IT学习网 - 爱学习 - 最具影响力综合资讯网站 -- 中国IT界的领航者!
热门关键字:      88888  as  xxx
站外
广告
站外
广告

如何不调用PowerShell.exe获得Empire agent

发布时间:2017-08-03 22:49文章来源:互联网文章作者: 佚名点击次数:
客户端已经使用Applocker来禁用PowerShell.exe,并且我买不起Cobalt Strike。但我又想通过一个钓鱼活动来在工作站中获得一个Empire payload。对于Empire的启动方式,几乎全部都依赖PowerShell.exe的使用。其他的方式(类似msbuild.exe)需要在磁盘释放一个文件

客户端已经使用Applocker来禁用PowerShell.exe,并且我买不起Cobalt Strike。但我又想通过一个钓鱼活动来在工作站中获得一个Empire payload。对于Empire的启动方式,几乎全部都依赖PowerShell.exe的使用。其他的方式(类似msbuild.exe)需要在磁盘释放一个文件,并且我真的很喜欢regsvr32的方式,其可以通过网络来加载我的.sct文件(它也会在磁盘中释放一个文件)或者使用ducky的方式。我也很喜欢在文档中使用VBA或者HTA的方式的便捷。问题是,Empire是一个PowerShell RAT,因此必须运行PowerShell。

建议使用的方式是调用Empire.dll或者通过网络SMB共享调用Empire.exe。虽然我没有尝试这种方法,但是我确信它是有效的。对于SMB的方式,我不喜欢的地方是会有一个外连的SMB连接,在任何观察流量的防御者眼中这都是非常可疑的。

现在我需要3种payload:

1. 生成一个empire.exe

2. 生成一个empire.dll

3. 生成一个不调用powershell.exe的empire.sct

我将使用的工具和资源如下:

1. @sixdub的SharpPick代码库

2. James Foreshaw (@tiraniddo)的DotNetToJS

3. Casey Smith (@subtee)的AllTheThings

4.Visual Studio。不是必要的。你可以使用csc.exe来生成你的项目,但是我没有测试过。我选择使用Visual Studio 2010来生成PowerPick,尽管2012可能更好。据我所知,那将会下载大量东西。好处是2010/2012中包含了老的.NET库(变得越来越难找到)。

如果没有上述作者的贡献,我将无法完成这个,我非常感谢他们。下面我将将这些伟大的工作组合到一起来实现我之前未能找到过的成果。

注意:在我的研究中,我发现了两个项目也做了几乎同样的事情,他们都是使用DotNetToJScript,但是对我并不适用。

1. StarFighters (@Cn33liz)。首先,我非常喜欢通过网络运行编码过的二进制文件。这个包含了一个编码的powershell.exe,其接收并执行你的启动器的代码。我尝试了下,能得到一个Empire,但是不能执行脚本。

2. CACTUSTORCH (@vysecurity)。我也试用了这个,但是我不想注入shellcode到启动的二进制中,而且我不知道如何使用SharpPick将我的启动器转化为shellcode。它可能是可行的,只是我不知道而已。例子中,@vysecurity 的提供了使用Cobalt Strike或者Meterpreter shellcode的输出的方式。

0x01 生成一个Empire.exe

我经常看到Cobalt Strike使用“updates.exe”,它是一个定期的信号发送器。对于Empire,你能使用这种方式来做到类似的东西。将它添加到邮件内容中去,建议需要安装新的防病毒软件。或者通过WMI/psexec来运行它,或者在Outlook中作为一个内嵌的OLE对象(@tyler_robinson)。

这可能是不调用PowerShell.exe而获得一个agent的最简单的一种方式。

通过git来得到一份PowerPick的拷贝,并在Visual Studio中打开项目。

首先,你需要混淆一些项目属性。改变程序和程序集信息的名称。可以通过菜单“项目-SharpPick 属性”来做到。确保修改“输出类型”为“Windows应用程序”,以便当你双击运行或者从CLI执行后,它能在后台运行。

\

点击“程序集信息”按钮,并修改属性。

\

现在你还要将Program.cs中的代码修改如下:

\
如何不调用PowerShell.exe获得Empire agent
本文由 IT学习网 整理,转载请注明“转自IT学习网”,并附上链接。
原文链接:http://www.ourlove520.com/Article/diannao/wangluo/1032138.html

标签分类:

上一篇:上一篇:SSRF的新纪元:在编程语言中利用URL解析器
下一篇: 下一篇:没有了
无觅关联推荐,快速提升流量