项目介绍
XPost是@Skay师傅在github分享的一个红队攻防人员用于针对高价值系统量身定制的后渗透工具,旨在协助真实的攻击渗透,实现更全面、隐蔽、长期的后渗透信息收集和横向移动渗透。目前支持的应用程序:zimbra、confluence、zoho
应用导向
电子邮件服务器、网关设备、文档、企业知识管理和协作平台、单点登录平台、缺陷跟踪平台、IT运营管理软件、域名管理团队建设、代码存储库管理等。
工具能力
包括但不限于:邮件检索、明文密码记录、操作数据获取、获取未知密码下的任意登录凭证、域控信息检索、单点登录劫持、痕迹清理等操作。
工具优点
数据回调流量实现了流量隐身持久化,服务器重启或补丁更新后无文件落地,后门依然无法被察觉。
功能实现技术核心概述
本课题主要针对邮件服务器、网关设备、文档、企业知识管理与协作平台、单点登录平台、缺陷追踪平台、IT运维管理软件、域管理团队建设、代码仓库管理等高价值系统开展后利用研究,针对各类应用,通过部署隐蔽性极强的插件,利用废弃功能劫持运行时Web容器请求处理逻辑,在内存中植入隐蔽性极强的持久后门,这些植入内存的后门作为加载器,直接在内存中执行有效载荷,后门代码逻辑和功能载荷均在内存中运行。
通过对不同应用代码逻辑的深入分析,探索了有效载荷在内存中运行时执行过程中遇到的挑战的解决方案,包括多类加载器加载、绕过系统文件验证保护、功能代码提取上下文解耦等问题。该实现无需向目标发起额外的网络请求,也无需将文件写入磁盘,即可在内存中执行有效载荷。从而在隐蔽性较高的攻击场景下,实现payload在内存中的隐蔽执行,方便提取高价值系统信息,如邮件检索、明文密码记录、操作数据获取、未知密码下获取任意登录凭证、域控信息检索、单点登录劫持、痕迹清洗等操作。随后利用现有的webshell管理工具加密传输数据,实现流量侧隐蔽。此方法旨在实现真实攻击场景中更全面、隐蔽、长期的后利用信息收集和深度渗透。
使用方法和场景
https://github.com/BeichenDream/GodzillaZimbra
1. 将“injec.jsp”文件上传到目标系统的
上传目录:
/opt/zimbra/jetty_base/webapps/zimbra/public/2. 访问inject.jsp向系统注入内存后门,注入后删除inject.jsp,后门仍然存在。
成功删除“inject.jsp”并建立与内存后门的连接。
3. 后门持久性
通过替换zimbra-license.jar插件,防止内存驻留后门在重启时被清除。将恶意的zimbra-license-success.jar替换掉原有的系统jar文件,实现后门持久化。
4. 清除日志
利用“zimbraplugin ClearLog”功能清除恶意 JSP 访问的日志。
5. 有效载荷功能
根据需要使用特定功能,单击相应功能后,payload 将被发送到服务器后门,并在内存中执行相应的 payload。
6. Traffic流量
7. 测试版本
9.0.0_GA_4583Zoho
1. 上传shell.jar,在运行时向目标系统注入后门
后门已成功注入;删除shell.jar。
2. 后门持久性
为了防止系统重启后后门丢失,通过替换AdventnetADSMStartUp.jar来修改启动逻辑。
3. 有效载荷功能
4. Traffic流量
5. 测试版本
ManageEngine_ADManager_Plus_7222_64Confluence
1. 上传inject.jsp,注入内存后门。
上传路径:
/opt/atlassian/confluence/synchrony-proxy/2. 访问inject.jsp,注入内存后门。
注入后门成功后,删除inject.jsp。
3. 有效载荷功能
4. Traffic流量
5. 测试版本
下载地址
文章来源:Hack分享吧
黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!
如侵权请私聊我们删文
END
原文始发于微信公众号(黑白之道):一个针对高价值系统后渗透工具
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论