简介 本文将介绍以下内容： 详细利用方法 防御思维 0x02 详细利用方法 利用条件： 获取域中DnsAdmins、Domain Admins或Enterprise Admins组中用户的密码或哈希。 注： 默认情况下，不仅可以配置DnsAdmins组中的用户，还可以配置域管理员或企业管理员组中的用户。 1、查看关键组内的用户 查看所有组： 网络组/域 要查看DnsAdmins组中的用户： 不能用net group命令查看，但可以用PowerView查看。 导入模块。\PowerView.ps1 get-net group member-group name ' DNS admins ' 要查看域管理员组中的用户： 网络组“域管理员”/域 要查看企业管理员组中的用户： 网络组“企业管理员”/域 2、获得关键用户的口令或者hash 您…

0x00 前言 最近一直在思考这个问题： Windows server已打开IIS服务，防火墙只允许端口80或443通信。那么如何在不使用webshell的情况下远程管理这个服务器呢？再者，如果只有低权限，有什么办法？ 0x01 简介 本文将介绍以下内容： HTTP.sys和端口共享 WinRM服务 HTTP服务器API 80和443端口的利用方法 高权限和低权限的使用方法 检测方法 0x02 基本概念 1.HTTP.sys和端口共享 微软在Windows 2003 Server中增加了一个内核驱动(Http.sys)，用来监听Http流量，并根据URL进行处理，允许任何用户进程共享专用于http流量的TCP端口。 也就是说，通过HTTP.sys，多个进程将能够侦听同一端口上的HTTP流量。 可以使用Netsh命令来查询和配置HTTP.sys设置和参数。请参阅以下资源： https://docs . Microsoft . com/en-us/windows/win32/http/netsh-commands-for-http 使用以下命令列出所有URL的DACL: netsh http show urlacl 默认情况下，系统包括10个DACL，其中两个对应于WinRM服务。详情如下： 保留网址：http://:5985/wsman/ 用户：NT服务\WinRM 听着：是的 代表：没有 用户：NT服务\…

0x00 前言 在之前的文章《vSphere开发指南1——vSphere Automation API》 和《vSphere开发指南2——vSphere Web Services API》 分别介绍了通过虚拟空间自动化应用程序接口和vSphere Web服务应用程序接口实现vCenter Server同虚拟机交互的方法，本文将要介绍通过PowerCLI实现vCenter Server同虚拟机交互的方法 0x01 简介 本文将要介绍以下内容： PowerCLI的安装配置 PowerCLI命令 升c调调用PowerCLI的方法 0x02 PowerCLI的安装配置 PowerCLI是用于管理VMware基础架构的PowerShell模块的集合，之前被称作五工具包(Windows版) 官方文档： https://developer.vmware.com/powercli 1.PowerCLI的安装 (1)在线安装 PowerShell版本最低需要满足PowerShell 5.0 安装命令： 安装模块名称VMware .PowerCLI (2)离线安装 下载PowerCLI的活力文件，地址如下： https://code.vmware.com/doc/preview?id=13693 获得PowerShell模块的路径，Powershell命令如下： $env:PSModulePath 默认可用的一个位置：C:\ Program …

0x00 前言 在上篇文章《Authenticode签名伪造——PE文件的签名伪造与签名验证劫持》 介绍了针对单一文件的验证码签名伪造，需要在文件尾部添加伪造的签名数据，这次将介绍另一种签名伪造方式：通过修改系统的签名获取机制，欺骗系统将正常文件识别为包含签名数据。 注： 本文介绍的技巧参考自matt Graeber @ matti festigation公开的资料，本文将结合自己的经验，整理相关内容，添加个人理解。 参考资料： 幽灵特工队https://号。io/assets/resources/specter ops _ revising _ Trust _ in _ windows。可移植文档格式文件的扩展名（portable document format的缩写） http://www。剥削-星期一。com/2017/08/真实ode-signals的应用。超文本标记语言 https://号车道。谷歌。com/file/d/0 b-k 55 rloulafnms S1 aw 1 rbx f1 TMC/view 0x01 简介 本文将要介绍以下内容： 针对powershell脚本的签名伪造方法 针对体育课文件的签名伪造方法 针对其他类型文件的签名伪造方法 添加代码实现对特定文件的签名伪造 0x02 针对powershell脚本的签名伪造方法 前提是powershell脚本需要包含一个签名（自己生成的签名会被识别为无效),下面介绍如何将该无效签名伪…

0x00 前言 最近在凯西smith@分包商的推特上学到了关于certutil的一些利用技巧。本文将结合自己的一些经验，介绍certutil在渗透测试中的应用，对煤矿管理局下下载器的实现方法作补充，总结base64编码转换的常用方法。 学习地址： https://twitter.com/subTee/status/888101536475344896 https://twitter.com/subTee/status/888071631528235010 0x01 简介 本文将要介绍以下内容： certutil.exe在渗透测试中的应用 下载器常用方法 base64编码转换常用方法 0x02 certutil简介 用于证书管理 支持xp-win10 更多操作说明见https://TechNet。微软。com/zh-cn/library/cc 755341(v=ws。10)。aspx 注： 在之前的文章《域渗透——EFS文件解密》 有用过certutil.exe导入证书 0x03 渗透测试中的应用 1、downloader (1) 保存在当前路径，文件名称同统一资源定位器 例如： certutil.exe-URL缓存-split-f https://raw。githubusercontent。com/3g学生/测试/硕士/版本。文本文件（textfile） (2) 保存在当前路径，指定保存文件名称 例如： cer…

0x00 前言 最近学了一个odzhan文章里介绍的技巧。使用C:\ windows \ system32 \ comsvcs.dll的导出函数MiniDump，我可以转储指定进程的内存文件。 文章地址： https://mode XP . WordPress . com/2019/08/30/minidumpwritedump-via-com-services-dll/ 本文将结合自己的经验，补充测试过程中的注意点，拓展方法，分析利用思路。写powershell脚本自动扫描系统目录下所有dll的导出函数，检查是否还有其他可用的dll，并介绍脚本实现的细节。 0x01 简介 本文将介绍以下内容： 转储指定了处理内存文件的常用方法。 用comsvcs.dll实现转储指定进程内存文件的方法 写脚本实现自动扫描dll的导出功能 利用率分析 0x02 dump指定进程内存文件的常用方法 在渗透测试中，最常用的方法是通过转储过程的lsass.exe获得明文密码和哈希。 原则上使用API MiniDumpWriteDump。参考： https://docs . Microsoft . com/en-us/windows/win32/API/minidumpapiset/nf-minidumpapiset-minidumpwritedump 的常见实现方法如下： 1.procdump 参数如下： procdump.exe-accept EULA-ma l…

0x00 前言 最近看到rvrsh3ll@424f424f的一篇文章《Bypassing Windows Attachment Manager》，介绍了他绕过Windows附件管理器的想法。非常有趣。 我恰好对本文涉及的ADS和lnk文件的利用做了一些研究。所以基于我的经验，本文将介绍旁路方法，分享我在实际测试过程中发现的一个有趣的问题。 相关文章地址如下： 《Bypassing Windows Attachment Manager》 : http://www . rvr sh3 ll . net/blog/informational/bypassing-windows-attachment-manager/ 我以前的一些研究经历： 《渗透技巧——快捷方式文件的参数隐藏技巧》 《Hidden Alternative Data Streams的进阶利用技巧》 0x01 简介 本文将介绍以下内容： Windows附件管理员角色 Windows附件管理器的实现 绕过Windows附件管理器的方法 专项档案建设 实际测试过程中发现的有趣问题 0x02 Windows Attachment Manager 简介 自WinXp SP2版以来微软推出的新功能 用于防止文件从不受信任的渠道下载，可以直接执行。 不可信的渠道包括电子邮件和互联网下载。 如果发现文件来自不可信途径，文件打开时会弹出一个框提示用户，需要用户确认后才能执行，如图。…

0x00 前言 最近，我在詹姆斯forshaw's的博客中学习了一个在Win10下绕过UAC的技巧。这种方法是通过脚本实现的，微软尚未修复这种绕过方法(预计在Win10 RS3中修复)。经过我的学习和测试，这个方法也适用于Win8，文中介绍的旁路思路也值得借鉴，我就写成文字和大家分享。 文章地址如下： https://tyranidslair . blogspot . co . uk/2017/05/exploining-environment-variables-in . html 0x01 简介 本文将介绍以下内容： 绕过思路 使用方法 防御探测 0x02 绕过思路 在以前的文章中，我也分享了一些绕过UAC的经验。请参考以下文章： https://3g student . github . io/Study-Notes-of-use-SD CLT . exe-to-bypass-UAC https://3g student . github . io/Study-Notes-Weekly-no . 1(Monitor-WMI _ ExportsToC _ Use-disk clean up-bypass-UAC) 人们认为，个人寻找绕过UAC的方法可以分为以下两步： 1.寻找访问控制不严的程序。 它通常具有以下特征： 以普通用户权限启动程序。 默认情况下，程序以高特权启动，通常标记为最高。 2.这个程序的启动过程可以被劫持吗？ …

0x00 前言 最近APT34的6个工具被泄露。本文仅从技术角度分析PoisonFrog和惊鸿一瞥。 参考资料： https://malware-research.org/apt34-hacking-tools-leak/amp/ 0x01 简介 本文将介绍以下内容： 毒死蜱的分析 《惊鸿一瞥》分析 总结 0x02 对PoisonFrog的分析 对应泄露文件的名字是posion frog。 它由两部分组成： Agent包含文件poisonfrog.ps1，是通过powershell实现的特洛伊木马程序。 服务器端，对应木马控制终端，使用Node.js开发 1、agent实现的功能 1. 在%public%\Public文件夹下释放三个文件 dUpdater.ps1 hUpdater.ps1 更新任务. vbs 发布文件的具体功能如下： (1)dUpdater.ps1 生成当前系统的专有标志。 读取当前系统的代理设置。 通过HTTP协议从c2服务器下载文件 根据下载文件的内容进行下一步，包括执行命令、上传文件和下载文件。 (2)hUpdater.ps1 生成当前计算机的专有标志。 创建以下文件夹 %公共% \公共 % public % \ Public \ reveivebox %public%\Public\sendbox % public % \ Public …