专栏首页区块链安全技术命令控制之Website Keyword

命令控制之Website Keyword

文章前言

目前有各种C2C工具,其中一些使用ICMP和DNS等协议以及其他一些合法网站,如DropBox和Gmail,在DerbyCon 3.0期间, Matt Graeber和Chris Campbell介绍了一种使用网站关键字的技术,以便在系统中触发shellcode。

Powershell-C2

Matt Nelson制作了一个PowerShell 脚本(https://github.com/enigma0x3/Powershell-C2 ),该脚本使用相同的技术来获得Meterpreter会话并使用其作为命令和控制工具的所有功能,这种技术的主要好处是shellcode直接从内存执行,噪声较小,并通过注册表项实现持久性。

在这里我们使用Empire的Invoke-Shellcode.ps1来作为powershell木马文件:

之后我们在攻击主机上使用Python启动一个web服务来提供Invoke-Shellcode.ps1的下载:

之后我们需要再攻击主机上启动MSF框架并设置监听:

之后修改当PowerShell-C2脚本中的Word以及DownloadString地址:

之后在目标主机上执行C2Code.ps1(中间可能需要设置set-executionpolicy remotesigned,大多数情况会涉及到提权):

之后再攻击主机上可以看到HTTP请求记录,也就是Invoke-Shellcode的下载记录:

同时会在MSF框架中收到返回的会话:

到这里可能有人会说这有啥高科技的呢?不就是一个在powershell下隐藏执行powershell程序之后反弹shell的吗?哪里有什么隐匿的呢?当然,到这里还没有结束,我们继续往下面看!

Matt Nelson还创建了一个Office 宏,它执行相同的技术,但另外创建了一个注册表项,每次用户登录时都会执行C2Code PowerShell脚本以保持持久性:

下面我们演示一下流程,首先使用Word新建一个Word文档,选择视图->宏->查看宏:

输入任意宏名称,之后点击“创建”

之后清除编辑器内的所有宏代码,之后复制“Macro”宏代码到粘贴板,之后粘贴宏:

之后关闭宏编辑器,同时将文档另存为宏文档:

之后发送恶意文档给目标用户,当目标用户使用Word打开恶意文档并点击"启用宏"时恶意代码将成功执行:

之后在Python提供的Web服务端将会收到两次请求:

同时Meterpreter会话将打开,这里就很迷,一下可以一下不可以,暂且过:

注册表被修改

相关链接

https://github.com/enigma0x3/Powershell-C2

https://pentestlab.blog/2017/09/14/command-and-control-website-keyword/

https://enigma0x3.net/2014/01/17/command-and-control-using-powershell-and-your-favorite-website/

本文分享自微信公众号 - 七芒星实验室(HeptagramSec),作者:Al1ex

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2021-05-01

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 白话Elasticsearch58-数据建模实战_基于nested object实现博客与评论嵌套关系

    所以,直接命中了这个document,name=黄药师,age=28,在范围之内,正好符合,所以被查询出来了。

    小小工匠
  • 命令控制之Telegram

    使用涉交网络作为C2 Server有两个好处,一方面是因为社交网络的服务器稳定,另一个方面是因为在于其通信的数据可以隐藏在正常的流量中,不容易被发现,本节主要是...

    Al1ex
  • 命令控制之DropBox

    目前,许多公司使用DropBox作为共享工具和托管数据,因此对DropBox服务器的流量被限制或归类为恶意域是不常见的,由此可以通过滥用DropBox的功能并将...

    Al1ex
  • 命令控制之PowerShell

    可以发现的是有不少渗透测试工具都是用PowerShell编写的,特别是对于红队团队的活动,因为大多数现代Windows都有PowerShell,而且管理员通常不...

    Al1ex
  • 命令控制之Windows COM

    红队之间的合作越来越受欢迎,系统管理员也越来越了解工具和技术,因此避免检测是一项艰巨的任务,另一方面,红队一直在寻找使用合法流量或Windows标准功能来隐藏其...

    Al1ex
  • 用Python编写一个高效的端口扫描器

    此端口扫描器的源码,文档及详细调用方法见Github PythonPortScanner by Yaokai。

    py3study
  • Elasticsearch数据类型及其属性

    dynamic和data_detection的详解:Elasticsearch dynamic mapping(动态映射) 策略.

    双面人
  • Python爬虫抓取智联招聘(基础版)

    运行平台: Windows Python版本: Python3.6 IDE: Sublime Text 其他工具: Chrome浏览器

    IT派
  • Python爬虫之五:抓取智联招聘基础版

    运行平台: Windows Python版本: Python3.6 IDE: Sublime Text 其他工具: Chrome浏览器

    王强
  • Python | 爬虫抓取智联招聘(基础版)

    运行平台: Windows Python版本: Python3.6 IDE: Sublime Text 其他工具: Chrome浏览器

    用户1634449
  • 以『B站』为实战案例!手把手教你掌握爬虫必备框架『Scrapy』

    作为爬虫一员,掌握一门爬虫框架是必备技能,因此作为一名小白的你,我想向你推荐『Scrapy』。

    Python研究者
  • Elasticsearch SQL介绍及实例

    Elasticsearch 是一个全文搜索引擎,具有您期望的所有优点,例如相关性评分,词干,同义词等。而且,由于它是具有水平可扩展的分布式文档存储,因此它可以处...

    zhisheng
  • 监控命令之tsar

      tsar是淘宝自己开发的一个采集工具(类似于sar工具),主要用来收集服务器的系统信息(如cpu,io,mem,tcp等),以及应用数据(如squid ha...

    惨绿少年
  • 使用PowerShell自动部署ASP.NetCore程序到IIS

    Windows PowerShell 是一种命令行外壳程序和脚本环境,使命令行用户和脚本编写者可以利用 .NET Framework的强大功能。有关于更多Pow...

    Mr. Wei
  • Laravel 控制台命令行artisan

    Artisan 是 Laravel自带的命令行接口,它提供了许多实用的命令来帮助你构建Laravel 应用。要查看所有可用的 Artisan 命令的列表,可以使...

    hedeqiang
  • Linux中作业控制命令

    开门见山,最近.NET劝退师要在linux上写些长时间运行的脚本,获取Azure BlobStorage存储的数据。 记录一下Linux中后台执行作业的命令。

    小码甲
  • 使用 Serverless Framework 部署个人博客到腾讯云

    2021年年初,使用 Serverless Framework 在提腾讯云上部署了一个个人博客:serverlesslife.cn。 整体下来体会到了 Serv...

    donghui
  • scrapy之定制命令

    人生不如戏
  • Serverless 架构揭秘与静态网站部署实战(附实战源码)

    Serverless被誉为下一代云计算技术,因为其能带来研发交付速度提升与成本的降低在业内异常火爆。本文主要为大家分享 Serverless Framewor...

    腾讯云serverless团队

扫码关注云+社区

领取腾讯云代金券