Предыдущая часть
Следующая часть
Все части

Доброго времени суток колеги. Сегодня продолжим c вами применять различные техники доставки полезной нагрузки c применением powershell и встроенной утилиты Windows RegSVR.

Техника такой доставки полезной нагрузки очень похожа на технику Web Delivery .
Ну сразу же хотелось бы сказать, что данная техника применяется в большинстве случаев для обхода

AppLocker, но его наличия совсем не обязательно.В конце статьи я попытаюсь продемонстрировать как можно эту технику применять для инжекта в ярлыки. И так ,давайте приступим)

Сперва давайте посмотрим как работает уже готовый експлойт в метаслоте



Как видим из описания - этот експлойт поднимает на стороне атакуещего простенький веб сервер где создается вредоносный .sct файл в котором находится команда для подгрузки вредоносного скрипта на powershell,который так же размещен на этом веб сервере.

Давайте зададим ему необходимые опции и запустим:



Как видим эксплоит выдал нам команду ,которую нужно запустить на стороне жертвы.

Код:


Давайте проверим:





Как видим все очень легко и просто. Давайте посмотрим как это все работает:
Сперва посмотрим на соcданый файл .sct



Как видим это обычный XML файл который обработается библиотекой scrobj.dll ( Script Component Runtime) при скачивании .
Regsvr32 является частью ОС и может использоваться для регистрации или отмены регистрации файлов COM скриптов в реестре Windows
Но если разобрать команду по подробнее:
/s (silent) скрытая запуск, не использовать не каких сообщений на вывод.

/n -- говорит о том что не нужно использовать DllRegisterServer

/u -- отмена регистрации

/i -- отвечает за ссылку и DLLinstall
Наша XML представляет из себя VS или JS скрипт между тегами

Сам шаблон для выполнения команды выглядит так:

В этом простом примере запускается просто cmd.exe:
А в нашем примере метасплоит создал XML , где вместо cmd.exe запускается команда на павершел от веб деливери.
Со своим пейлоадом выглядит примерно так:





Думаю , что вполне легко ,по принципу прошлой моей статьи,написать генератор таких XML и закинуть такую XML где то на гитхаб или pastebin.

Какая одна из главных преимуществ этой техники ???

Мне удалось заметить - что при выполнении данной команды,жертва не видит кратковременного мелькания окна командной строки( как при обычном запуске команды для павершел).Следственно если где то прописать эту строчку в автозагрузку или куда то заинжектить - то врят ли жертва что то сможет заметить.)

Давайте я продемонстрирую как лекго можно создать вредоносный ярлык с использованием этой техники.

Сперва создадим полезную нагрузку:



Простенький генератор XML файлов





Закинем где то на гитхаб и проверим работоспособность...







Теперь давайте создадим вредоносный ярлык с помошью PowerShell:



Проверяем, запускаем ярлык и получаем сессию



Всем спасибо за внимание)

Предыдущая часть
Следующая часть
Все части