PHP安全新闻早八点-高级持续渗透-第六季关于后门

体系的本质是知识点串联

渗透，持续渗透，后渗透的本质

转载请标注作者Micropoor以及文章来源，https://micropoor.blogspot.com/。
引言（1）：
        目标资产信息搜集的广度，决定渗透过程的复杂程度。
        目标主机信息搜集的深度，决定后渗透权限持续把控。
        渗透的本质是信息搜集，而信息搜集整理为后续的情报跟进提供了强大的保证。
        持续渗透的本质是线索关联，而线索关联为后续的攻击链方提供了强大的方向。
        后渗透的本质是权限把控，而权限把控为后渗透提供了以牺牲时间换取空间强大基础。

靶机背景介绍：

主机A1：CentOs x64 全补丁，无提权漏洞，可互联网
主机A2：Windows 2008 x64 全补丁  无提权漏洞，脱网机
主机B：  Windows 2008 x64 全补丁  无提权漏洞，域内主机，脱网机
主机C：  Windows 2008 x64 域控，存在ms14-068漏洞，脱网机
且A1，A2，B,C系统主机密码均为强口令

A1，A2，B,C为标准ABC类网，允许访问流程，A1---->A2---->B---->C，不允许跨主机访问。（请注意每个主机的对应IP段）

整体攻击流程图：

模拟开始攻击：

扫描主机A1对攻击机开放端口：80,22

扫描主机A1-Web目录结构：

主机A1-Web搜索处存在sql注入：

登录后台得到shell：

生成tcp payload 以php一句话执行：

A1对内信息搜集发现A2，并且针对A1，没有可用提权漏洞（Web非root权限），放弃提权：

以A1作为跳板添加虚拟路由，并且开始做针对A2的对内信息搜集：

以A1跳板发现A2部署weblogic，并且存在漏洞。转发目标机7001至本地，利用漏洞。

发现A2全补丁，放弃提权，（weblogic为user权限）对内信息刺探A2，得到weblogic相关配置文件，解密后，得到密码。

尝试做二级跳板，以weblogic相关配置，尝试对B（域内成员）的渗透（SMB）

获取B权限（system），尝试对内B的本身信息搜集，发现域账号（普通成员）user1.

引言（2）：
          渗透测试过程，提权是非核心任务，这里也不建议尝试提权，因为在实战过程中获取某个“点”的权限，过程是及其漫长以及困难的，不要因为某个大胆的尝试，而影响了整个渗透测试流程。


尝试三级跳板，尝试获取sid，以及域控对内相关IP，尝试越权，获取域控权限。

并没有结束：在得到域控后，对主机C对内信息搜集，得到域控administrator密码，尝试用该密码ssh--->A1，成功，root权限。

广告（你需要背下来的广告词）：只要是“一个人”设置的密码“群”，一定有大的规律，只要是“一个行业”设置的密码“群”一定有规律可寻。

引言（4）：

       渗透的本质是信息搜集，而要把信息搜集发挥最大效果，一定是离不开“线索关联”，而信息搜集，无论是对内，对外，更或者是主动信息搜集，被动信息搜集。如何把目标A与B的信息搜集，整理后做“线索关联”是一个非常有趣的工作。

后者的话：

         APT攻击三大要素，既：

               攻击手段复杂，持续时间长，高危害性

         APT攻击主要分类为两大类，既：

                高级持续渗透 ， 即时渗透

APT两大类攻击核心诉求区别：

在做调研之前，作者一直以为越发达的城市，或者越政治中心的城市是发生攻击的高发地，但是在调研后，打破了我之前的想法，于是作者深入调研原因究竟，以便更好的了解企业安全建设的规划。

      在针对政府机构的攻击中，APT组织除了会攻击一般的政府机构外，还有专门针对公检法的攻击。

       在针对能源行业的攻击中，APT组织重点关注的领域依次是：石油、天然气和核能。针对能源行业的攻击，对国家安全具有很大的影响。

       在针对金融行业的攻击中，APT组织最为关注的是银行，其次是证券、互联网金融等。还有部分APT组织会关注到与虚拟数字货币（如比特币、门罗币等）相关的机构或公司。针对金融机构的攻击大多会利用安全漏洞。针对ATM自动取款机的攻击也一直延续了2016年的活跃状态。

      还有一点值得注意：APT组织的攻击虽然具有很强的针对性，但其攻击目标也并不一定是单一的。有的APT组织只攻击特定国家特定领域的目标（仅从目前已经披露的情况看），但也有很多APT组织会对多个国家的不同领域目标展开攻击。上图给出了2017年全球各国研究机构发布的APT研究报告中，披露APT组织攻击目标的所属国家、领域数量分析。

引言（5）：

         目前市场上的企业网络安全规划与建设大部分存在统一实施方案，或者是模板方案。而非针对特定行业，特定客户群体来制定针对方案。而不同行业，不同背景的企业安全规划方案也一定是不相同的。如传统行业（医药，食品，汽车）对待企业安全的建设是起跑阶段。如金融行业（证券，银行，保险）对待企业安全的建设是规划与实施阶段。如互联网行业（某度，某巴，某鹅）对待企业安全建设是自研或商业化阶段。为了更好的了解，所以如上制图，更能清楚的看到，未来企业网络安全对待企业发展的重要性，以及特定行业特定规划方案，特定行业特定防御对象。如某X企业安全预算为100万，是否应该针对该企业，行业，地理位置，做防御预算倾斜，并且留有10%-15%的资金量做2月，3月，11月攻击高发期的预案资金等。

总结：

         由于信息化，自动化的办公，企业成本的考虑，传统的“以点打面”的点会越来越分散与难以集中管理，如跨国办公，移动办公等。那么可预知的攻击方式将会以人为突破口的事越来越多。安全的本质又不能仅仅靠预算与设备的投入而杜绝，尤其是在未来的大型甲方公司，都会有着自己的安全团队，那么如何把网络安全发展成未来甲方公司的企业文化，将会是一个漫长的过程。而近些年无论是国内还是国外的官方部门开始重视网络安全，但是效果不明显，这里做一个总结，同样部分也适用于企业：

优化更新 php backdoor for windows

所有Microdoor系列仅供学习，通过了解相关原理，来做自身安全与防护。切勿非法使用。

Microdoor for php 作为backdoor，更为隐蔽，所有调用以及代码任意执行，都调用内核函数，php禁用执行函数依然可以执行任意php代码。无缝连接菜刀，以及第三方渗透框架。并且在phpinfo,以及php -m 隐藏自身。旨意通过了解相关原理，做好相关安全防护。

更新支持php 5.4.x for windows

更新php-5.6.36 for windows 的部分bug。




php-5.6.36 backdoor for windows




micropoor_php5.6.x_x86.dll

SIZE: 188416 字节 MD5: 1EEF918B0D873316D39117F62C6A4819 SHA1: 944EFD5DB064FF412D1D7874FEC719F14382E2F1 CRC32: F9D03401

备注：micropoor_php5.6.x_x86.dll仅适用x32位php-5.6.36 for Windows 的Microdoor。不适用其他版本。

为防止原文件被篡改，使用前，请对比文件MD5值。

https://drive.google.com/file/d/19aJIIBKyTItUWkizGdupWJnHy7eUvrUC/view

php-5.4.x backdoor for windows




micropoor_php5.4.x_x86.dll

SIZE: 68608 字节 MD5: 457A72A45CBD06D8F4ECAB2C6A8B7426 SHA1: D922C4A9C79FB250F2BD0F426BD5124C38C9716E CRC32: 560188D7

备注：micropoor_php5.4.x_x86.dll仅适用x32位micropoor_php5.4.x_x86.dll for Windows 的Microdoor。不适用其他版本。

为防止原文件被篡改，使用前，请对比文件MD5值。

https://drive.google.com/file/d/1bIT9LSyeXxJa4qxKBYjPro784DEr3swG/view

PHP all kernel versions for backdoor

所有Microdoor系列仅供学习，通过了解相关原理，来做自身安全与防护。切勿非法使用。

Microdoor for php 作为backdoor，更为隐蔽，所有调用以及代码任意执行，都调用内核函数，php禁用执行函数依然可以执行任意php代码。无缝连接菜刀，以及第三方渗透框架。并且在phpinfo,以及php -m 隐藏自身。旨意通过了解相关原理，做好相关安全防护。

How to install?

php5.x x64 backdoor for linux

public_x64.so

Size: 26800 bytes

MD5: 1C21BD02D26E9A3914A9A7248B799715

SHA1: 934D577EDBCBC6FEB93AA52DE2C195BE59269B77

CRC32: 8145921D

备注：public_x64.so仅适用x64位php5.x for Linux 的Microdoor。不适用其他版本。

为防止原文件被篡改，使用前，请对比文件MD5值。

https://drive.google.com/file/d/1qDYcGuODAUOWF8rKGw4okQ34TyBK9vBh/view?usp=sharing

php5.x x32 backdoor for linux

public_x32.so

Size: 26127 bytes

MD5: 9BF67665FDCB30C355358624DBEB79BB

SHA1: 3E996D33F18C1E34600203E8C348988449865888

CRC32: 54264834

备注：public_x32.so仅适用x32位 php5.x for Linux的Microdoor。不适用其他版本。

为防止原文件被篡改，使用前，请对比文件MD5值。

https://drive.google.com/file/d/1hF0ZRlz7qZCrWShPNSIumIhlR-pjAx34/view?usp=sharing

php5.x x32 backdoor for windows

public_x86.dll

Size: 68608 bytes

MD5: F5FAF58A15ADC9946A3C34220653DB21

SHA1: 70CA2B9F7ACDADDE0A8A20702EAA897B8EEB43E2

CRC32: 306CDD73

备注：public_x86.dll仅适用x32位php5.x for Windows 的Microdoor。不适用其他版本。

为防止原文件被篡改，使用前，请对比文件MD5值。

https://drive.google.com/file/d/1b_TYaV2gfM6_iJLNx-61qQRUskwwh4dR/view?usp=sharing

PHP7.X x32 for linux

public_x32_7.x.so

Size: 40188 字节

MD5: 472BBC6A3673D7C0C234A5494FDF0A92

SHA1: BCB760BDEB34972E540121591E95866AED78066E

CRC32: 9F17393A

备注：public_x32_7.x.so仅适用x32位 php7.x for Linux的Microdoor。不适用其他版本。

为防止原文件被篡改，使用前，请对比文件MD5值。

https://drive.google.com/file/d/1UJYyKTZ-LZpSUvmRq_Gg3oI_Sn0Q8YZN/view

PHP7.X x64 for linux

public_x64_7.x.so

Size: 42000 字节

MD5: B5370B1C04C5D6E7A3586BFF262BAF19

SHA1: A1F58D3A7DA18C1184CA3C1CD225D5D353231FC0

CRC32: A4BA02C1

备注：public_x64_7.x.so仅适用x64位 php7.x for Linux的Microdoor。不适用其他版本。

为防止原文件被篡改，使用前，请对比文件MD5值。

https://drive.google.com/file/d/1WkQInZQ53PHe104MKHqFOG_-ydCZh4lN/view













注：部分windows dll版，如果有需求的话，未来编译发布。