Shells - Windows
Try Hard Security Group
Lolbas
Η σελίδα lolbas-project.github.io είναι για Windows όπως το https://gtfobins.github.io/ είναι για Linux. Φυσικά, δεν υπάρχουν αρχεία SUID ή προνόμια sudo στα Windows, αλλά είναι χρήσιμο να γνωρίζετε πώς μερικά εκτελέσιμα αρχεία μπορούν να χρησιμοποιηθούν (κατ) για να εκτελέσουν κάποιες μη αναμενόμενες ενέργειες όπως εκτέλεση αυθαίρετου κώδικα.
NC
SBD
sbd είναι μια φορητή και ασφαλής εναλλακτική λύση για το Netcat. Λειτουργεί σε συστήματα παρόμοια με Unix και Win32. Με χαρακτηριστικά όπως ισχυρή κρυπτογράφηση, εκτέλεση προγραμμάτων, προσαρμοζόμενες πηγές θυρών και συνεχή επανασύνδεση, το sbd παρέχει μια ευέλικτη λύση για την επικοινωνία TCP/IP. Για τους χρήστες των Windows, η έκδοση sbd.exe από τη διανομή Kali Linux μπορεί να χρησιμοποιηθεί ως αξιόπιστη αντικατάσταση για το Netcat.
Πυθών
Perl
Ruby
Lua
OpenSSH
Επιτιθέμενος (Kali)
Θύμα
Powershell
Διεργασία που εκτελεί κλήση δικτύου: powershell.exe Φορτίο γραμμένο στον δίσκο: ΟΧΙ (τουλάχιστον πουθενά που μπόρεσα να βρω χρησιμοποιώντας το procmon!)
Διεργασία που εκτελεί κλήση δικτύου: svchost.exe Φορτίο γραμμένο στον δίσκο: Τοπική μνήμη cache του πελάτη WebDAV
Μια γραμμή:
Λάβετε περισσότερες πληροφορίες σχετικά με διαφορετικά κελύφη Powershell στο τέλος αυτού του εγγράφου
Mshta
Παράδειγμα αντίστροφου κέλυφους hta-psh (χρησιμοποιήστε το hta για να κατεβάσετε και να εκτελέσετε το PS backdoor)
Μπορείτε εύκολα να κατεβάσετε και να εκτελέσετε ένα zombie του Koadic χρησιμοποιώντας το stager hta
παράδειγμα hta
mshta - sct
Mshta - Metasploit
Ανιχνεύτηκε από τον defender
Rundll32
Ανιχνεύτηκε από τον defender
Rundll32 - sct
Rundll32 - Metasploit
Rundll32 - Koadic
Regsvr32
Ανιχνεύτηκε από τον defender
Regsvr32 -sct
Regsvr32 - Metasploit
Μπορείτε εύκολα να κατεβάσετε και να εκτελέσετε ένα Koadic zombie χρησιμοποιώντας το stager regsvr
Certutil
Κατεβάστε ένα B64dll, αποκωδικοποιήστε το και εκτελέστε το.
Κατεβάστε ένα B64exe, αποκωδικοποιήστε το και εκτελέστε το.
Ανιχνεύθηκε από τον defender
Cscript/Wscript
Cscript - Metasploit
Ανιχνεύθηκε από τον αμυντικό
Εκτέλεση-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολών-Εντολ
Διεργασία που εκτελεί κλήση δικτύου: svchost.exe Φορτίο γραμμένο στον δίσκο: Τοπική μνήμη cache του πελάτη WebDAV
Ανιχνεύθηκε από τον defender
MSIExec
Επιτιθέμενος
Θύμα:
Εντοπίστηκε
Wmic
Παράδειγμα αρχείου xsl εδώ:
Μην ανιχνεύεται
Μπορείτε να κατεβάσετε & εκτελέσετε πολύ εύκολα ένα Koadic zombie χρησιμοποιώντας το στάδιο wmic
Msbuild
Μπορείτε να χρησιμοποιήσετε αυτήν την τεχνική για να παρακάμψετε τον έλεγχο λευκής λίστας εφαρμογών και τους περιορισμούς του Powershell.exe. Θα σας ζητηθεί να εκτελέσετε ένα PS shell. Απλά κατεβάστε αυτό και εκτελέστε το: https://raw.githubusercontent.com/Cn33liz/MSBuildShell/master/MSBuildShell.csproj
Μην ανιχνεύθηκε
CSC
Συντάξτε κώδικα C# στη μηχανή του θύματος.
Μπορείτε να κατεβάσετε ένα βασικό αντίστροφο κέλυφος C# από εδώ: https://gist.github.com/BankSecurity/55faad0d0c4259c623147db79b2a83cc
Δεν εντοπίστηκε
Regasm/Regsvc
Δεν το έχω δοκιμάσει
https://gist.github.com/Arno0x/71ea3afb412ec1a5490c657e58449182
Odbcconf
Δεν το έχω δοκιμάσει
https://gist.github.com/Arno0x/45043f0676a55baf484cbcd080bbf7c2
Κέλυφη Powershell
PS-Nishang
https://github.com/samratashok/nishang
Στον φάκελο Shells, υπάρχουν πολλά διαφορετικά κελύφη. Για να κατεβάσετε και να εκτελέσετε το Invoke-PowerShellTcp.ps1 κάντε αντιγραφή του σεναρίου και προσθέστε στο τέλος του αρχείου:
Ξεκινήστε την εξυπηρέτηση του script σε έναν web server και εκτελέστε το στο τέλος του θύματος:
Ο Defender δεν το ανιχνεύει ως κακόβουλο κώδικα (ακόμα, 3/04/2019).
TODO: Ελέγξτε άλλα nishang shells
PS-Powercat
https://github.com/besimorhino/powercat
Λήψη, εκκίνηση ενός διακομιστή web, εκκίνηση του ακροατή και εκτέλεση στο τέλος του θύματος:
Ο Defender δεν το ανιχνεύει ως κακόβουλο κώδικα (ακόμα, 3/04/2019).
Άλλες επιλογές που προσφέρει το powercat:
Συνδέσεις bind, Αντίστροφη σύνδεση (TCP, UDP, DNS), Ανακατεύθυνση θύρας, Μεταφόρτωση/Λήψη, Δημιουργία φορτίων, Υπηρεσία αρχείων...
Empire
https://github.com/EmpireProject/Empire
Δημιουργήστε έναν εκκινητή powershell, αποθηκεύστε τον σε ένα αρχείο και κατεβάστε και εκτελέστε τον.
Ανιχνεύτηκε ως κακόβουλος κώδικας
MSF-Unicorn
https://github.com/trustedsec/unicorn
Δημιουργήστε μια έκδοση powershell του backdoor του metasploit χρησιμοποιώντας το unicorn
Ξεκινήστε το msfconsole με το δημιουργημένο resource:
Ξεκινήστε έναν διακομιστή web που θα εξυπηρετεί το αρχείο powershell_attack.txt και εκτελέστε στο θύμα:
Ανιχνεύθηκε ως κακόβουλος κώδικας
Περισσότερα
PS>Attack Κονσόλα PS με ορισμένα επιθετικά PS modules προφορτωμένα (κρυπτογραφημένα) https://gist.github.com/NickTyrer/92344766f1d4d48b15687e5e4bf6f9 WinPWN Κονσόλα PS με ορισμένα επιθετικά PS modules και ανίχνευση proxy (IEX)
Αναφορές
Last updated