![渗透基础——Exchange一句话后门的扩展]( "渗透基础——Exchange一句话后门的扩展")
0x00 前言
0x00 前言
在上一篇文章《渗透基础——Exchange一句话后门的实现》介绍了两种Exchange一句话后门(内存加载.net程序集和文件写入),本文将要对Exchange一句话后门的功能进行扩展,以导出lsass进程的口令hash为例,介绍内存加载PE文件的实现方法,开源测试代码,分析利用思路,给出防御建议。
![渗透基础——Exchange一句话后门的扩展]( "渗透基础——Exchange一句话后门的扩展")
0x01 简介
本文将要介绍以下内容:
· Exchange一句话后门的编写
· 通过内存加载.net程序集实现导出lsass.exe进程的dmp文件
· 通过内存加载PE文件实现内存加载Mimikatz并解析指定位置的dmp文件
· 开源代码
· 防御建议
![渗透基础——Exchange一句话后门的扩展]( "渗透基础——Exchange一句话后门的扩展")
0x02 Exchange一句话后门的编写
(1)基本的实现代码
示例代码如下:
代码会判断是否带有POST请求的参数demodata,如果存在会将POST请求中参数demodata的内容作base64解密,在内存加载并调用名为Payload的实例
(2)冰蝎的实现代码
默认启动代码如下:
提取其中使用的解密代码如下:
参照解密代码,推出对应的加密代码如下:
Exchange下直接使用冰蝎会报错,错误原因:
这里需要修改Webshell路径对应的web.config文件,找到位置:
去掉< remove name="Session" / >即可
类似的还有Godzilla
(3)修改后的实现代码
在Exchange下应避免使用Session传递数据,这里改用POST请求传递数据,最终代码如下:
POST请求中的参数k作为密钥,参数data作为加密的数据,解密后在内存加载并调用名为U的实例。
接下来两节内容将介绍连接上述Exchange一句话后门的客户端开发细节。
![渗透基础——Exchange一句话后门的扩展]( "渗透基础——Exchange一句话后门的扩展")
0x03 通过内存加载.net程序集实现导出lsass.exe进程的dmp文件
这里需要通过C#实现导出lsass.exe进程dmp文件的功能。
新建文件dumplsass.cs,代码如下:
编译生成dll文件,命令如下:
生成的dumplsass.dll即为实现导出lsass.exe进程dmp文件的Payload数据。
加载后获得lsass.exe进程的dmp文件,保存位置:C:WindowsTemplsass.bin。
![渗透基础——Exchange一句话后门的扩展]( "渗透基础——Exchange一句话后门的扩展")
0x04 通过内存加载PE文件实现内存加载Mimikatz并解析指定位置的dmp文件
这里分为两阶段:
1.通过C++实现解析指定位置的dmp文件并提取hash,可以在Mimikatz的基础上进行修改。
2.通过C#实现内存加载PE文件的功能。
1、通过C++实现解析指定位置的dmp文件并提取hash
mimikatz解析指定位置dmp文件的命令:
修改mimikatz源码,涉及以下两部分:
手动传入命令参数,添加如下代码:
指定日志保存路径为C:WindowsTempmimikatz.log,修改以下代码:
编译后生成新的mimikatz.exe。
2、通过C#实现内存加载PE文件的功能
使用SharpPELoaderGenerater读取新生成的mimikatz.exe,生成可用的内存加载代码SharpPELoader_x64.cs。
注:
内存加载的实现细节可参考《通过.NET实现内存加载PE文件》
修改SharpPELoader_x64.cs的格式,使其能够被Exchange一句话后门加载,完整代码已上传至github,地址如下:
https://github.com/3gstudent/test/blob/master/SharpPELoader_parselsass.cs
编译生成dll文件,命令如下:
生成的SharpPELoader_parselsass.dll即为实现内存加载Mimikatz解析dmp文件C:WindowsTemplsass.bin并将导出结果保存为C:WindowsTempmimikatz.log的Payload数据。
![渗透基础——Exchange一句话后门的扩展]( "渗透基础——Exchange一句话后门的扩展")
0x05 开源代码
完整的客户端代码已上传至github,地址如下:
https://github.com/3gstudent/Homework-of-C-Sharp/blob/master/SharpExchangeDumpHash.cs
使用C#开发,支持.Net3.5及更高版本。
编译命令如下:
代码支持以下三个功能:
· generate,生成Exchange一句话后门
· dumplsass,获得lsass进程dmp文件
· parsedump,解析dmp文件,导出hash
连接Exchange一句话后门时可选择是否使用凭据登录,通信数据使用AES加密。
代码细节:
POST请求中的参数k作为密钥,参数data作为加密的数据。
字符串base64dumplsass为dumplsass.dll作Base64编码后的结果。
字符串base64parsedump为parsedump.dll作Base64编码后的结果。
![渗透基础——Exchange一句话后门的扩展]( "渗透基础——Exchange一句话后门的扩展")
0x06 防御建议
对于Exchange一句话后门,不仅需要判断是否有新的文件写入,还需要判断正常的页面是否被插入恶意内容。
在静态分析上面,可以查看aspx文件中是否包含涉及内存加载的敏感函数:
· Assembly.Load
· Assembly.LoadFrom
· Assembly.LoadFile
![渗透基础——Exchange一句话后门的扩展]( "渗透基础——Exchange一句话后门的扩展")
0x07 小结
本文对Exchange一句话后门的功能进行了扩展,以导出lsass进程的口令hash为例,介绍了内存加载PE文件的实现方法,开源测试代码,分析利用思路,给出防御建议。
本文始发于微信公众号(嘶吼专业版):渗透基础——Exchange一句话后门的扩展
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论