工具 | 一个针对高价值系统后渗透技术tool

admin 2024年9月29日15:34:31评论0 views字数 2036阅读6分47秒阅读模式

项目介绍

XPost是@Skay师傅在github分享的一个红队攻防人员用于针对高价值系统量身定制的后渗透工具,旨在协助真实的攻击渗透,实现更全面、隐蔽、长期的后渗透信息收集和横向移动渗透。目前支持的应用程序:zimbra、confluence、zoho

应用导向

电子邮件服务器、网关设备、文档、企业知识管理和协作平台、单点登录平台、缺陷跟踪平台、IT运营管理软件、域名管理团队建设、代码存储库管理等。

工具能力

包括但不限于:邮件检索、明文密码记录、操作数据获取、获取未知密码下的任意登录凭证、域控信息检索、单点登录劫持、痕迹清理等操作。

工具优点

数据回调流量实现了流量隐身持久化,服务器重启或补丁更新后无文件落地,后门依然无法被察觉。

功能实现技术核心概述

本课题主要针对邮件服务器、网关设备、文档、企业知识管理与协作平台、单点登录平台、缺陷追踪平台、IT运维管理软件、域管理团队建设、代码仓库管理等高价值系统开展后利用研究,针对各类应用,通过部署隐蔽性极强的插件,利用废弃功能劫持运行时Web容器请求处理逻辑,在内存中植入隐蔽性极强的持久后门,这些植入内存的后门作为加载器,直接在内存中执行有效载荷,后门代码逻辑和功能载荷均在内存中运行。
通过对不同应用代码逻辑的深入分析,探索了有效载荷在内存中运行时执行过程中遇到的挑战的解决方案,包括多类加载器加载、绕过系统文件验证保护、功能代码提取上下文解耦等问题。该实现无需向目标发起额外的网络请求,也无需将文件写入磁盘,即可在内存中执行有效载荷。从而在隐蔽性较高的攻击场景下,实现payload在内存中的隐蔽执行,方便提取高价值系统信息,如邮件检索、明文密码记录、操作数据获取、未知密码下获取任意登录凭证、域控信息检索、单点登录劫持、痕迹清洗等操作。随后利用现有的webshell管理工具加密传输数据,实现流量侧隐蔽。此方法旨在实现真实攻击场景中更全面、隐蔽、长期的后利用信息收集和深度渗透。
使用方法和场景

1. 该工具依赖Godzilla Webshell管理工具,以插件形式部署,Godzilla下载链接:
https://github.com/BeichenDream/Godzilla
2. 成功获取目标系统的访问权限后,大多数场景是通过漏洞远程攻击获取权限,当然,通过其他方式获取目标权限也是有可能的。无论哪种方式,都需要一个可以执行代码的环境。我们将内存型webshell成功植入内存中,并以webshell为loader,进一步执行内存中其他工具的函数(payload),获取所需数据并执行其他操作。
当漏洞本身支持代码执行时,例如confluenceCVE-2023-22527模板注入漏洞,我们可以通过优化漏洞利用方式,直接注入内存型webshell。当漏洞类型涉及文件上传或命令执行时,可参考以下注入内存型webshell的方法。
Zimbra

1. 将“injec.jsp”文件上传到目标系统的

上传目录:

/opt/zimbra/jetty_base/webapps/zimbra/public/

2. 访问inject.jsp向系统注入内存后门,注入后删除inject.jsp,后门仍然存在。

工具 | 一个针对高价值系统后渗透技术tool

成功删除“inject.jsp”并建立与内存后门的连接。

工具 | 一个针对高价值系统后渗透技术tool

3. 后门持久性

通过替换zimbra-license.jar插件,防止内存驻留后门在重启时被清除。将恶意的zimbra-license-success.jar替换掉原有的系统jar文件,实现后门持久化。

工具 | 一个针对高价值系统后渗透技术tool

4. 清除日志

利用“zimbraplugin ClearLog”功能清除恶意 JSP 访问的日志。

工具 | 一个针对高价值系统后渗透技术tool

5. 有效载荷功能

根据需要使用特定功能,单击相应功能后,payload 将被发送到服务器后门,并在内存中执行相应的 payload。

工具 | 一个针对高价值系统后渗透技术tool

6. Traffic流量

工具 | 一个针对高价值系统后渗透技术tool

7. 测试版本

9.0.0_GA_4583
Zoho

1. 上传shell.jar,在运行时向目标系统注入后门

工具 | 一个针对高价值系统后渗透技术tool

后门已成功注入;删除shell.jar。

2. 后门持久性

为了防止系统重启后后门丢失,通过替换AdventnetADSMStartUp.jar来修改启动逻辑。

3. 有效载荷功能

工具 | 一个针对高价值系统后渗透技术tool

4. Traffic流量

工具 | 一个针对高价值系统后渗透技术tool

5. 测试版本

ManageEngine_ADManager_Plus_7222_64
Confluence

1. 上传inject.jsp,注入内存后门。

上传路径:

/opt/atlassian/confluence/synchrony-proxy/

2. 访问inject.jsp,注入内存后门。

工具 | 一个针对高价值系统后渗透技术tool

注入后门成功后,删除inject.jsp。

3. 有效载荷功能

工具 | 一个针对高价值系统后渗透技术tool

4. Traffic流量

工具 | 一个针对高价值系统后渗透技术tool

5. 测试版本

工具 | 一个针对高价值系统后渗透技术tool

下载地址

https://github.com/0linlin0/XPost

https://github.com/0linlin0/XPost/archive/refs/heads/main.zip

原文始发于微信公众号(渗透安全团队):工具 | 一个针对高价值系统后渗透技术tool

 

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月29日15:34:31
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   工具 | 一个针对高价值系统后渗透技术toolhttp://cn-sec.com/archives/3218893.html

发表评论

匿名网友 填写信息