自动SQL注入工具 – 鼹鼠v 0.3

作者:Secer 发布时间:November 28, 2013 分类:工具视频

自动SQL注入工具 – 鼹鼠v 0.3

鼹鼠是一个自动SQL注入漏洞检测工具。只有在网站上提供了一个脆弱的URL和一个有效的字符串它可以检测注入和利用它,无论是使用工会法或布尔查询为基础的技术。

产品特点

支持使用MySQL,SQL Server中,Postgres的和Oracle数据库的注射。

命令行界面。不同的命令触发不同的动作。

自动完成命令,命令参数和数据库,表和列名。

支持过滤器,以便使用通用的过滤器绕过某些IPS / IDS的规则,并轻松地创建新的可能性。

通过GET / POST / Cookie的参数战功SQL注入。

在Python 3开发。

返回二进制数据的攻击SQL注入。

强大的命令解释器,以简化其使用。

 

用法:

d:\themole\ mole

#>url http://target.com/injection.php?id=12  #注入点

#>needle xxx #页面关键字

#>schemas   #列出数据库

自动SQL注入工具 – TheMole v 0.3

附视频一个

下载

· 32位的Windows可执行文件: themole-0.3-Win32.zip

· 压缩包-gzip压缩格式: themole-0.3-src.tar.gz

· Zip格式: themole-0.3-SRC.ZIP

Debian的(SID)/ Ubuntu的(11.04 +)包装: themole_0.3-1_all.deb

关于”windows 2008如何安装Cobalt Strike”的一些想法

作者:Secer 发布时间:November 26, 2013 分类:工具视频

第一次在freebuf上发文章,也不知道规矩是啥,就随便写写好了。看了windows 2008如何安装Cobalt Strike ,觉得自己也有很多想法想说说,首先安装使用这块其实没文章里说的那么麻烦的,在win2k8上启动msfrpc,直接几行就行:

@echo off

CALL "D:/metasploit\scripts\setenv.bat"

cd D:\metasploit\apps\pro\msf3\

ruby msfrpcd -U msf -P msf -S -f

在windows上所谓的破解cobaltstrike,也没那么麻烦,一个bat搞定:

@echo off

del C:\Users\Administrator\.cobaltstrike.prop

java -XX:+AggressiveHeap -XX:+UseParallelGC -jar D:\tools\cobaltstrike-trial\cobaltstrike.jar

这样永远都是21天试用。

关于 cobaltstrike(以下简称CS) ,它不仅仅是一个图形界面化了的MSF,更重要的是它带来的附加功能和团队协作能力,官网(http://www.advancedpentest.com/)有详细的视频教程,作者语速适中,听力没问题的应该能听懂吧?如果有需要我可以考虑做几个中文的教程.另外,作者(Raphael Mudge,blog地址:http://blog.strategiccyber.com) 的博客上也有大量相关技术资料,仔细品读会有不少收获的。

最重要的是,强烈建议不要在windows下用CS连接本地MSFRPC,我跟作者沟通过,windows下可能会出现些莫名其妙的问题,最好是在kali下运行,很稳定,功能也都可以用。而最重要的一点是,CS支持team合作模式,也就是说它有个teamserver程序,可以通过msfrpc把MSF当成一个服务端,支持多个人远程登录到CS的teamserver端,协同渗透.而这个teamserver只支持linux,so,do you get it?(当然,如果你使用的是teamserver模式的话,那CS客户端运行在linux或者windows上就都可以了)

clip_image001

clip_image001[1]

clip_image002

clip_image003

clip_image004

clip_image004[1]

关于beacon,

阅读剩余部分...

攻击安全公司实例-我是这样拿下天融信员工的

作者:Secer 发布时间:November 26, 2013 分类:Web安全

详细说明:

请贵公司这次不要否认不是你们公司,因为我已经取得了邮箱控制权,先说一下我为什么拿你们做测试,这个想法是我一年前就有了的,起因是你们公司的几个90后小黑客,呵呵,你懂的,想象一下,你们在内部邮箱里窃窃私语的时候,还有一双陌生的眼睛在看着你们,作为安全公司,是否觉得无颜面对同行呢?我本可以继续深入,端掉你们整个老窝,但是没那么做,仅仅出于安全爱好者的良知
那么,先说下过程吧.
1.首先我打开了mail.topsec.com.cn,尝试把整个目录保存到本地下来,后来发现下不全,无奈动用了整站下载器,然后成功的下载到了我想要的整个结构,如图

clip_image002[6]

2.研究了一下,发现登陆是post到一个地址,然后验证,登陆的,于是我做了一个简单的接收参数的php,主要功能是接收帐户密码。
3. 做好了之后,我把他发布到了一个免费空间,免费空间赠送了一个玉米,于是成品就可以通过外网访问了,测试了一下,可以接收到email user pass.
4. 我的钓鱼页是周末做好的,本来想的是周一送你们这个礼物,后来想了下,如果是周一刚上班发的话,容易会引起警觉,或者同事之间回询问,于是我便采用了下午快下班-下班半小时->一小时发这个,因为这个时候,同事和同事的照面率是最小的,人数分散的时候更容易增加成功率.
经过发送,等待,约15分钟后,成功捕获到了几个人的登陆授权信息,我登入了他们的邮箱,并且获取到了我想要看到的东西

clip_image004[6]

阅读剩余部分...

老外的一份渗透测试报告

作者:Secer 发布时间:November 15, 2013 分类:渗透测试

From:penetration-testing-sample-report-2013.pdf

offensive security出的一份渗透测试报告,翻译了下重点内容 :)

过程还是很精彩的~

本次测试的域名为:megacorpone.com

先查看一下其DNS服务器:

clip_image001

然后发现 ns2.megacorpone.com 存在域传送漏洞。

clip_image002

关于域传送的漏洞,可以参考这里http://drops.wooyun.org/papers/64

从图片中可以看出域名都在50.7.67.x的IP段内,网络拓扑图:

clip_image003

在admin.megacorpone.com服务器的81端口发现了apache的webserver,然后扫一下文件路径:

clip_image004

可以看到/admin是一个需要身份验证的路径。

clip_image005

根据www.megacorpone.com网站内容做了一个字典,爆破密码,用户名就用admin了。

clip_image006

破解出密码为:nanotechnology1

进入后界面:

clip_image007

可以看到是一套phpSQLiteCMS,管理SQLite数据的:

通过此页面可以直接查询用户名和密码的hash:

clip_image008

测试发现保存的hash并非常规的方式,于是下载一份phpselitecms观察其中的hash方式:

clip_image009

知道了hash的方式是使用使用了一个10位字符的salt一起做sha1,并且字符串拼接原始salt一起放在数据库中。

我们采用同样的hash方式来暴力碰撞密码,尝试破解其他账户,又破解出两个来,收集密码的好处是可能其他系统也会使用相同的用户名密码,这样就可以轻松的进入了。

SQLite Manager软件存在一个已公开的代码注入漏洞,可以使用exp直接打:

http://www.exploit-db.com/exploits/24320/

clip_image010

反弹回shell:

clip_image011

服务器拓扑:

clip_image012

同时发现服务器可以提权,利用exp提权:

http://www.exploit-db.com/exploits/18411/

clip_image013

此时已经完全控制此台服务器。

然后好好的分析了一下此台服务器,查看到web目录下java应用只允许一个网段来访问。

后来发现这个管理员网络之一:

clip_image014

我们在web客户端增加了一个Java小程序,可以直接控制远程客户端。

(PS:出了这么多Java 0day不知道直接挂到页面上,老外的中马率怎么样)

在管理员下载并允许后:

clip_image015

此时网络拓扑:

clip_image016

发现管理员的电脑在域中,开始提升到域管理员。

发现系统中有一个组管理文件。

(ps:关于这个专门去查了一下是2008域管理存在的一个问题:http://www.carnal0wnage.com/papers/LARES-GPP.pdf

metasploit上有rb脚本可以查找xml文件并解密:https://github.com/rapid7/metasploit-framework/blob/master/modules/post/windows/gather/credentials/gpp.rb

clip_image017

查看groups.xml文件:

clip_image018

解密:

clip_image019

解密的ruby脚本贴出来:

使用方法是:

#ruby decrypt.rb 密文

require 'rubygems'

require 'openssl'

require 'base64'

#encrypted_data = "AzVJmXh/J9KrU5n0czX1uBPLSUjzFE8j7dOltPD8tLk"

encrypted_data = ARGV

def decrypt(encrypted_data)

  padding = "=" * (4 - (encrypted_data.length % 4))

  epassword = "#{encrypted_data}#{padding}"

  decoded = Base64.decode64(epassword)

   key = "\x4e\x99\x06\xe8\xfc\xb6\x6c\xc9\xfa\xf4\x93\x10\x62\x0f\xfe\xe8\xf4\x96\xe8\x06\xcc\x05\x79\x90\x20\x9b\x09\xa4\x33\xb6\x6c\x1b"

  aes = OpenSSL::Cipher::Cipher.new("AES-256-CBC")

  aes.decrypt

  aes.key = key

  plaintext = aes.update(decoded)

  plaintext << aes.final

  pass = plaintext.unpack('v*').pack('C*') # UNICODE conversion

   return pass

end

blah = decrypt(encrypted_data)

puts blah

尝试用plink端口转发,把内网的远程桌面连接转发出来,但是被阻断了:

clip_image020

测试后发现可以通过HTTP-Tunnel转发出来:

http://http-tunnel.sourceforge.net/

登陆的用户名密码采用的是SQLite Manager应用中的mike用户。

clip_image021

此时网络拓扑图:

clip_image022

打开IE的默认主页发现了Citrix服务器,用跟远程连接相同的用户名和密码进入:

clip_image023

Citrix环境当中,做了沙盒,只能使用IE,但是可以绕过。

使用IE的保存,弹出的对话框,新建一个powershell的bat批处理:

clip_image024

clip_image025

clip_image026

利用powershell下载metasploit的反弹程序

clip_image027

下载完毕后,在保存对话框中已管理员的权限运行

clip_image028

这样就获得了Citrix系统的权限

clip_image029

此时网络拓扑:

clip_image030

在Citrix上,尝试从内存中获取用户名密码:

clip_image031

这里包含了很多的用户名和密码,其中还包括一个windows域管理员的。

给Citrix服务器创建了一个远程连接服务并使用域管理员登陆:

clip_image032

至此已经完全控制了windows域。

clip_image033