• 利用BDF向DLL文件植入后门

  24 Oct 2017

  0x00 前言 在之前的文章《利用BDF向EXE文件植入后门》介绍了使用The Backdoor Factory向EXE文件植入后门的方法，这次将要介绍向DLL文件植入后门的思路，演示一种DLL劫持的利用方法，总结该方法的特点，分析防御思路 0x01 简介 本文将要介绍以下内容： 劫持自己的DLL，修复BUG 劫持系统的DLL，绕过Autoruns的后门检测 0x02 利用思路 DLL同EXE文件的植入思路相同，也是通过修改程序的执行流程，跳转到Code Caves，执行payload，再返回至程序的正常流程 DLL同EXE文件最大的区别是多了导出函数的功能 在实现DLL劫持时，常常需要获得原DLL的导出函数，模拟导出函数，添加payload，实现利用 那么，The Backdoor Factory在DLL文件的后门植入上，是否要考虑导出函数呢？ 下面进行测试，得出结论 0x03 编写程序进行测试 测试Dll testdll.dll： #include <windows.h> #include <stdio.h> BOOL APIENTRY DllMain( HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved ) { switch (ul_reason_for_call) { case DLL_PROCESS_ATTACH: //MessageBox(NULL, NULL, NULL, 0); //Sleep(5000); printf("[+]...

• 利用BDF向EXE文件植入后门

  20 Oct 2017

  0x00 前言 The Backdoor Factory可用来向可执行文件植入后门，修改程序执行流程，执行添加的payload。 本文将要介绍向EXE文件植入后门的原理，测试The Backdoor Factory植入后门的方法，分析细节，总结思路。 The Backdoor Factory下载地址： https://github.com/secretsquirrel/the-backdoor-factory 0x01 简介 本文将要介绍如下内容： EXE文件后门植入原理 实际测试The Backdoor Factory 分析The Backdoor Factory功能 0x02 基础知识 PE文件格式： 参考资料： https://en.wikibooks.org/wiki/X86_Disassembly/Windows_Executable_Files Code Caves： 参考资料： https://www.codeproject.com/Articles/20240/The-Beginners-Guide-to-Codecaves Code Caves的直观认识： 使用vc6.0生成exe文件，查看文件中可利用的Code Caves c代码： #include "stdafx.h" #include <windows.h> #include <stdio.h> int array[200]={1,2,3,4,5,6,7,8,9}; char array2[200]="123456789ABCDEF"; int main(int argc, char*...

• Catalog签名伪造——Long UNC文件名欺骗

  17 Oct 2017

  0x00 前言 在之前的两篇文章《Authenticode签名伪造——PE文件的签名伪造与签名验证劫持》和《Authenticode签名伪造——针对文件类型的签名伪造》介绍了Authenticode签名伪造的利用方法，这次将要介绍一个Catalog签名伪造的方法，利用Long UNC文件名欺骗系统，获得系统内置的Catalog签名 注： 本文介绍的技巧参考自Matt Graeber@mattifestation公开的资料，本文将结合自己的经验，整理相关内容，添加个人理解。 参考资料： http://www.exploit-monday.com/2013/02/WindowsFileConfusion.html?m=1 0x01 简介 本文将要介绍以下内容： Long UNC基础知识 Long UNC文件名欺骗的方法 Long UNC文件名欺骗优缺点分析 0x02 Long UNC介绍 UNC（Universal Naming Convention） 通用命名规则，可用来表示Windows系统中文件的位置 详细介绍可参考如下链接： https://en.wikipedia.org/wiki/Path_(computing) Long UNC 正常UNC支持的最大长度为260字符 为了支持更长的字符，引入了Long UNC，支持最大长度为32767 格式举例： \\?\C:\test\a.exe type putty.exe > "\\?\C:\test\longUNC.exe" 如下图，使用Long UNC的文件同普通文件没有区别 特别用法： 如果在Long UNC文件名后面加一个空格，系统对文件名的判断将发生错误 type putty.exe > "\\?\C:\test\mimikatz.exe " 如下图 将putty.exe重命名为"\\?\C:\test\mimikatz.exe...

• Authenticode签名伪造——针对文件类型的签名伪造

  11 Oct 2017

  0x00 前言 在上篇文章《Authenticode签名伪造——PE文件的签名伪造与签名验证劫持》介绍了针对单一文件的Authenticode签名伪造，需要在文件尾部添加伪造的签名数据，这次将介绍另一种签名伪造方式：通过修改系统的签名获取机制，欺骗系统将正常文件识别为包含签名数据。 注： 本文介绍的技巧参考自Matt Graeber@mattifestation公开的资料，本文将结合自己的经验，整理相关内容，添加个人理解。 参考资料： https://specterops.io/assets/resources/SpecterOps_Subverting_Trust_in_Windows.pdf http://www.exploit-monday.com/2017/08/application-of-authenticode-signatures.html https://drive.google.com/file/d/0B-K55rLoulAfNms1aW1rbXF1Tmc/view 0x01 简介 本文将要介绍以下内容： 针对powershell脚本的签名伪造方法 针对PE文件的签名伪造方法 针对其他类型文件的签名伪造方法 添加代码实现对特定文件的签名伪造 0x02 针对powershell脚本的签名伪造方法 前提是powershell脚本需要包含一个签名(自己生成的签名会被识别为无效)，下面介绍如何将该无效签名伪造成有效的微软签名 生成测试证书： makecert -n "CN=Microsoft Windows Test1" -r -eku 1.3.6.1.5.5.7.3.3 -sv certtest.pvk certtest.cer cert2spc certtest.cer certtest.spc pvk2pfx -pvk certtest.pvk -pi 123456 -spc certtest.spc -pfx certtest.pfx -f 不需要注册该证书 注： 使用makecert.exe要加参数： -eku 1.3.6.1.5.5.7.3.3...

• Authenticode签名伪造——PE文件的签名伪造与签名验证劫持

  10 Oct 2017

  0x00 前言 在上一篇文章《CAT文件数字签名使用技巧》介绍了证书签名的基础知识，Windows系统下向文件签名有两种方法：添加在文件末尾(Authenticode)和CAT文件(catalog)，本文将介绍Authenticode签名的相关利用技巧——PE文件的签名伪造与签名验证劫持 注： 本文介绍的技巧参考自Matt Graeber@mattifestation公开的资料，本文将结合自己的经验，整理相关内容，添加个人理解。 参考资料： https://specterops.io/assets/resources/SpecterOps_Subverting_Trust_in_Windows.pdf http://www.exploit-monday.com/2017/08/application-of-authenticode-signatures.html https://drive.google.com/file/d/0B-K55rLoulAfNms1aW1rbXF1Tmc/view 0x01 简介 本文将要介绍以下内容： PE文件的Authenticode签名伪造 劫持签名验证过程，实现代码执行，作为后门 0x02 PE文件的签名伪造 Authenticode的详细说明文档可参考： http://download.microsoft.com/download/9/c/5/9c5b2167-8017-4bae-9fde-d599bac8184a/Authenticode_PE.docx 部分系统文件会包含微软的签名，例如C:\Windows\System32\consent.exe 通过文件属性能够看到相关签名信息，如下图 通过powershell验证，代码如下： Get-AuthenticodeSignature C:\Windows\System32\consent.exe 如下图 借助工具CFF Explorer获取文件结构，如下图 Security Directory RVA代码数字签名在PE文件中的偏移位置 Security DirectorySize代表数字签名的长度 将这部分内容提取，复制到另一个文件test.exe的尾部，同时使用CFF Explorer修改test.exe对应的Security Directory RVA和Security DirectorySize 这样，就实现了数字签名的伪造 开源工具SigThief可自动实现以上过程，地址如下： https://github.com/secretsquirrel/SigThief 实际测试： 测试系统： Win7 将C:\Windows\System32\consent.exe的数字签名复制到mimikatz.exe中 参数如下： sigthief.py -i C:\Windows\System32\consent.exe -t mimikatz.exe...

• CAT文件数字签名使用技巧

  08 Oct 2017

  0x00 前言 Windows系统中的重要文件常常会被添加数字签名，用来防止被篡改，部分白名单规则的判定也会基于数字签名。 本文作为数字签名研究系列文章的基础内容，介绍两种数字签名的添加方法，分析CAT文件数字签名的特点，并且纠正一名读者对我文章的回复，地址如下： 《利用xwizard.exe加载dll》 基于我的测试，个人认为：移动位置后，CAT文件数字签名不会失效 0x01 简介 本文将要介绍以下内容： 生成证书的方法 将数字签名添加在文件末尾的方法(Authenticode) 将数字签名保存在CAT文件中的方法(catalog) 使用CAT数字签名的文件特点 0x02 将数字签名添加在文件末尾的方法(Authenticode) 曾在隐写技巧的系列文章中研究过在数字签名中隐藏payload的方法，地址如下： 《隐写技巧——在PE文件的数字证书中隐藏Payload》 文中介绍过证书格式，在此不再赘述 向文件尾部添加数字签名后，可通过文件属性查看 实例： C:\Windows\System32\consent.exe 自带微软数字签名，如下图 可通过powershell验证数字签名： Get-AuthenticodeSignature .\mimikatz.exe 也可以使用工具通过命令行查看数字签名 使用signtool.exe查看： signtool.exe verify /v C:\Windows\System32\consent.exe 如下图 使用sigcheck.exe查看： sigcheck.exe -q C:\Windows\System32\consent.exe /accepteula 如下图 注： signtool.exe: 可用于查看文件的数字签名 安装Visual Studio后包含SDK，其中可找到signtool.exe，位于C:\Program Files\Microsoft SDKs\Windows\ 进入开发人员工具的cmd可直接调用signtool.exe Windows 7 SDK下载地址： https://www.microsoft.com/en-us/download/details.aspx?id=8279...

• 渗透技巧——Token窃取与利用

  30 Sep 2017

  0x00 前言 在之前的文章《渗透技巧——程序的降权启动》介绍了使用SelectMyParent降权的方法，本质上是通过token窃取实现的。这一次将要对token窃取和利用做进一步介绍，测试常用工具，分享利用技巧。 0x01 简介 本文将要介绍以下内容; Token简介 Metasploit中的incognito Windows平台下的incognito Invoke-TokenManipulation.ps1用法 利用token获得system权限 利用token获得TrustedInstaller权限 0x02 Token简介 Windows有两种类型的Token： Delegation token(授权令牌):用于交互会话登录(例如本地用户直接登录、远程桌面登录) Impersonation token(模拟令牌):用于非交互登录(利用net use访问共享文件夹) 注： 两种token只在系统重启后清除 具有Delegation token的用户在注销后，该Token将变成Impersonation token，依旧有效 实际测试 使用Test\a登录后注销，再使用administrator登录 查看token： incognito.exe list_tokens -u 能够获取到已注销用户Test\a的token，如下图 利用该token执行calc.exe: incognito.exe execute -c "TEST\a" calc.exe 后台显示进程calc.exe的用户名为a，如下图 0x03 Metasploit中的incognito 在Metasploit中，可使用incognito实现token窃取，常用命令如下： 加载incognito：load incognito 列举token：list_tokens -u 查看当前token：getuid 提示至system权限：getsystem token窃取：impersonate_token "NT...

• 域渗透——利用SYSVOL还原组策略中保存的密码

  25 Sep 2017

  0x00 前言 在之前的文章《域渗透——Local Administrator Password Solution》对LAPS的利用进行了分析。使用LAPS最大的优点是能够确保每台域内主机有不同的密码，并且定期更换。 那么，如果域内未配置LAPS，如何批量设置域内主机的本地管理员密码呢？这其中又存在哪些可被利用的地方呢？ 本文将要介绍如何利用SYSVOL还原组策略中保存的密码，分析技术细节，最后给出防御建议 0x01 简介 本文将要介绍以下内容： 域内共享文件夹\SYSVOL介绍 域管理员批量修改域内主机本地管理员密码的方法 组策略中可被利用的地方 实际测试 防御建议 0x02 域内共享文件夹\SYSVOL介绍 在域中，存在一个默认的共享路径： \\<DOMAIN>\SYSVOL\<DOMAIN>\ 所有域内主机都能访问，里面保存组策略相关数据，包含登录脚本配置文件等 例如，测试主机所在域为test.local，可访问共享文件夹\\test.local\SYSVOL\test.local，如下图 0x03 域管理员批量修改域内主机本地管理员密码的方法 1、测试Server 2003系统 对于server2003，想要批量修改域内主机本地管理员密码，常常通过配置组策略执行vbs脚本的方式 给出一个修改密码的vbs脚本(实现方式不唯一)，代码如下： strComputer = "." Set objUser = GetObject("WinNT://" & strComputer & "/Administrator, user") objUser.SetPassword "domain123!" objUser.SetInfo 这种实现方式，最大的弊端在于修改后的密码会明文保存在vbs脚本中 而该vbs脚本通常会保存在共享文件夹\SYSVOL 这就存在一个隐患: 任何域用户都能读取该vbs脚本，也就能够获取脚本中保存的明文密码 2、测试Server 2008系统 对于server...

• Use CLR to bypass UAC

  19 Sep 2017

  0x00 前言 在之前的文章《Use CLR to maintain persistence》介绍了通过CLR劫持.Net程序的后门，特点是无需管理员权限，并能够劫持所有.Net程序。那么，如果劫持了高权限的.Net程序，就能够绕过UAC，比如gpedit.msc 最近我在clem@clavoillotte的博客上也看到了相同的利用思路，并且，他的博客里有更多值得学习的地方。于是，我对他博客介绍的内容进行了整理，结合自己的经验，适当作补充，分享给大家。 clem@clavoillotte的博客地址： https://offsec.provadys.com/UAC-bypass-dotnet.html 0x01 简介 本文将要介绍以下内容： 使用CLR绕过UAC的方法 劫持系统CLSID绕过UAC的方法 0x02 使用CLR绕过UAC 我在《Use CLR to maintain persistence》一文中使用了wmic修改环境变量，代码如下： wmic ENVIRONMENT create name="COR_ENABLE_PROFILING",username="%username%",VariableValue="1" wmic ENVIRONMENT create name="COR_PROFILER",username="%username%",VariableValue="{11111111-1111-1111-1111-111111111111}" 在《Use Logon Scripts to maintain persistence》补充了使用powershell修改环境变量的方法，代码如下： New-ItemProperty "HKCU:\Environment\" COR_ENABLE_PROFILING -value "1" -propertyType string | Out-Null New-ItemProperty "HKCU:\Environment\" COR_PROFILER -value "{11111111-1111-1111-1111-111111111111}"...

• 域渗透——利用DCOM在远程系统执行程序

  15 Sep 2017

  0x00 前言 在以前的文章《在远程系统上执行程序的技术整理》整理过域环境下常用的程序执行方法：at、psexec、WMIC、wmiexec、smbexec和powershell remoting，这次将基于Matt Nelson‏ @enigma0x3的研究，详细介绍在域环境下使用DCOM执行程序的方法，分析相关攻防思路。 学习链接如下： https://enigma0x3.net/2017/01/05/lateral-movement-using-the-mmc20-application-com-object/ https://enigma0x3.net/2017/01/23/lateral-movement-via-dcom-round-2/ 0x01 简介 本文将要介绍以下内容： DCOM使用介绍 实际利用思路 命令行配置防火墙的技巧 防御思路 0x02 DCOM使用介绍 相关基础知识暂略，关于DCOM的介绍可参考如下链接： https://msdn.microsoft.com/en-us/library/cc226801.aspx http://blog.csdn.net/ervinsas/article/details/36424127 本节主要选取Matt Nelson‏ @enigma0x3博客中的主要利用方法进行复现 获得DCOM的程序列表： powershell代码： Get-CimInstance Win32_DCOMApplication 注： Get-CimInstance只适用于Powershell 3.0及以上，Win7默认为2.0不支持，可使用以下替代命令： Get-WmiObject -Namespace ROOT\CIMV2 -Class Win32_DCOMApplication 当然，直接使用wmic查询也可以，代码如下： wmic /NAMESPACE:"\\root\CIMV2" PATH Win32_DCOMApplication GET /all /FORMAT:list powershell对WMI的调用可使用wmic命令进行替换，详情可参考： https://3gstudent.github.io/Study-Notes-of-WMI-Persistence-using-wmic.exe 1、对本机测试 管理员权限，powershell代码如下: 获得"MMC20.Application"支持的操作： $com...