PC客户端渗透CheckList

本文仅作学习记录,如有侵权,请联系删除!

前言:


作为菜狗的我突然接到两个PC客户端渗透的任务,但我完全不会啊,慌的一批。那没办法了,看来不学习不行啊,学习是为了以后能够认真地偷懒。

客户端渗透环境配置:


具体请参考:C/S客户端渗透测试(一)客户端渗透环境配置

成功配置以后,最后打开客户端,界面如下所示:

  • C/S架构中常用协议:

TCP、HTTP(S)、TDS(SQL Server和Sybase数据库所采用)

  • C/S架构中常用架构:二层架构三层架构

二层架构是客户端和数据库直连,大多数应用程序的处理将在客户端进行,数据库负责存储所有数据,这种结构被认为是很不安全的。

三层架构:大多数的处理是在服务器端完成,相对于二层架构风险相对较小

CheckList:


补充:

当发现某个PC软件有登录框时,若为二层架构客户端直接跟数据库交互,数据包里一定(可能)夹杂着数据库的账号密码,若数据包中未找到账号密码,则应该在软件本身或者在目录下某个配置文件中,可将软件托进IDA分析,数据库账号和密码理应在一起写入内存

信息收集:

编译信息,开发环境/语言,使用协议,数据库,ip,混淆/加密,是否加壳等。

  • 查看客户端信息(如编译环境):
  • 配置文件敏感信息泄露:

可以根据AES的密钥和IV来解密数据库密码

源代码硬编码信息泄露:

  • 查看是否加壳:

通过PEiD查看程序是否加壳

可以看到并未加壳。

+ 登录测试:
    1. 检查登录后用户密码有没有保存在注册表中
    1. 检查用户密码有没有残留在内存中
    1. 检查有没有将用户密码保存在本地
    1. 检查调试日志中有没有泄露敏感数据
    1. SQL注入
  • 注册表内存在敏感数据:

注册表内存在敏感数据是Windows桌面应用程序最常见的一个漏洞。注册表中可能保存了用户的登录密码、支付密码,也可能保存了手机号、身份证等敏感个人数据。

测试方法:利用regshot比较客户端运行(如登录)前后注册表差别:

登录前,先保存第一份注册表快照:

登录之后保存第二份注册表快照:

将两份快照进行比对:

  • 客户端内存中的敏感数据

使用Process Hacker双击选中我们要查看的程序:

选中Memory,点击Strings...

默认点击确定即可:

点击Filter,输入password

发现用户名密码以及SQL语句泄露:

  • 本地静态文件信息泄露:

当用户登录成功后,登录的用户名密码会被保存:

  • 调试日志中存在敏感数据:
DVTA.exe > test.log

程序调试日志中泄露了登录密码和数据库用户密码:

  • SQL注入:

虽然说我看不懂源码,但是sql语句我会看啊,可以发现用户可控的参数内容没有进行任何的过滤处理:

成功登录:

客户端流量分析:


  1. 如果是HTTP流量,可通过Proxifier将流量转发给Burp Suite
  2. 如果是TCP流量,利用Echo Mirage或者TCP View,再配合WireShark去捕获流量
  • Echo Mirage:

单击rules,我们可以看到有两条默认的规则,我们要拦截的DVTA的FTP流量,发往192.168.107.181的21端口,据此添加一条出方向的规则,并开启

从“Process”->“Inject”选择要监听的程序DVTA,并尝试进行登录:

  • TCPView:

我们可以优先运行TCPView查看应用程序连接的服务器地址是多少:

之后我们就可以使用wireshark过滤目的IP地址,仔细分析客户端和服务器之间发送的数据。

  • 明文传输:

SQL语句明文传输,可能被利用构造注入、越权等漏洞:

  • DLL劫持:

安全DLL查找模式默认是启用的,禁用的话,可以将注册表项HKEYLOCALMACHINE\System\CurrentControlSet\Control\Session Manager\SafeDllSearchMode设为0。调用SetDllDirectory函数可以禁用安全DLL查找模式,并修改DLL查找顺序。

系统标准DLL查找顺序:

a. 应用程序所在目录;
b. 系统目录。GetSystemDirectory返回的目录,通常是系统盘\Windows\System32;
c. 16位系统目录。该项只是为了向前兼容的处理,可以不考虑;
d. Windows目录。GetWindowsDirectory返回的目录,通常是系统盘\Windows;
e. 当前目录。GetCurrentDirectory返回的目录;
f. 环境变量PATH中所有目录。

如果安全DLL查找模式被禁用,查找顺序如下:

a. 应用程序所在目录;
b. 当前目录。GetCurrentDirectory返回的目录;
c. 系统目录。GetSystemDirectory返回的目录,通常是系统盘\Windows\System32;
d. 16位系统目录。该项只是为了向前兼容的处理,可以不考虑;
e. Windows目录。GetWindowsDirectory返回的目录,通常是系统盘\Windows;
f. 环境变量PATH中所有目录

补充:
Windows XP下,"安全DLL查找模式"默认是禁用的,需要启用该项的话,在注册表中新建一个SafeDllSearchMode子项,并赋值为1即可。"安全DLL查找模式"从Windows XP SP2开始,默认是启用的

利用process hacker或者procmon或者ProcessExplorer搜索程序加载的dll:

发现加载的DWrite.dll在系统目录下:

我们可以生成恶意dll放置于程序加载位置,运行程序即可触发payload:

msfvenom -p windows/exec CMD=calc.exe -f dll -o DWrite.dll

当运行DVTA时就学会弹出计算器:

补充:


找文件交互的地方,然后利用windows的特性,shift+右键来打开终端
详情请参考:记一次hw中的上线骚姿势(异速联+用友U8)

参考如下:


C/S客户端渗透测试(一)客户端渗透环境配置
CS客户端渗透测试(二)信息收集与流量分析
CS客户端渗透测试详解(三)

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
禁止转载,如需转载请通过简信或评论联系作者。
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 204,793评论 6 478
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 87,567评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 151,342评论 0 338
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,825评论 1 277
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,814评论 5 368
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,680评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,033评论 3 399
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,687评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 42,175评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,668评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,775评论 1 332
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,419评论 4 321
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,020评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,978评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,206评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,092评论 2 351
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,510评论 2 343

推荐阅读更多精彩内容