目录导航
作用
针对高价值系统量身定制的后渗透工具,旨在协助真实的攻击渗透,实现更全面、隐蔽、长期的后渗透信息收集和横向移动渗透。
用户
红队攻防人员。
使用方法和场景
电子邮件服务器、网关设备、文档、企业知识管理和协作平台、单点登录平台、缺陷跟踪平台、IT运营管理软件、域名管理团队建设、代码存储库管理等。
功能
包括但不限于:邮件检索、明文密码记录、操作数据获取、获取未知密码下的任意登录凭证、域控信息检索、单点登录劫持、痕迹清理等操作。
优点
数据回调流量实现了流量隐身持久化,服务器重启或补丁更新后无文件落地,后门依然无法被察觉。
目前支持的应用程序
zimbra、confluence、zoho
使用方法和场景
1.该工具依赖Godzilla Webshell管理工具,以插件形式部署。
Godzilla下载链接:https ://github.com/BeichenDream/Godzilla
2.成功获取目标系统的访问权限后,大多数场景是通过漏洞远程攻击获取权限,当然,通过其他方式获取目标权限也是有可能的。无论哪种方式,都需要一个可以执行代码的环境。我们将内存型webshell成功植入内存中,并以webshell为loader,进一步执行内存中其他工具的函数(payload),获取所需数据并执行其他操作。当漏洞本身支持代码执行时,例如confluenceCVE-2023-22527模板注入漏洞,我们可以通过优化漏洞利用方式,直接注入内存型webshell。当漏洞类型涉及文件上传或命令执行时,可参考以下注入内存型webshell的方法。
功能实现技术核心概述
本课题主要针对邮件服务器、网关设备、文档、企业知识管理与协作平台、单点登录平台、缺陷追踪平台、IT运维管理软件、域管理团队建设、代码仓库管理等高价值系统开展后利用研究,针对各类应用,通过部署隐蔽性极强的插件和利用弃用功能劫持运行时Web容器请求处理逻辑,在内存中植入隐蔽性极强的持久后门,这些植入内存的后门作为加载器直接在内存中执行有效载荷,后门代码逻辑和功能载荷均在内存中运行。
通过对不同应用代码逻辑的深入分析,探索了有效载荷在内存中运行时执行过程中遇到的挑战的解决方案,包括多类加载器加载、绕过系统文件验证保护、功能代码提取上下文解耦等问题。该实现无需向目标发起额外的网络请求或将文件写入磁盘,即可在内存中执行有效载荷。从而在隐蔽性较高的攻击场景下,实现payload在内存中的隐蔽执行,方便提取高价值系统信息,如邮件检索、明文密码记录、操作数据获取、未知密码下获取任意登录凭证、域控信息检索、单点登录劫持、痕迹清洗等操作。随后利用现有的webshell管理工具加密传输数据,实现流量侧隐蔽。此方法旨在实现真实攻击场景中更全面、隐蔽、长期的后利用信息收集和深度渗透。
Zimbra
1. 将“injec.jsp”文件上传到目标系统的
上传目录:/opt/zimbra/jetty_base/webapps/zimbra/public/
2.访问inject.jsp向系统注入内存后门,注入后删除inject.jsp,后门仍然存在。
成功删除“inject.jsp”并建立与内存后门的连接。
3.后门持久性
通过替换zimbra-license.jar插件,防止内存驻留后门在重启时被清除。将恶意的zimbra-license-success.jar替换掉原有的系统jar文件,实现后门持久化。
4.清除日志
利用“zimbraplugin ClearLog”功能清除恶意 JSP 访问的日志。
5.功能有效载荷
根据需要使用特定功能。单击相应功能后,payload 后门将被发送到服务器,并在内存中执行相应的 payload。
6.流量
7.测试版本
9.0.0_GA_4583
Zoho
1.上传shell.jar,在运行时向目标系统注入后门
后门已成功注入;删除shell.jar。
2.后门持久性
为了防止系统重启后后门丢失,通过替换AdventnetADSMStartUp.jar来修改启动逻辑。
3.有效载荷功能
4.流量
5.测试版本
ManageEngine_ADManager_Plus_7222_64
Confluence
1、上传inject.jsp,注入内存后门。
上传路径:/opt/atlassian/confluence/synchrony-proxy/
2.访问inject.jsp,注入内存后门。
注入后门成功后,删除inject.jsp。
3.payload功能
4.流量
5.测试版本
项目地址
https://github.com/0linlin0/XPost
下载地址
https://github.com/0linlin0/XPost/archive/refs/heads/main.zip
转载请注明出处及链接