0x01 获取webshell
在各种信息搜会合,发现某个ip的端口挂着一个比较老的服务。
[img=720,538.0645161290323]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202405171528145.png[/img]
起首看到了员工工号和手机号的双重验证,也不知道账号是什么结构组成的,基本上放弃字典爆破这一条路。于是乎打开之前用灯塔的扫描结果,看看文件泄漏是否有什么可用的点。发现其中有一个略显突出的help.html。可能是体系的帮助文档
[img=720,343.44]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202405171528147.png[/img]
看得出来也是一个年久失修的体系了,图片的链接都已经404了。但是这里得到了一个示例账号zs001,也知道了初始密码是123456(吐槽:果然年久失修了,这个体系就没有输入密码的input,只有一个手机号验证码)。
[img=720,600.241935483871]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202405171528148.png[/img]
知道了账号,这里还缺一个手机号。感觉这个体系应该没做验证,究竟看上去是一个老旧的体系,估计有没有人用用都不好说,可能是单位那种废弃了但是还没下架的边沿资产。然后任意输入一个手机号上去。果然!
然后任意找个手机接码平台等待验证码发过来,然后过了十几分钟无果,想到可能是废弃资产的原因验证码接口早就失效了。于是没办法只能掏出burp开始爆破,估计验证码也是四位数,如果是六位数验证码大概率没系了。但是这波运气还算可以。也是成功爆破出来了。
[img=720,349.3982074263764]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202405171528150.png[/img]
然后登录后台直接上传一个木马,没有任何过滤。emmmmmmm开始怀念过去。那时候的洞是真好挖啊。
但是访问的时候出现了一个坏消息。404了,404了怎么办呢。想到了可能目的服务器上有杀软之类的东西。木马可能是上传到服务器上了,然后再上传到服务器之后被杀软自动隔离,那么这时候访问就会出现404。
【----帮助网安学习,以下全部学习资料免费领!加vx:dctintin,备注 “博客园” 获取!】
① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC毛病分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集(含答案)
⑧ APP客户端安全检测指南(安卓+IOS)
0x02 webshell免杀
这里中途又更换了几个github上的免杀木马,均无效。ps:我是懒狗,免杀什么的能不写代码就不写代码。php这玩意有个利益,就是语法特别脏,各种免杀伎俩层出不穷,花里胡哨。这里就简单的介绍几种比较偷懒的方法。
2.1 无字母webshell
个人在实际渗出过程中还算挺好用的,无字母webshell本来是ctf的一些题目,但是究竟上免杀效果确实也挺强,而且适应性也比较高,得当一句话木马。之后可以直接上蚁剑链接。
举例:
ps:当然都说了偷懒,肯定不是我写的,直接去ctf平台的题目的writeup偷一个就好了。或者直接百度搜索无字母webshell。
免杀效果如下:
ps: emmmmmmm,我只能说,无敌好吧。
[img=720,347.76]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202405171528155.png[/img]
2.2 一键免杀工具免杀
这里不多说了,去github直接找就是,但是github特征过于明显,以至于被多个杀软厂商标记。现在感觉免杀的效果也不太好了。基本上start高一些的工具生成的webshell都是秒杀。但是可以找一些start数量少的,效果也还不错。
[img=720,417.6]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202405171528156.png[/img]
2.3 混淆免杀
混淆免杀,php有很多在线混淆的网站,也就是在不改变代码的功能情况下打乱语法的结构使得代码变为不可读或者可读性很差的代码防止其他人去修改。
可以直接去网上搜索php混淆
[img=720,478.8]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202405171528157.png[/img]
这里就是用的就是在线混淆php代码的方式直接过了目的主机上的杀软。
0x03 绕过杀软上线
接下来就是传frp署理,上cs的操作了。这里先上一个cs,但是由于目的呆板上有杀软,以是接纳shellcode加加载器的方式去举行绕过。众所周知,cs的特征较为明显,很容易就会被杀软拦截。
起首是shellcode免杀,shellcode免杀可以使用github上的sgn加密工具,免杀效果能达到vt0检测。github链接:https://github.com/EgeBalci/sgn
使用方法也很简单,把cs生成的shellcode放在sgn文件夹中执行 ,***.sgn就是免杀之后的shellcode了。
sgn.exe shellcode文件名
[img=720,203.61990950226243]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202405171528160.png[/img]
免杀前效果
[img=720,367.92]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202405171528161.png[/img]
免杀后效果
[img=720,460.08]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202405171528162.png[/img]
剩下的就是加载器自己的免杀了,这里我就用github任意clone下来的加载器。可以看到编译完成都没来得及运行就直接被杀了。那么怎么在不动加载器的源代码的情况下。完成免杀效果呢。
其实有一个比较抽象的技巧,就是当文件足够大之后,杀软的沙箱就不会去运行该程序,从而实现绕过杀软的检测。好比一个几百m的exe杀软就不会去检测。
那么怎么能让文件变得足够大呢?就是不停往文件后面填充垃圾字符,好比\x00这样既不会影响exe执行,又能够让exe变得足够大。好比我用python不停往文件后面追加\x00字符。
这里上代码
with open('1.exe', 'ab') as f:\f.write(b'\x00' * 1024 * 1024 * 100)
可以看到每次运行add.py 1.exe就大了100m。
[img=720,153.10796074154854]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202405171528165.png[/img]
然后多次运行,当1.exe达到2g的时候,根据每个杀毒软件版本不肯定能用。有些新的杀软不会检测文件大小判定是否运行。(这个方法很玄学,不是很稳定,有时候能有有时候不能用。但是还是值得一试,究竟是老前辈传承下来的经典免杀伎俩。)
[img=720,209.52]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202405171528166.png[/img]
但是题目来了,2个g的文件怎么上传到服务器又是一个题目,这里就要说明一下\x00的利益了,可以通过压缩成zip的方式把exe压缩,压缩文件的体积其实还是和之前编译好的文件差不多大。然后只能很方便的就能够把压缩包上传到服务器,然后通过服务器的命令去举行解压。也可以通过webshell去实现解压文件的功能。
0x04 内网移动
之后便是认识的内网横向环节了。起首是看到了一个弱口令,然后直接链接数据库然后getshell。
然后直接net user add,之后3389链接上服务器,翻出了一个密码本。
找到一个双网卡的sql server服务器,然后上线,扫一波SMB
末了找到重要体系10.x.x.x 这个体系,看着是java写的后端,也是一个看起来很老的界面了。
扫了一下路径发现存在druid。
[img=720,435.97989949748745]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202405171528173.png[/img]
原本想找session登录的,然后想了一下试一下运气直接怼一波st2,成功拿下(也是运气爆棚)
更多网安技能的在线实训练习,请点击这里>>
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 | 
