-
渗透测试中的Node.js——Downloader的实现
0x00 前言 Node.js是一个基于Chrome V8引擎的JavaScript运行环境,使用了一个事件驱动、非阻塞式I/O的模型,使其轻量又高效。 我最近在一篇文章中学到了利用Node.js绕过主动防御的技巧,于是对Node.js的语法进行了学习,开源一个Downloader的实现代码,分享脚本开发中需要注意的细节。 Node.js绕过主动防御的学习地址: https://bbs.pediy.com/thread-249573.htm 0x01 简介 本文将要介绍以下内容: 基本概念 利用Node.js实现的文件释放 利用Node.js实现的downloader 利用思路 防御建议 0x02 基本概念 Node.js同JavaScript的区别 JavaScript是一门语言 Node.js是一个基于Chrome V8引擎的JavaScript运行环境 虽然在Windows平台下,二者的脚本文件后缀名都是.js,但二者之间的区别很大,语法也不同 Node.js的使用 官方文档: https://nodejs.org/api/ 中文资料: http://www.runoob.com/nodejs/nodejs-tutorial.html 下载地址: https://nodejs.org/en/download/ 在Windows平台下,Node.js代码保存在.js后缀名的文件中,通过node.exe加载执行 Node.js支持第三方包,可通过npm命令安装模块,实例如下: 安装web框架模块express: npm install express 使用模块express: var express = require('express'); 注: 本文涉及的代码均不使用第三方包,只使用安装包中的node.exe 0x03 利用Node.js实现的文件释放 实现思路: 将exe文件做base64编码存储在文件中,释放时先读取文件进行解码,最后写入文件 1. 读取文件内容,做base64编码并输出到data.txt function base64_encode(file)...
-
域渗透——DNS记录的获取
0x00 前言 在域渗透中,对域环境的信息搜集很关键,如果我们获得了域内管理员的权限,那么如何能够快速了解域内的网络架构呢?DNS记录无疑是一个很好的参考。 本文将要介绍在域渗透中,获得DNS管理员权限后,获取DNS记录的方法 0x01 简介 本文将要介绍以下内容: 通过DNS Manager获取DNS记录 通过dnscmd获取DNS记录 域内远程读取DNS记录的方法 0x02 通过DNS Manager获取DNS记录 测试系统: Windows Server 2008 R2 x64 选择Administrative Tools -> DNS 在Forward Lookup Zones下找到当前域名,能够显示当前域内的DNS记录,包括主机名和对应的IP 如下图 0x03 通过dnscmd获取DNS记录 dnscmd: 用来管理DNS服务器的命令行接口,支持远程连接 默认安装的系统: Windows Server 2003 Windows Server 2008 Windows Server 2003 R2 Windows Server 2008 R2 Windows Server 2012...
-
模拟可信目录的利用技巧扩展
0x00 前言 在上篇文章《通过模拟可信目录绕过UAC的利用分析》对通过模拟可信目录绕过UAC的方法进行了分析,本文将结合自己的经验,继续介绍模拟可信目录的另外三种利用技巧,最后给出防御建议 0x01 简介 本文将要介绍以下内容: 利用模拟可信目录绕过Autoruns 利用模拟可信目录欺骗ShimCache 利用模拟可信目录伪造正常的UAC弹框 0x02 利用模拟可信目录绕过Autoruns 绕过原理: Autoruns默认不显示带有微软签名的文件,如果文件包含微软签名,默认不会显示在Autoruns面板 在Windows系统的启动位置写入模拟可信目录下的文件,由于被识别为正常带有微软签名的文件,默认将不会显示在Autoruns面板 经过测试,并不适用于所有的启动位置,具体测试如下: 创建模拟的可信目录,添加测试文件: md "\\?\c:\windows " md "\\?\c:\windows \system32" copy c:\test\putty.exe "\\?\c:\windows \system32\notepad.exe" copy c:\test\calc.dll "\\?\c:\windows \system32\atl.dll" 1、注册启动项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 系统启动时启动文件"C:\Windows \System32\notepad.exe",添加注册表的命令如下: reg add hklm\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v RunTest /t REG_SZ /d "\"c:\windows \system32\notepad.exe\"" 注: "在cmd下转义后用\"表示 Autoruns检测注册表项,将其识别为notepad.exe,如下图 但在系统开机时启动的是正常notepad.exe,而不是putty.exe,失败 2、注册启动项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的Userinit 查询原注册表项:...
-
通过模拟可信目录绕过UAC的利用分析
0x00 前言 从@CE2Wells的博客学到的一个技巧,通过模拟可信目录能够绕过UAC,本文将对结合自己的经验对这个方法进行介绍,添加自己的理解,分享测试中的细节 文章地址: https://medium.com/tenable-techblog/uac-bypass-by-mocking-trusted-directories-24a96675f6e 0x01 简介 原理介绍 实现细节 实际测试 利用分析 0x02 原理介绍 1、Long UNC 在之前的文章《Catalog签名伪造——Long UNC文件名欺骗》曾介绍过exe文件使用Long UNC后能够欺骗系统,将其识别为另一个文件 例如: type putty.exe > "\\?\C:\Windows\System32\calc.exe " 如下图 这个方法同样适用于文件夹 例如: md "\\?\c:\windows " 新创建的文件夹能够欺骗系统,将其识别为另一个文件夹 如下图 2、默认能够绕过UAC的文件 需要满足以下三个条件: 程序配置为自动提升权限,以管理员权限执行 程序包含签名 从受信任的目录("c:\windows\system32")执行 3、普通用户权限能够在磁盘根目录创建文件夹 例如,普通用户权限能够在c盘下创建文件夹 4、dll劫持 exe程序如果在启动过程中需要加载dll,默认先搜索exe程序的同级目录 综上,满足了绕过UAC的所有条件 实现的思路如下: 找到一个默认能够绕过UAC的文件,例如c:\windows\system32\winsat.exe 使用Long UNC创建一个特殊的文件夹"c:\windows \",并将winsat.exe复制到该目录 执行winsat.exe,记录启动过程,发现启动时需要加载同级目录下的WINMM.dll 编写payload.dll,指定导出函数同c:\windows\system32\winmm.dll相同,并命名为"c:\windows \system32\WINMM.dll"...
-
渗透技巧——Windows command line process auditing的绕过
0x00 前言 command line process auditing是Windows的一项功能,开启该功能后,ID为4688的日志将会记录进程创建时的命令行参数 本文将要介绍通过修改进程参数绕过日志记录的方法,测试开源工具SwampThing,分享实现SwampThing的C语言代码,分析利用思路,给出防御建议 SwampThing的地址: https://github.com/FuzzySecurity/Sharp-Suite/blob/master/SwampThing 0x01 简介 本文将要介绍以下内容: 实现原理 开启command line process auditing的方法 测试SwampThing 通过c++实现SwampThing 利用思路 防御建议 0x02 实现原理 方法上同创建傀儡进程类似,区别在于这个方法只修改新进程的CommandLine参数 关于傀儡进程的技术细节,可参考之前的文章: 《傀儡进程的实现与检测》 实现思路: 通过CreateProcess创建进程,传入参数lpCommandLine,传入参数CREATE_SUSPENDED使进程挂起 修改新进程的Commandline参数 通过ResumeThread唤醒进程,执行新的Commandline参数 如果新进程没有退出,再将Commandline参数还原 在具体实现上,还需要考虑以下问题: 1、进程的选择 启动的进程需要能够加载Commandline参数,例如cmd.exe,powershell.exe,wmic.exe等 2、修改远程进程的Commandline参数 通过NtQueryInformationProcess找到远程进程的基地址,计算偏移获得Commandline参数的位置,再分别通过ReadProcessMemory和WriteProcessMemory对Commandline参数进行读写 补充: 修改当前进程的Commandline参数可参考: https://github.com/3gstudent/Homework-of-C-Language/blob/master/MasqueradePEBtoCopyfile.cpp 0x03 开启command line process auditing 官方文档: https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/manage/component-updates/command-line-process-auditing 该功能默认关闭,需要手动配置来开启 1、执行gpedit.msc进入组策略 2、开启进程审核功能 英文系统:...
-
域渗透——Kerberoasting
0x00 前言 Kerberoasting是域渗透中经常使用的一项技术,本文将参考公开的资料,结合自己的理解,详细介绍Kerberoasting的原理和实现,以及一个后门利用的方法,最后给出防御建议。 参考资料: http://www.harmj0y.net/blog/powershell/kerberoasting-without-mimikatz/ http://www.harmj0y.net/blog/redteaming/from-kekeo-to-rubeus/ https://malicious.link/post/2016/kerberoast-pt1/ https://malicious.link/post/2016/kerberoast-pt2/ https://malicious.link/post/2016/kerberoast-pt3/ https://adsecurity.org/?p=3458 https://adsecurity.org/?page_id=183 https://blog.netspi.com/faster-domain-escalation-using-ldap/ https://social.technet.microsoft.com/wiki/contents/articles/717.service-principal-names-spns-setspn-syntax-setspn-exe.aspx 0x01 简介 本文将要介绍以下内容: Kerberoasting相关概念 Kerberoasting的原理 Kerberoasting的实现 Kerberoasting的后门利用 Kerberoasting的防御 0x02 基本概念 SPN 官方文档: https://docs.microsoft.com/en-us/windows/desktop/AD/service-principal-names 全称Service Principal Names SPN是服务器上所运行服务的唯一标识,每个使用Kerberos的服务都需要一个SPN SPN分为两种,一种注册在AD上机器帐户(Computers)下,另一种注册在域用户帐户(Users)下 当一个服务的权限为Local System或Network Service,则SPN注册在机器帐户(Computers)下 当一个服务的权限为一个域用户,则SPN注册在域用户帐户(Users)下 SPN的格式 serviceclass/host:port/servicename 说明: serviceclass可以理解为服务的名称,常见的有www, ldap, SMTP, DNS, HOST等 host有两种形式,FQDN和NetBIOS名,例如server01.test.com和server01 如果服务运行在默认端口上,则端口号(port)可以省略 查询SPN 对域控制器发起LDAP查询,这是正常kerberos票据行为的一部分,因此查询SPN的操作很难被检测 (1) 使用SetSPN Win7和Windows...
-
渗透技巧——Windows下NTFS文件的USN Journal
0x00 前言 在上篇文章《渗透技巧——Windows下NTFS文件的时间属性》介绍了修改NTFS文件时间属性的方法和细节,以及取证上的建议。 本文将要继续研究NTFS文件另一处记录文件修改时间的位置——USN Journal,同样是分析利用思路,给出取证上的建议。 0x01 简介 本文将要介绍以下内容: 基本概念 读取USN Journal的方法 利用思路 取证建议 0x02 USN Journal的基本概念 官方文档: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-2000-server/bb742450(v=technet.10) USN Journal (Update Sequence Number Journal),也称作Change Journal,用来记录NTFS volume中文件修改的信息,能够提高搜索文件的效率 每个NTFS volume对应一个USN Journal,存储在NTFS metafile的$Extend\$UsnJrnl中,也就是说,不同的NTFS volume对应的USN Journal不同 USN Journal会记录文件和目录的创建、删除、修改、重命名和加解密操作,每条记录的格式如下: typedef struct { DWORD RecordLength; WORD MajorVersion; WORD MinorVersion; DWORDLONG FileReferenceNumber; DWORDLONG ParentFileReferenceNumber; USN Usn; LARGE_INTEGER...
-
渗透技巧——Windows下NTFS文件的时间属性
0x00 前言 在渗透测试中,如果需要在目标系统上释放文件,将会改变父目录的时间属性(AccessTime,LastWriteTime,MFTChangeTime),如果需要覆盖目标系统上原有的文件,也会改变原有文件的时间属性(CreateTime,AccessTime,LastWriteTime,MFTChangeTime) 站在渗透的角度,需要找到修改文件时间属性的方法,用来消除痕迹 站在取证的角度,通过文件属性的异常能够找到攻击者的入侵痕迹 本文将会介绍修改文件属性的方法和细节,分享实现代码,结合利用思路给出在取证上的建议 0x01 简介 本文将要介绍以下内容: 基本概念 读取文件属性的方法 修改文件属性的方法 分享代码 利用思路 取证建议 0x02 基本概念 1、NTFS文件系统中的时间属性 包括以下四个: CreateTime(Created) AccessTime(Accessed) LastWriteTime(Modified) MFTChangeTime 前三个可通过右键->Properties获得,如下图 无法直接查看MFTChangeTime MFTChangeTime记录MFT(Master File Table)的修改时间,如果文件属性变化,就会更新MFTChangeTime 2、读取MFTChangeTime的方法 (1)通过NtQueryInformationFile读取 注: 通过WinAPI GetFileTime无法获得 (2)解析NTFS文件格式 Master File Table中的$STANDARD_INFORMATION(偏移0x10)和$FILE_NAME(偏移0x30)包含完整的文件属性 3、Win7系统默认CreateTime和AccessTime保持一致 Win7系统(以及更高版本)默认设置下,禁用了AccessTime的更新 也就是说,只读取文件的操作不会改变文件属性AccessTime,AccessTime同CreateTime保持一致,这是为了减少硬盘的读写 对应注册表位置HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem,键值NtfsDisableLastAccessUpdate 数值1代表禁用,为默认配置,数值0代表开启,修改注册表后重启系统才能生效 4、文件属性的变化规律 读取文件: 不会改变文件属性 覆盖文件: 改变4个属性 5、文件夹属性的变化规律 新建文件/删除文件/重命名文件: 改变父文件夹的AccessTime,LastWriteTime和MFTChangeTime...
-
渗透技巧——Windows下的Remote Registry
0x00 前言 Windows下的Remote Registry允许远程用户修改当前计算机的注册表设置 在渗透测试中,获得了管理员权限后,可以利用Remote Registry服务作为后门 我受到harmj0y博客的启发,打算对Remote Registry的后门利用方法做扩展,并且加入一些我在研究GPO的经验,整理成文。 参考资料: http://www.harmj0y.net/blog/activedirectory/remote-hash-extraction-on-demand-via-host-security-descriptor-modification/ 0x01 简介 本文将要介绍以下内容: Remote Registry的开启方法 工作组和域环境下的利用方法 防御检测 0x01 Remote Registry的正常使用 测试环境: Win7x64 192.168.112.128 1、开启Remote Registry服务 net start remoteregistry 2、添加ACL(Access Control List) 注册表位置:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg (1)通过界面添加权限,指定用户 如下图 (2)通过poweshell实现 添加用户test1的完全访问权限 $acl = Get-Acl HKLM:\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg $person = [System.Security.Principal.NTAccount]"test1" $access = [System.Security.AccessControl.RegistryRights]"FullControl" $inheritance = [System.Security.AccessControl.InheritanceFlags]"ObjectInherit,ContainerInherit" $propagation...
-
渗透技巧——Windows下的Access Control List
0x00 前言 Windows系统中的ACL(Access Control List),用来表示用户(组)权限的列表。 在渗透测试中,理解并运用ACL,尤其在后门利用(提权)方面,可供发挥的空间很大。 而站在防御的角度,如果系统被攻破,找到并清除攻击者留下的ACL后门,同样需要对ACL有一定的了解。 0x01 简介 本文将要介绍以下内容: ACL相关概念 查看ACL ACL利用(文件、注册表和域环境) ACL检测 0x02 ACL相关概念 官方文档: https://docs.microsoft.com/en-us/windows/desktop/SecAuthZ/access-control-lists ACL: Access Control List,用来表示用户(组)权限的列表,包括DACL和SACL ACE: Access Control Entry,ACL中的元素 DACL: Discretionary Access Control List,用来表示安全对象权限的列表 SACL: System Access Control List,用来记录对安全对象访问的日志 直观理解: Windows访问控制模型中会用到ACL,比如文件、注册表的权限都包括ACL,用来表示哪些用户(组)具有操作权限 例如对某个文件进行访问,系统将做以下判断: 如果没有DACL,系统将允许访问 如果存在DACL,但没有ACE,系统将拒绝所有访问 如果存在DACL,也存在ACE,那么会按照每个ACE指定允许或拒绝 实例演示 对于文件夹C:\Windows\SYSVOL\sysvol\test.com,查看文件夹属性 默认共有五条DACL,如下图 选中一条DACL,其中包含多个ACE,表示具有的权限,如下图 0x03 文件中的ACL 常用命令(icacls): 1、查看指定文件的ACL...