正文

RowTeam 星球 2023 总结

admin
admin V管理员 /0 评论 /462 阅读
1227
此篇文章发布距今已超过331天,您需要注意文章的内容或图片是否可用!

0x00 前言

2023 年元旦,RowTeam 启动了一个名为 “King” 的工具集项目。当然,这个整合工作并不限于 Web 应用,但我们的项目旨在将某个单独应用的攻防相关技术整合成一个易于使用的图形用户界面(GUI)工具。你说为什么要写图形化?那是因为易于使用,并且多数情况都是代理情况下使用,RowTeam 并不建议将图形化界面工具扔上去执行。

在项目立项后,我们确定了两个方向系列的 King 工具,分别是:SharpvCenterKing 和 SharpExchangeKing,是针对 vCenter 和 Exchange 的综合利用。但是下半年为 IIS 的 ViewState 新增了一个 King(SharpViewStateKing)。

当然,除了 King 工具集的编写和更新,我们还将同步进行其他相关内容的研发。正如大家所熟知的,RowTeam 在工具的开发过程中不仅仅是为大家分享工具,同时也在同步分享具体实现原理。

在这里,我们很高兴地向大家介绍 2023 年 RowTeam 星球的更新内容。与去年相同,我们将不再列举日常分享内容,而是仅列举我们的原创内容。

0x01 2023 年星球更新

本来我是详细的列举每个月份所更新的内容,但是觉得太过繁琐了,因此省略点内容。

1.1 SharpvCenterKing

针对 vCenter 的综合利用工具,包含前期的信息探测,漏洞利用,后渗透利用。同时兼容 ESXi。

信息收集:获取版本号,从版本号判断存在的漏洞,LDAP 匿名链接获取信息。

密码枚举:使用 LDAP 和 SSO 接口进行密码枚举。 

漏洞利用:vCenter 的漏洞在不同版本中的利用方式有所不同,因此这个模块无法做到通用,需要根据具体情况进行利用。 

虚拟机列举:使用管理员账号密码登录后,列举当前管理的虚拟机,可根据机器名称、IP 及备注筛选机器。 

横向移动:基于 ESXi/vCenter 主机,向其管理的机器(需要提供用户账号和明文密码)执行命令、文件上传和下载操作。

更多说明,详见该篇公众号 

vCenterKing 界面

1.2 SharpExchangeKing

针对 Windows Exchange 的综合利用工具,包含前期的信息探测,后渗透利用。工具中相应的功能具备对应的文档,基本围绕 EWS 进行。

信息收集:收集版本号、机器名、AD 域名、内网 IP 和 SSL 证书,最后根据版本号给出大概的漏洞信息。当前并未开放接口,因此漏洞数据需要作者添加。 

账号枚举:基于 STMP 以及两个 Web 接口的基于 HTTP 的响应最开始时间来判断用户是否存在,总计三种方法。

密码枚举:基于 EWS 接口进行密码爆破,因此支持 NTLM,支持多线程。 

权限设置:对当前的邮箱进行一些设置,比如邮件转发,委派。支持 NTLM 登

委派枚举:如果你获取了一组凭证,那么可以通过该功能去枚举你可访问的邮箱。支持 NTLM 登录。 

邮件收取:支持时间区段、邮件标题及内容的关键字搜索,对搜索结果进行下载。支持 NTLM 登

共享浏览:针对 UNC 路径的共享进行访问,取决于当前的用户权限。仅支持明文密码登


不要吐槽它功能没有你写的全,而是自用的一些功能不能放。

更多说明,详见该篇公众号 

ExchangeKing 界

1.3 SharpViewStateKing

针对 IIS Web 服务的 ViewState 的综合利用工具,该工具主要是作为权限固守所使用。

  • King 模块:独立编写的 Payload。实现了基本的 WebShell 功能,包括但不限于命令执行,文件管理等。

  • Proxy 模块:利用现有的 WebShell 管理工具。通过数据中转将数据转发到目标上。

  • Wrapper 模块:根据字典来枚举 ValidationKey。目前仅支持 SHA 系列的校验算法。

该工具有几个缺陷需要后续更新:

  1. 1. 更换 key 等配置需要重启程序,需要重构该部分内容;

  2. 2. Wrapper 模块仅支持 Sha 系列的校验算法,需要编写其他校验算法以及解密。

  3. 3. 如果数据正确的配置信息,仍然不成功,那么有两种可能:

    • • 当前选择的 gadgets 不支持;

    • • 目标可能是低版本(.NET 2.0)环境;

更多说明,详见该篇公众号  

ViewStateKing

1.4 其他

  • • 更新了 SharpSQLTools 工具,对文件上传功能进行了重写。

  • SharpDumpCred:对保存的 RDP 密码一键解析。

  • NetServerTransportDel_NetbiosSmb:对 Windows 445 端口临时释放:也就是说,不需要额外的设置(需要管理员及以上权限),即可关闭当前机器的 445 端口,便于中继使用(中继神器)。

  • BrowserPivot:当无法获取浏览器保存的密码、并且 Cookie 也没办法使用的情况下,通过浏览器的 Debug 模式远程使用。

  • SharpNTDSDumpEx:在原来的基础上新增了 NTFSCopy 功能,无需快照即可复制 ntds.dit,并且无日志产生。

  • Win32Copy:文件/文件夹复制工具。起初是因为习惯在打了快照之后,用 7z 进行压缩拷贝,但有一天发现 7z 被拦截了,所以就写了个复制的工具。

0x02 2024 计划

不做计划了,随性吧。

0x03 免责声明

RowTeam 出品的工具仅面向合法授权的企业安全建设行为,例如企业内部攻防演练、漏洞验证和复测,如您需要测试 RowTeam 出品的工具的可用性,请自行搭建靶机环境。

在使用 RowTeam 出品的工具进行检测时,您应确保该行为符合当地的法律法规,并且已经取得了足够的授权。请勿对非授权目标使用。

如您在使用 RowTeam 出品的工具的过程中存在任何非法行为,您需自行承担相应后果,我们将不承担任何法律及连带责任。

0x04 总结

2023 年,主要是以编写 SharpvCenterKingSharpExchangeKing和 SharpViewStateKing为主,其他分享为辅。

我一直认为,将学到的东西通过落地的方式记录下来,才是真正学到了。



推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
ZhouSa.com-宙飒天下网