项目介绍
XPost是@Skay师傅在github分享的一个红队攻防人员用于针对高价值系统量身定制的后渗透工具,旨在协助真实的攻击渗透,实现更全面、隐蔽、长期的后渗透信息收集和横向移动渗透。目前支持的应用程序:zimbra、confluence、zoho
应用导向
电子邮件服务器、网关设备、文档、企业知识管理和协作平台、单点登录平台、缺陷跟踪平台、IT运营管理软件、域名管理团队建设、代码存储库管理等。
工具能力
包括但不限于:邮件检索、明文密码记录、操作数据获取、获取未知密码下的任意登录凭证、域控信息检索、单点登录劫持、痕迹清理等操作。
工具优点
数据回调流量实现了流量隐身持久化,服务器重启或补丁更新后无文件落地,后门依然无法被察觉。
https://github.com/BeichenDream/Godzilla
1. 将“injec.jsp”文件上传到目标系统的
上传目录:
/opt/zimbra/jetty_base/webapps/zimbra/public/
2. 访问inject.jsp向系统注入内存后门,注入后删除inject.jsp,后门仍然存在。
成功删除“inject.jsp”并建立与内存后门的连接。
3. 后门持久性
通过替换zimbra-license.jar插件,防止内存驻留后门在重启时被清除。将恶意的zimbra-license-success.jar替换掉原有的系统jar文件,实现后门持久化。
4. 清除日志
利用“zimbraplugin ClearLog”功能清除恶意 JSP 访问的日志。
5. 有效载荷功能
根据需要使用特定功能,单击相应功能后,payload 将被发送到服务器后门,并在内存中执行相应的 payload。
6. Traffic流量
7. 测试版本
9.0.0_GA_4583
1. 上传shell.jar,在运行时向目标系统注入后门
后门已成功注入;删除shell.jar。
2. 后门持久性
为了防止系统重启后后门丢失,通过替换AdventnetADSMStartUp.jar来修改启动逻辑。
3. 有效载荷功能
4. Traffic流量
5. 测试版本
ManageEngine_ADManager_Plus_7222_64
1. 上传inject.jsp,注入内存后门。
上传路径:
/opt/atlassian/confluence/synchrony-proxy/
2. 访问inject.jsp,注入内存后门。
注入后门成功后,删除inject.jsp。
3. 有效载荷功能
4. Traffic流量
5. 测试版本
下载地址
https://github.com/0linlin0/XPost/archive/refs/heads/main.zip
原文始发于微信公众号(渗透安全团队):工具 | 一个针对高价值系统后渗透技术tool
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论