分类 工具发布 下的文章

WeblogicScan.jpg

Weblogic一键漏洞检测工具,V1.3

V1.3 功能介绍:
提供一键poc检测,收录几乎全部weblogic历史漏洞。

详情如下:

#控制台路径泄露
Console  

#SSRF:
CVE-2014-4210      

#JAVA反序列化
CVE-2016-0638  
CVE-2016-3510   
CVE-2017-3248   
CVE-2018-2628 
CVE-2018-2893
CVE-2019-2725
CVE-2019-2729

#任意文件上传
CVE-2018-2894   

#XMLDecoder反序列化
CVE-2017-3506
CVE-2017-10271 

V 1.1 更新日志:

删减全部EXP
删减POC:CVE-2015-4852
新增POC:CVE-2017-10271,CVE-2019-2725,CVE-2018-2894
新增日志功能
全新交互模式
全新名称、Banner

V 1.2 更新日志:

新增离线依赖安装模式,满足内网测试需求:
即新增文件夹:/whl/
Usage:python3 install.py

V 1.3 更新日志:

全新支持Python3
重写POC:CVE-2019-2725
新增POC:CVE-2019-2729

Software using Demo:

Welcome To WeblogicScan !!!
Whoami:rabbitmask.github.io
Usage: python3 WeblogicScan [IP] [PORT]
[*]Console path is testing...
[+]The target Weblogic console address is exposed!
[+]The path is: http://127.0.0.1:7001/console/login/LoginForm.jsp
[+]Please try weak password blasting!
[*]CVE_2014_4210 is testing...
[+]The target Weblogic UDDI module is exposed!
[+]The path is: http://127.0.0.1:7001/uddiexplorer/
[+]Please verify the SSRF vulnerability!
[*]CVE_2016_0638 is testing...
[-]Target weblogic not detected CVE-2016-0638
[*]CVE_2016_3510 is testing...
[-]Target weblogic not detected CVE-2016-3510
[*]CVE_2017_3248 is testing...
[-]Target weblogic not detected CVE-2017-3248
[*]CVE_2017_3506 is testing...
[-]Target weblogic not detected CVE-2017-3506
[*]CVE_2017_10271 is testing...
[-]Target weblogic not detected CVE-2017-10271
[*]CVE_2018_2628 is testing...
[-]Target weblogic not detected CVE-2018-2628
[*]CVE_2018_2893 is testing...
[-]Target weblogic not detected CVE-2018-2893
[*]CVE_2018_2894 is testing...
[-]Target weblogic not detected CVE-2018-2894
[*]CVE_2019_2725 is testing...
[+]The target weblogic has a JAVA deserialization vulnerability:CVE-2019-2725
[+]Your current permission is: rabbitmaskrabbitmask
[*]CVE_2019_2729 is testing...
[+]The target weblogic has a JAVA deserialization vulnerability:CVE-2019-2729
[+]Your current permission is: rabbitmaskrabbitmask
[*]Happy End,the goal is 127.0.0.1:7001

Covenant是一个.NET命令和控制框架,旨在突出.NET的攻击面,在Covenant的帮助下,研究人员可以更加轻松地去利用.NET的攻击面,而且它还可以作为红队研究人员的协作命令和控制平台。
Covenant是一个ASP.NET核心,并且是一款跨平台的应用程序,其中包含了一个基于Web的用户界面,并支持多用户协同工作。

0x01 Covenant安装

项目主页:

https://github.com/cobbr/Covenant

我们直接从github上克隆下来(由于我的网速克隆github上的项目太慢了,所以我用proxychains代理了一下)

git clone --recurse-submodules https://github.com/cobbr/Covenant

1.png

我们还需要下载一个编译环境,确保安装dotnet核心版本2.2 SDK!Covenant尚不支持dotnet core 3.0,SDK是构建项目所必需的(不仅仅是运行时)。

下载地址:

https://dotnet.microsoft.com/download/dotnet-core/thank-you/sdk-2.2.207-linux-x64-binaries

我们需要先把包下载下来:

wget https://download.visualstudio.microsoft.com/download/pr/022d9abf-35f0-4fd5-8d1c-86056df76e89/477f1ebb70f314054129a9f51e9ec8ec/dotnet-sdk-2.2.207-linux-x64.tar.gz

2.png

使用官网上给出的三条安装配置命令发现就可以直接把编译环境部署成功

mkdir -p $HOME/dotnet && tar zxf dotnet-sdk-2.2.207-linux-x64.tar.gz -C $HOME/dotnet
export DOTNET_ROOT=$HOME/dotnet
export PATH=$PATH:$HOME/dotnet

3.png

下面我们就可以开始使用dotnet编译Covenant了
还是两条命令:

dotnet build
dotnet run

4.png

使用dotnet run之后会直接运行Covenant,会给出一个web链接

5.png

6.png

0x02 配置使用Covenant

我们打开给出的链接,会直接让我们注册一个用户,这个大家就随意设置了,这个注册就是管理员账户了。

7.png

接下来就为大家介绍各个模块的使用方法:

Dashboard      #主视图和你登陆时看到的第一个东西。你可以很快地看到你得到的活跃的Grunts,当前活跃的监听器,以及一些最近分配给Grunts的任务。
Listeners      #提供用于管理监听器和监听器配置文件的界面。
Launchers      #提供用于创建,托管和下载启动器的界面,以用于启动新的Grunts。
Grunts         #显示一个表格,以查看所有活动和不活动的Grunts,以及与Grunts进行交互并为其分配新任务。
Templates      #植入模板 可自定义很多payload模板
Tasks          #任务内置Mimikatz等很多模块执行多种任务,也可自行定制
Taskings       #显示一个表格,以查看分配给Grunts的所有任务。
Graph          #提供图形视图以可视化监听器,Grunts和对等图形。
Data           #提供有关在操作过程中从Grunts 收集的数据的视图,例如凭据,指示器和下载的文件。
Users          #提供用于用户管理和创建的界面。

Dashboard:仪表盘

8.png

Listeners:监听器

这里还有一个选项为Profiles这个里面为监听器的配置文件,大家可以自行修改调试

单击Create新建一个监听器

9.png

创建的监听器分为两类,一类为HTTP监听器,另一类为TCP监听,我们先从HTTP来看。

10.png

HTTP监听器配置:

Name          #将在整个接口中使用的监听器的名称。选择一些可识别的东西!
BindAddress   #BindAddress是监听器将绑定到的本地ip地址。通常,这个值是0.0.0.0。
BindPort      #监听器需要绑定的端口
ConnectPort   #ConnectPort是Grunts将直接连接到的回调端口
ConnectAddress    #ConnectAddress是Grunts将直接连接到的回调地址
UseSSL            #是否启动SSL证书
HttpProfile       #HttpProfile决定了Grunt和Listener通信的行为,大家可以自行修改

这里我就全部默认配置,直接新建一个

11.png

如果需要停止或者删除大家点击名称即可进去控制,(右边还有个Hosted Files标签这个里面可以托管一些下载文件,这个大家就根据自己需求使用)

12.png

TCP监听器配置:

这个的配置方法和HTTP的都一样

13.png

我这里也是添加一个默认的。

14.png

Launchers:启动器

启动器用于启动Grunt,Covenant支持9种启动方式,大家在web页面上能看见名称和介绍

15.png

具体的各种启动方法,大家可以参照systemino大佬的文章:

https://blog.csdn.net/systemino/article/details/102901790

下面我们只演示前一、二种启动方式,生成可执行文件和powershell代码

Binary启动方式:

我们单击Binary名称进入配置页面,首先先选择我们之前建立的监听器,这个大家可以自行调整。

16.png

下一个是需要选择通信模板,官方提供了三个,如果监听器选择的是走http的,那么模板也选择HTTP的,如果是TCP的那么就选GruntBridge的,模板选择不同下面选项的配置也有所不同,但是也就是多了个SSL证书的选项是否打开,一般来说看个人需求,没啥需求默认就好了。

17.png

Listener      #为监听器
Template     #为通讯模板
Delay        #为延迟 
JitterPercent  #为抖动时间     
ConnectAttempts #为尝试连接时间
KillDate      #为杀死进程时间
DotNetFrameworkVersion   #为.net的版本

这里我就选择默认的配置,监听器选择http的,模板也选http,.net版本为4.0,单击Generate即可成功生成

18.png

点击Download即可下载可执行文件

19.png

我们可以去靶机里测试一下上线,也方面后面的几个模块有数据好看一些,我们把常用的杀软开启试一下免杀效果。

20.png

已成功上线。

21.png

Powershell:启动方式

我们将各项配置好之后,点击Generate即可生成PowerShell代码(千万注意,.net版本一定要选目标主机所存在的版本)

22.png

在下方会有两条PowerShell语句,一条是未编码过的,一条是经过编码后的代码(编码采用的是Base64)

23.png

而后需要去Host标签页里填上路径和文件名并点击Host确定

24.png

会自动跳转到生成页面,现在我们的url和路径就会自动加载了

25.png

我们复制一条PowerShell语句去另一台靶机上执行一下

26.png

已经成功上线了

27.png

如果还有其他的几种启动方式不懂的话可以参考一下systemino大佬的博客:

https://blog.csdn.net/systemino/article/details/102901790

Grunts:

Grunts里会显示所有的受控主机,并可以像受控主机发送命令及分配任务。

28.png

我们点击相应的名称即可进入对应主机的控制页面。

Info:info标签页会显示受控主机的所有信息,在底部的Edit按钮可对其进行修改.

29.png

Interact:Interact标签内可与主机进行交互,例如执行系统命令:shellcmd ipconfig

Covenant内置了多种命令和工具都可以在此处与主机进行交互(详情见Tasks)

30.png

使用help和查看所有命令的介绍

31.png

Task:Task标签主要用来对目标该目标下发任务

我们可以选取自己所需要的的脚本来执行

32.png

我这里选择一个扫端口的来演示一下,扫描的目标和端口都可以自定义

33.png

点击Task执行,扫描的结果会在弹出的任务页里显示

34.png

同时也会在Interact里显示详情

35.png

Taskings:Taskings标签主要用来查看该主机任务分配的情况

36.png

点击各个任务的名称会显示任务详情

37.png

Templates:

在Templates里会显示现已有的Grunt通讯模板,当然如果有需要的话也可以自己添加和修改。

38.png

39.png

Tasks:

在Tasks里会显示已有的任务,例如绕过UAC、MImikatz等,可以在Grunts里与目标主机直接进行交互发送任务。同时在各个任务名称的右侧会描述出各个任务的作用。

40.png

如果有自己需要的插件可以点击Create进行添加

41.png

Taskings:

在Taskings里会显示所有Grunt里目标主机的任务分配情况,单击名称即可查看任务详情。

42.png

Graph:

在Graph里用图形化界面展示Grunts目标主机和Listeners监听器的连接关系.

43.png

Data:

在Data里会显示,凭证、指标、下载、截图

Credentials为已经在目标主机里获取到的账号密码、Hash、票据信息

44.png

Indicators为目标指标、网络指标、文件指标

45.png

Downloads为已从目标主机上下载的文件

46.png

Screenshost为已截取的目标主机桌面图

47.png

User:

在User里可以添加和管理Covenant账户

48.png

运行环境是Python2.6

用法

扫单个IP
python2 ms17_010_scan.py [single_ip]
$ python ms17_010_scan.py 192.168.206.152
[ ] [192.168.206.152] is likely VULNERABLE to MS17-010! (Windows 7 Ultimate 7600)

扫IP段
python2 ms17_010_scan.py [start_ip] [end_ip]
$ python2 ms17_010_scan.py 192.168.206.1 192.168.206.254
[ ] [192.168.206.152] is likely VULNERABLE to MS17-010! (Windows 7 Ultimate 7600)
[ ] [192.168.206.153] is likely VULNERABLE to MS17-010! (Windows 7 Ultimate 7600)
[ ] [192.168.206.154] is likely VULNERABLE to MS17-010! (Windows 7 Ultimate 7600)

另附一个FB上的现成的ms17010scan-h-n-amd64-1.exe工具

扫单个IP
ms17010scan-h-n-amd64-1.exe -h 192.168.1.1

扫IP段
ms17010scan-h-n-amd64-1.exe -n 192.168.1.0/24

下载:ms17_010_scan.zip

1、Max HacKBar

1.png

推荐理由:免费的hackbar插件,可快速使用SQL注入、XSS和Bypass等payload进行测试,可进行多种编码和解码,安装后F12即可使用。

2、FoxyProxy Standard

2.png

推荐理由:FoxyProxy是一个高级的代理管理工具,它完全替代了Firefox有限的代理功能。可自定义配置代理并快速完成代理切换。

3、Wappalyzer

3.png

推荐理由:在信息收集过程中,Wappalyzer能够分析目标网站所采用的平台构架、网站环境、服务器配置环境、JavaScript框架、编程语言等参数。

4、Shodan

4.png

推荐理由:此附加组件可检索Shodan.io收集的关于当前网站的数据,如ip、端口、国家城市等,采用的是被动式扫描,及其便捷。

5、User-Agent Switcher and Manager

5.png

推荐理由:用于修改User-Agent头信息,测试时,对于只能手机访问的网站,可直接通过此插件修改后用电脑火狐访问。内置多种User-Agent头信息,可根据需求切换。

6、Firefox Multi-Account Containers

6.png

推荐理由:此插件对于测试越权非常方便,cookie由容器分隔,允许您同时使用多个身份或帐户一同在浏览器中使用。长按创建页面的加号即可快捷使用。

7、HTTP Header Live

7.png

推荐理由:此插件可捕获网页中加载的全部网页流量数据包,点击任一数据包可对请求包进行编辑与重放。

8、Vulners Web Scanner

8.png

推荐理由:基于vulners.com漏洞数据库的微型漏洞扫描器,点击START SCAN后会自动扫描中间件及其相关漏洞。