Skip to content

Commit

Permalink
weekly update at 2024-11-18
Browse files Browse the repository at this point in the history
  • Loading branch information
@0x7Fancy
0x7Fancy committed Nov 18, 2024
1 parent d2f8d8b commit 4144b48
Show file tree
Hide file tree
Showing 12 changed files with 852 additions and 62 deletions.
44 changes: 22 additions & 22 deletions README.md
View file

Large diffs are not rendered by default.

50 changes: 47 additions & 3 deletions allprojects.md
View file
Original file line number Diff line number Diff line change
Expand Up @@ -28,6 +28,8 @@
* [ct](#ct)
* [ZoomEye-Tools](#zoomeye-tools)
* [ZoomEye-go](#zoomeye-go)
* [vultrap](#vultrap)
* [xtate](#xtate)

* [漏洞探测/vulnerability_assessment](#漏洞探测vulnerability_assessment)
* [afrog](#afrog)
Expand All @@ -52,6 +54,7 @@
* [Antenna](#antenna)
* [Redis-Rogue-Server](#redis-rogue-server)
* [Cola-Dnslog](#cola-dnslog)
* [GrabAccess](#grabaccess)
* [MysqlT](#mysqlt)

* [信息分析/information_analysis](#信息分析information_analysis)
Expand Down Expand Up @@ -82,6 +85,7 @@
* [BinAbsInspector](#binabsinspector)
* [Heimdallr](#heimdallr)
* [passive-scan-client](#passive-scan-client)
* [GrabAccess](#grabaccess)
* [wam](#wam)
* [LBot](#lbot)

Expand Down Expand Up @@ -245,7 +249,7 @@ Hades 是一款支持 Windows/Linux 的内核级别数据采集主机入侵检
![Author](https://img.shields.io/badge/Author-gh0stkey-orange)
![Language](https://img.shields.io/badge/Language-Java-blue)
![GitHub stars](https://img.shields.io/github/stars/gh0stkey/HaE.svg?style=flat&logo=github)
![Version](https://img.shields.io/badge/Version-V3.3.3-red)
![Version](https://img.shields.io/badge/Version-V3.4-red)

<https://github.com/gh0stkey/HaE>

Expand Down Expand Up @@ -341,14 +345,34 @@ ct 是一款使用 rust 语言进行开发,并且基于ZoomEye域名查询以

ZoomEye-go 是一款基于 ZoomEye API 开发的 Golang 库,提供了 ZoomEye 命令行模式,同时也可以作为SDK集成到其他工具中。该库可以让技术人员更便捷地搜索、筛选、导出 ZoomEye 的数据。

### [vultrap](detail/vultrap.md)
![Author](https://img.shields.io/badge/Author-liqzz-orange)
![Language](https://img.shields.io/badge/Language-Python-blue)
![GitHub stars](https://img.shields.io/github/stars/liqzz/vultrap.svg?style=flat&logo=github)
![Version](https://img.shields.io/badge/Version-V0.0.1-red)

<https://github.com/liqzz/vultrap>

在开源领域,从来不缺少优秀的漏洞POC框架和POC,现今情况下,当有相关漏洞的漏洞情报出现的时候,其用于漏洞的验证的POC代码或利用请求都会很快的被公布在互联网上,比如Nuclei等漏洞检测框架也会即时得跟进新的漏洞,并以漏洞检测模板的形式进行更新,如nuclei 的nuclei-temaplte 仓库几乎每天都会出现新的漏洞需求和检测模板提交。对于漏洞检测模板而言,其主要目的用来验证目标是否存在漏洞,但仔细了解漏洞检测的机制之后,漏洞检测大多数情况下实际就是构造请求和判断响应的过程,那么基于次,是否可以反向思维,通过判断漏洞验证的请求来返回迷惑性的结果,扰乱扫描器的判断呢,其实本质还是honeypot的思路,也可以称“漏洞伪装”,也是本项目 vultrap的实现背景。

### [xtate](detail/xtate.md)
![Author](https://img.shields.io/badge/Author-sharkocha-orange)
![Language](https://img.shields.io/badge/Language-C-blue)
![GitHub stars](https://img.shields.io/github/stars/sharkocha/xtate.svg?style=flat&logo=github)
![Version](https://img.shields.io/badge/Version-V2.4.6-red)

<https://github.com/sharkocha/xtate>

Xtate是面向互联网规模网络测量的模块化全栈扫描器(框架)。利用自研的应用层无状态扫描模型ZBanner和混合状态轻量级TCP协议栈HLTCP实现异步高速扫描。与已有的无状态端口扫描器只能探测端口是否开放不同,Xtate基于应用层无状态扫描模型,在千兆带宽下能够在6分钟内完成中国大陆地址集中所有80端口的开放性检测和Banner抓取。基于HLTCP用户态协议栈实现和TLS支持,Xtate也能够在有状态模式下执行多轮数据交互的高速扫描,包括TLS上层服务Banner抓取。Xtate框架提供统一接口以自定义模块实现不同的扫描任务,专注于大规模网络的协议层面测量(包括传输层、应用层和TLS上层服务),具有坚实的底层高速异步数据包收发机制,期望为学术和实践领域中大规模网络测量的各种算法和任务提供承载平台。



## 漏洞探测/vulnerability_assessment
### [afrog](detail/afrog.md)
![Author](https://img.shields.io/badge/Author-zan8in-orange)
![Language](https://img.shields.io/badge/Language-Golang-blue)
![GitHub stars](https://img.shields.io/github/stars/zan8in/afrog.svg?style=flat&logo=github)
![Version](https://img.shields.io/badge/Version-V3.1.1-red)
![Version](https://img.shields.io/badge/Version-V3.1.2-red)

<https://github.com/zan8in/afrog>

Expand Down Expand Up @@ -411,7 +435,7 @@ dperf 是一个100Gbps的网络性能与压力测试软件。国内多个知名
![Author](https://img.shields.io/badge/Author-cdkteam-orange)
![Language](https://img.shields.io/badge/Language-Golang-blue)
![GitHub stars](https://img.shields.io/github/stars/cdk-team/CDK.svg?style=flat&logo=github)
![Version](https://img.shields.io/badge/Version-V1.5.3-red)
![Version](https://img.shields.io/badge/Version-V1.5.4-red)

<https://github.com/cdk-team/CDK>

Expand Down Expand Up @@ -547,6 +571,16 @@ Redis 4.x/Redis 5.x RCE利用脚本. 项目最初来源于 <https://github.com/n

Cola Dnslog 是一款更加强大的dnslog平台(无回显漏洞探测辅助平台),支持dns http ldap rmi等协议,提供API调用方式便于与其他工具结合,支持钉钉机器人、Bark等提醒,并支持docker一键部署。

### [GrabAccess](detail/GrabAccess.md)
![Author](https://img.shields.io/badge/Author-Push3AX-orange)
![Language](https://img.shields.io/badge/Language-C-blue)
![GitHub stars](https://img.shields.io/github/stars/Push3AX/GrabAccess.svg?style=flat&logo=github)
![Version](https://img.shields.io/badge/Version-V1.1-red)

<https://github.com/Push3AX/GrabAccess>

GrabAccess:Bookit/Windows登陆密码和Bitlocker绕过工具,在物理接触目标计算机的情况下,GrabAccess可以:绕过Windows登陆密码执行任意操作(以System权限执行命令、重置Windows账户密码等),植入木马并添加自启动(可以绕过Bitlocker,但要求受害者登录),通过修改主板UEFI固件实现无视重装系统、更换硬盘的持久化(Bootkit)

### [MysqlT](detail/MysqlT.md)
![Author](https://img.shields.io/badge/Author-BeichenDream-orange)
![Language](https://img.shields.io/badge/Language-C%23-blue)
Expand Down Expand Up @@ -796,6 +830,16 @@ BinAbsInspector(Binary Abstract Inspector)是一款用于自动化逆向工程

Passive Scan Client是一款可以将经过筛选的流量转发到指定代理的Burp被动扫描流量转发插件

### [GrabAccess](detail/GrabAccess.md)
![Author](https://img.shields.io/badge/Author-Push3AX-orange)
![Language](https://img.shields.io/badge/Language-C-blue)
![GitHub stars](https://img.shields.io/github/stars/Push3AX/GrabAccess.svg?style=flat&logo=github)
![Version](https://img.shields.io/badge/Version-V1.1-red)

<https://github.com/Push3AX/GrabAccess>

GrabAccess:Bookit/Windows登陆密码和Bitlocker绕过工具,在物理接触目标计算机的情况下,GrabAccess可以:绕过Windows登陆密码执行任意操作(以System权限执行命令、重置Windows账户密码等),植入木马并添加自启动(可以绕过Bitlocker,但要求受害者登录),通过修改主板UEFI固件实现无视重装系统、更换硬盘的持久化(Bootkit)

### [wam](detail/wam.md)
![Author](https://img.shields.io/badge/Author-knownsec404-orange)
![Language](https://img.shields.io/badge/Language-Python-blue)
Expand Down
29 changes: 15 additions & 14 deletions detail/CDK.md
View file
Original file line number Diff line number Diff line change
Expand Up @@ -3,7 +3,7 @@
![Language](https://img.shields.io/badge/Language-Golang-blue)
![Author](https://img.shields.io/badge/Author-cdkteam-orange)
![GitHub stars](https://img.shields.io/github/stars/cdk-team/CDK.svg?style=flat&logo=github)
![Version](https://img.shields.io/badge/Version-V1.5.3-red)
![Version](https://img.shields.io/badge/Version-V1.5.4-red)
![Time](https://img.shields.io/badge/Join-20210223-green)
<!--auto_detail_badge_end_fef74f2d7ea73fcc43ff78e05b1e7451-->

Expand Down Expand Up @@ -208,6 +208,20 @@ cdk ps

## 最近更新

#### [v1.5.4] - 2024-11-15

**更新**
- 修复合并目录在路径中出现两次的问题
- 修复添加测试 poc,Github Action 中出现未知错误的问题
- 优化漏洞列表的输出
- 在所有漏洞中添加类型字符串
- 修复 github action 检查因未知问题而失败的问题
- 添加漏洞的基本结构
- 重新组织漏洞包中的 exp 文件
- 在 cmd 行中运行二进制本机 kubectl 的保留路径
- 修复在路径中找不到 gox 的问题
- 修复使用了弃用版本而自动失败的问题

#### [v1.5.3] - 2024-05-19

**更新**
Expand Down Expand Up @@ -240,17 +254,4 @@ cdk ps
- 为 lxcfs-rw/lxcfs-rw-cgroup 添加推荐信息
- 新增高亮显示所有的挂载信息

#### [v1.3.0] - 2022-07-10

**Exploits**
- 为 ParseCDKMain 添加单元测试
- 新增'Exploit container escape with kubelet log access & /var/log mount'
- 新增 kubelet 默认未授权访问利用(端口10250)

**Others**
- 在 github action 中新增了 go test
- 支持 linux 容器获取网关
- 更新文档,新增了 快速开始 章节
- 新增在 pods 中获取网关

<!--auto_detail_active_end_f9cf7911015e9913b7e691a7a5878527-->
173 changes: 173 additions & 0 deletions detail/GrabAccess.md
View file
Original file line number Diff line number Diff line change
@@ -0,0 +1,173 @@
## GrabAccess <https://github.com/Push3AX/GrabAccess>
<!--auto_detail_badge_begin_0b490ffb61b26b45de3ea5d7dd8a582e-->
![Language](https://img.shields.io/badge/Language-C-blue)
![Author](https://img.shields.io/badge/Author-Push3AX-orange)
![GitHub stars](https://img.shields.io/github/stars/Push3AX/GrabAccess.svg?style=flat&logo=github)
![Version](https://img.shields.io/badge/Version-V1.1-red)
![Time](https://img.shields.io/badge/Join-20240805-green)
<!--auto_detail_badge_end_fef74f2d7ea73fcc43ff78e05b1e7451-->

## GrabAccess

**Bookit / Windows登陆密码和Bitlocker绕过工具**

------

[**中文**](https://github.com/Push3AX/GrabAccess/blob/main/readme_cn.md) | [English](https://github.com/Push3AX/GrabAccess/blob/main/readme.md)

在物理接触的情况下,GrabAccess可以:

1. 绕过Windows登陆密码执行任意操作(以System权限执行命令、重置Windows账户密码等)
2. 植入木马并添加自启动(可以绕过Bitlocker,但要求受害者登录)
3. 通过修改主板UEFI固件实现无视重装系统、更换硬盘的持久化(Bootkit)



## 快速开始

GrabAccess最基础的功能是绕过Windows登录密码。

1. 准备一个U盘。(需为`FAT16``FAT32`格式)

2. 下载[GrabAccess_Release.zip](https://github.com/Push3AX/GrabAccess/releases/download/Version1.1/GrabAccess_Release_1.1.0.zip),解压到U盘根目录。

![1](https://raw.githubusercontent.com/Push3AX/GrabAccess/main/images/1.png)

3. 将U盘插入目标计算机。重启,在启动时进入BIOS菜单。选择从U盘启动(如果开启了`Security Boot`,还需将其设置为`DISABLE`).

![2](https://raw.githubusercontent.com/Push3AX/GrabAccess/main/images/2.png)

4. 在Windows启动时会弹出CMD窗口和账户管理窗口,可以System权限执行任意命令而无需登录。

![3](https://raw.githubusercontent.com/Push3AX/GrabAccess/main/images/3.png)

5. 按下`ALT+F4`关闭CMD窗口后,Windows回到登陆界面。



## 自动化植入(支持绕过 Bitlocker)

GrabAccess可以自动植入指定的程序,并为其添加启动项。

要使用该功能,需要预先将GrabAccess与要植入的程序打包:

1. 下载[GrabAccess_Release.zip](https://github.com/Push3AX/GrabAccess/releases/download/Version1.1/GrabAccess_Release_1.1.0.zip),解压并放置在U盘根目录。

2. 将需要植入的程序命名为`payload.exe`,放置在U盘根目录。

3. 运行`build.bat`进行打包。

![4](https://raw.githubusercontent.com/Push3AX/GrabAccess/main/images/4.png)

4. 将U盘插入目标计算机、从U盘启动(与前文相同)

5. Windows启动后即可看到指定的程序。

![5](https://raw.githubusercontent.com/Push3AX/GrabAccess/main/images/5.png)

该植入过程可以绕过Bitlocker的系统盘加密。

从含有GrabAccess的U盘启动后,GrabAccess就会写入到内存中。此时可以拔出U盘,但需要停留在Bitlocker输入密码的界面,等待受害者返回输入密码。当Bitlocker解锁之后,指定的程序会被写入磁盘。但在这之前,由于GrabAccess仅停留在内存,如果重启或关机,GrabAccess将会失效。



## 修改主板UEFI固件实现Bootkit

GrabAccess可以被植入到计算机主板的UEFI固件。实现硬件级别的持久化(Bootkit)。

每次Windows系统启动时,GrabAccess会植入指定的程序,即使重装系统或更换硬盘之后也会重新植入。要移除它,只能刷写主板固件或更换主板。

**警告:以下操作可能损坏主板!必须对UEFI固件有一定了解才可继续。AT YOUR OWN RISK !!!!**

要实现这一功能,大致分为四步:

1. 将GrabAccess与要植入的程序打包
2. 提取主板UEFI固件
3. 向UEFI固件插入GrabAccessDXE
4. 将固件刷回主板

不同主板的第2和第4步有较大不同。部分主板可以通过软件方式刷新固件,但也有部分主板存在校验,只能使用编程器刷新。因差异众多,在此不深入讨论,读者可以自行在网上搜索某型号主板对应的方式。

将GrabAccess与要植入的程序打包的方式与前文相同,即:将需要植入的程序命名为payload.exe,放置在GrabAccess的根目录,运行build.bat进行打包。结束后得到`native.exe`,稍后将会用到。

在提取到主板UEFI固件后,使用[UEFITool](https://github.com/LongSoft/UEFITool)打开,按下`Ctrl+F`,选择`Text`,搜索`pcibus`,在下方双击搜索到的第一项。

![6](https://raw.githubusercontent.com/Push3AX/GrabAccess/main/images/6.png)

`pcibus`这一项上右键,选择`Insert before`,然后选取[GrabAccess_Release.zip](https://github.com/Push3AX/GrabAccess/releases/download/Version1.1/GrabAccess_Release_1.1.0.zip)`UEFI_FSS`文件夹的`GrabAccessDXE.ffs`

![7](https://raw.githubusercontent.com/Push3AX/GrabAccess/main/images/7.png)

插入`GrabAccessDXE`后,在`GrabAccessDXE`上右键,选择`Insert before`,插入`UEFI_FSS`文件夹的`native.ffs`。此时应该如下所示:

![8](https://raw.githubusercontent.com/Push3AX/GrabAccess/main/images/8.png)

双击展开`native.ffs`(它没有名字,但GUID是`2136252F-5F7C-486D-B89F-545EC42AD45C`),在`Raw section`上右键,选择`Replace body`,然后选取前文中生成的`native.exe`进行替换。

![9](https://raw.githubusercontent.com/Push3AX/GrabAccess/main/images/9.png)

最后,点击File菜单的`Save image file`,保存固件到文件。

这份固件已经成功植入了Bootkit,将其刷回主板。如果一切顺利,在每一次Windows启动过程中,`native.exe`都会被写入并执行。

如果没有成功,可以尝试以下操作:

1. 关闭UEFI设置中的`Security Boot``CSM`,确定操作系统是通过UEFI模式加载的。
2. 向固件插入`UEFI_FSS`文件夹下的`pcddxe.ffs`(方法同前文。但注意,这个模块可能会与其它模块冲突造成不能开机,仅建议在使用编程器的情况下尝试!)



## 系统支持情况

GrabAccess仅支持UEFI引导下的Windows系统,目前仅支持x64系统。

已测试Windows 10 (1803, 22H2)和Windows 11(23H2)。包括使用了TPM、联网账户、Pin码的情况。但不支持绕过Security Boot。



# 原理解析

## Windows Platform Binary Table

和Kon-boot篡改Windows内核不同,GrabAccess的工作原理,源自于Windows的一项合法后门:WPBT(Windows Platform Binary Table)。

WPBT常用于计算机制造商植入驱动管理软件、防丢软件。类似Bootkit病毒,一旦主板中存在WPBT条目,无论是重装系统还是更换硬盘,只要使用Windows系统,开机后都会被安装指定程序。

WPBT的原始设计,应当是由生产商在主板的UEFI固件中插入一个特定的模块实现。但是,通过劫持UEFI的引导过程,攻击者可以插入WPBT条目,而无需修改主板固件。



## GrabAccess做了什么

GrabAccess包含两个部分。

其一是用于写入WPBT条目的UEFI应用程序,即源码中的Stage1-UEFI。它们用于在UEFI环境下向ACPI表写入WPBT条目。

其二是一个Windows Native Application,即源码中的Stage2-NativeNT,用于写出最终Payload和添加启动项。



## Native Application做了什么

WPBT所加载的应用程序,并非常规的Win32程序。而是一个Windows Native Application。它在Windows Native NT阶段执行,早于用户登录。但是Windows提供给Native APP的API,也少于Win32程序。

源码中的Stage2-NativeNT负责将其末尾的最终Payload(即用户打包的指定程序)写出到`C:\\Windows\\System32\\GrabAccess.exe`,并为其添加启动项`HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\GrabAccess`

如果其末尾没有Payload,则通过IFEO劫持Logonui.exe,在Windows登录时显示cmd.exe和netplwiz.exe



## Credits

1. [Windows Platform Binary Table (WPBT) ](https://download.microsoft.com/download/8/a/2/8a2fb72d-9b96-4e2d-a559-4a27cf905a80/windows-platform-binary-table.docx)
2. [WPBT-Builder ](https://github.com/tandasat/WPBT-Builder)
3. [Windows Native App by Fox](http://fox28813018.blogspot.com/2019/05/windows-platform-binary-table-wpbt-wpbt.html)


<!--auto_detail_active_begin_e1c6fb434b6f0baf6912c7a1934f772b-->
## 项目相关


## 最近更新

<!--auto_detail_active_end_f9cf7911015e9913b7e691a7a5878527-->
21 changes: 11 additions & 10 deletions detail/HaE.md
View file
Original file line number Diff line number Diff line change
Expand Up @@ -3,7 +3,7 @@
![Language](https://img.shields.io/badge/Language-Java-blue)
![Author](https://img.shields.io/badge/Author-gh0stkey-orange)
![GitHub stars](https://img.shields.io/github/stars/gh0stkey/HaE.svg?style=flat&logo=github)
![Version](https://img.shields.io/badge/Version-V3.3.3-red)
![Version](https://img.shields.io/badge/Version-V3.4-red)
![Time](https://img.shields.io/badge/Join-20210120-green)
<!--auto_detail_badge_end_fef74f2d7ea73fcc43ff78e05b1e7451-->

Expand Down Expand Up @@ -74,6 +74,16 @@ HaE目前的规则一共有8个字段,详细的含义如下所示:

## 最近更新

#### [v3.4] - 2024-11-16

**功能更新**
- 优化HaE官方规则库规则
- 优化UI显示界面和布局,对用户可视化操作更友好
- 新增Mode开关,开启则支持高亮和备注,关闭则提高性能

**问题修复**
- 修复汉化补丁下搜索功能失效问题

#### [v3.3.3] - 2024-09-19

**功能更新**
Expand Down Expand Up @@ -116,13 +126,4 @@ HaE目前的规则一共有8个字段,详细的含义如下所示:
- 修复HaE在暗黑主题下加载的Logo颜色问题
- 修复项目数据导入、导出提示框过大问题

#### [v3.2.2] - 2024-06-19

**更新**
- 修复Databoard长时间查询界面错乱问题
- 修复Databoard在Windows下复制截断问题
- 修复Databoard查询数据数量随机问题
- 优化Databoard清空数据逻辑
- 优化HTTP消息处理逻辑

<!--auto_detail_active_end_f9cf7911015e9913b7e691a7a5878527-->
Loading

0 comments on commit 4144b48

Please sign in to comment.