首页 » SEO优化 » PHP混杂加壳技巧_记一次有点抽象的渗透经历

PHP混杂加壳技巧_记一次有点抽象的渗透经历

访客 2024-12-19 0

扫一扫用手机浏览

文章目录 [+]

首先看到了员工工号和手机号的双重验证,也不知道账号是什么构造组成的,基本上放弃字典爆破这一条路。
于是乎打开之前用灯塔的扫描结果,看看文件透露是否有什么可用的点。
创造个中有一个略显突出的help.html。
可能是系统的帮助文档

看得出来也是一个年久失落修的系统了,图片的链接都已经404了。
但是这里得到了一个示例账号zs001,也知道了初始密码是123456(吐槽:果真年久失落修了,这个别系就没有输入密码的input,只有一个手机号验证码)。

PHP混杂加壳技巧_记一次有点抽象的渗透经历

知道了账号,这里还缺一个手机号。
觉得这个别系该当没做验证,毕竟看上去是一个老旧的系统,估计有没有人用用都不好说,可能是单位那种废弃了但是还没下架的边缘资产。
然后随便输入一个手机号上去。
果真!

PHP混杂加壳技巧_记一次有点抽象的渗透经历
(图片来自网络侵删)

然后随便找个手机接码平台等待验证码发过来,然后过了十几分钟无果,想到可能是废弃资产的缘故原由验证码接口早就失落效了。
于是没办法只能取出burp开始爆破,估计验证码也是四位数,如果是六位数验证码大概率没系了。
但是这波运气还算可以。
也是成功爆破出来了。

然后登录后台直接上传一个木马,没有任何过滤。
emmmmmmm开始怀念过去。
那时候的洞是真好挖啊。

但是访问的时候涌现了一个坏。
404了,404了怎么办呢。
想到了可能目标做事器上有杀软之类的东西。
木马可能是上传到做事器上了,然后再上传到做事器之后被杀软自动隔离,那么这时候访问就会涌现404。

【----帮助网安学习,须要网安学习资料关注我,私信回答“资料”免费获取----】① 网安学习发展路径思维导图② 60+网安经典常用工具包③ 100+SRC漏洞剖析报告④ 150+网安攻防实战技能电子书⑤ 最威信CISSP 认证考试指南+题库⑥ 超1800页CTF实战技巧手册⑦ 最新网安大厂口试题合集(含答案)⑧ APP客户端安全检测指南(安卓+IOS)

0x02 webshell免杀

这里中途又更换了几个github上的免杀木马,均无效。
ps:我是2.1 无字母webshell

个人在实际渗透过程中还算挺好用的,无字母webshell本来是ctf的一些题目,但是事实上免杀效果确实也挺强,而且适应性也比较高,适宜一句话木马。
之后可以直接上蚁剑链接。

举例:

ps:当然都说了偷

免杀效果如下:

ps: emmmmmmm,我只能说,无敌好吧。

2.2 一键免杀工具免杀

这里不多说了,去github直接找便是,但是github特色过于明显,以至于被多个杀软厂牌号志。
现在觉得免杀的效果也不太好了。
基本上start高一些的工具天生的webshell都是秒杀。
但是可以找一些start数量少的,效果也还不错。

2.3 稠浊免杀

稠浊免杀,php有很多在线稠浊的网站,也便是在不改变代码的功能情形下打乱语法的构造使得代码变为不可读或者可读性很差的代码防止其他人去修正。

可以直接去网上搜索php稠浊

这里便是用的便是在线稠浊php代码的办法直接过了目标主机上的杀软。

0x03 绕过杀软上线

接下来便是传frp代理,上cs的操作了。
这里先上一个cs,但是由于目标机器上有杀软,以是采取shellcode加加载器的办法去进行绕过。
众所周知,cs的特色较为明显,很随意马虎就会被杀软拦截。

首先是shellcode免杀,shellcode免杀可以利用github上的sgn加密工具,免杀效果能达到vt0检测。
github链接:https://github.com/EgeBalci/sgn

利用方法也很大略,把cs天生的shellcode放在sgn文件夹中实行 ,.sgn便是免杀之后的shellcode了。

sgn.exe shellcode文件名

免杀前效果

免杀后效果

剩下的便是加载器本身的免杀了,这里我就用github随便clone下来的加载器。
可以看到编译完成都没来得及运行就直接被杀了。
那么怎么在不动加载器的源代码的情形下。
完成免杀效果呢。

实在有一个比较抽象的技巧,便是当文件足够大之后,杀软的沙箱就不会去运行该程序,从而实现绕过杀软的检测。
比如一个几百m的exe杀软就不会去检测。

那么怎么能让文件变得足够大呢?便是不断往文件后面添补垃圾字符,比如\x00这样既不会影响exe实行,又能够让exe变得足够大。
比如我用python不断往文件后面追加\x00字符。

这里上代码

with open('1.exe', 'ab') as f:\f.write(b'\x00' 1024 1024 100)

可以看到每次运行add.py 1.exe就大了100m。

然后多次运行,当1.exe达到2g的时候,根据每个杀毒软件版本不一定能用。
有些新的杀软不会检测文件大小判断是否运行。
(这个方法很玄学,不是很稳定,有时候能有有时候不能用。
但是还是值得一试,毕竟是老前辈传承下来的经典免杀手腕。

但是问题来了,2个g的文件怎么上传到做事器又是一个问题,这里就要解释一下\x00的好处了,可以通过压缩成zip的办法把exe压缩,压缩文件的体积实在还是和之前编译好的文件差不多大。
然后只能很方便的就能够把压缩包上传到做事器,然后通过做事器的命令去进行解压。
也可以通过webshell去实现解压文件的功能。

0x04 内网移动

之后便是熟习的内网横向环节了。
首先是看到了一个弱口令,然后直接链接数据库然后getshell。

然后直接net user add,之后3389链接上做事器,翻出了一个密码本。

找到一个双网卡的sql server做事器,然后上线,扫一波SMB

末了找到主要系统10.x.x.x 这个别系,看着是java写的后端,也是一个看起来很老的界面了。

扫了一下路径创造存在druid。

原来想找session登录的,然后想了一下试一下运气直接怼一波st2,成功拿下(也是运气爆棚)

标签:

相关文章

«    2024年12月    »
1
2345678
9101112131415
16171819202122
23242526272829
3031