限 时 特 惠: 本站每日持续稳定更新内部创业教程,一年会员只需98元,全站资源免费下载 点击查看详情
站 长 微 信: muyang-0410
本文将概述在不使用 .exe 的情况下运行 脚本和命令的最佳工具。
在过去的几个月里,我通过观察攻击者以及随之而来的杀毒软件的移动情况后,我打算写这篇文章给所有的渗透测试人员和红队成员,他们正在寻找在后漏洞利用阶段使用 脚本或命令行的最佳技术,而不需要运行 .exepowershell.exe,从而避免被下一代杀毒软件、 EDR 或蓝队或威胁追踪团队捕获。
在网上,我花了一些时间尝试和分析适合这个目的的不同工具。对于每一个工具,我都给出了我个人的评分。请让我知道你的想法以及你的经验或其他与文本提到的类似的工具。下面是本文中测试的工具列表:
·→得分: 9
·NPS — Not →得分: 4
·→得分: 7
·→得分: 5
·→得分: 6
·rver→得分:7
工具分析
Brian (@)创建的非常好的实用程序,可以直接调用 脚本而不需要调用 程序。这个工具是用 C# 编写的,可以完全通过命令行使用,包括远程使用。简而言之,你可以使用已经存在的 脚本,而无需使用 .exe。 的主要特点有:
·易于部署和构建——不需要
·能够自动检测 Win7或 Win10系统
·能够作为 终端使用
·能够通过 XML 设置指定要包含的远程脚本(脚本保留在内存中)
·能够在每次构建中生成并用于异或(XOR) 脚本的随机字节
下面是使用详情:
一旦在计算机上实现了远程代码执行,获得一个令人满意的后漏洞利用是非常重要的。运行一系列 工具来促进这项工作是很有意思的,比如: 、 、 、 、 等等。
为了方便起见,下面的截图是我从 中截取的。同样的命令可以直接从 CMD 启动,从而完全避免在首次编译阶段也使用 PS。
部署
部署非常简单且模块化。要拥有一个功能版本的 ,必须遵循以下步骤:
·下载代码储存库:
·运行 build.bat文件
build.bat 运行后的输出内容
·更新 .xml使其包含你想要包含的脚本的 URL
包含自定义的 ps1 脚本的 .xml 文件
·运行 .exe文件
· 现在 .exe就会创建程序,并包含你指定的所有脚本,这些脚本会经过嵌入、 xor 编码、 编码处理。
执行:
如果所有部署步骤都成功,则应该将 .exe 可执行文件发送给受害者。可以使用 从远程主机获取可执行文件。如果你直接在受害者机器上下载原始 代码库,你可以使用本地 .exe 文件。下面是示例用法:
显示所有已导入的脚本
通过 .exe 调用 工具
目前,这个工具在编译阶段能够绕过更新到最新版本 1903 的 10 中的 。显然,根据正在加载的脚本,这个方法有可能逃避防病毒检测。以 为例powershell.exe,由于我加载了一个基本版本,所以会被 阻止掉,但是对于其他常见的恶意脚本,则可以成功绕过。例如,导入 Ps1 脚本,就可以在不使用 .exe 的情况下绕过 ,从而运行脚本:
没有 的标准恶意命令行:
尝试下载并在内存中执行脚本
将脚本下载到本地并运行,但 会阻止脚本运行
来自 的检测提示
使用 绕过 :
该脚本被正确导入并在不触发杀软的情况下运行
考虑因素:
看起来似乎是一个很好的工具,可以绕过杀软 和 EDR,后者实际上会过度控制 启动的恶意命令行。在 进程树中,命令行由 .exe 进程执行。显然,这个工具和相关检测依赖于加载的脚本。如果 AV 或 EDR 检查脚本的行为,而不是启动脚本的进程,那么对于蓝队来说可能会有额外的检测。这个工具的一个缺点是,每次你想加载一个新的脚本时,你必须把它添加到配置文件中,这可能会减缓后漏洞利用活动,但这取决于你在渗透测试活动中有多少时间。你还可以在启动攻击之前创建一个自定义版本,其中包含你需要的所有脚本。简而言之,对于后漏洞利用中的规避是非常有用的,但是它的扩展性和速度都不是很快。这个工具绕过反病毒检测的真正附加值是脚本编码。
得分: 9票
官方链接: Repo.Video.
NPS —— Not
这个工具的所有版本目前都可以被标准的 检测到,因此我们把它放到了顶级工具列表中。因为我们知道有很多红队成员有很强的抑制或绕过杀毒的能力,所以我们尝试使用同样的工具,但是至少在下载阶段就会被 阻止掉。显然,总是有可能下载完整的代码库,并编译自己的自定义版本,可能不会被 AV 检测到。
下面是使用命令:
:
nps.exe “{ }”
nps.exe “& {; semi-colon; }”
nps.exe – {nd}
nps.exe – ” to to “
nps.exe – {nd}
我尝试编码一个恶意的脚本并运行。很明显,这是因为 没有运行。一旦你重新激活 ,它会立即检测出可执行文件是恶意的并将其消除。查看 进程树可以注意到,启动 命令的唯一进程总是 nps.exe,而 可执行文件从未被调用,但它们的检测率是相同的。
考虑因素:
这个工具可以在特别不安全的环境中考虑使用,在这种环境中,红队希望较少的留下恶意的“ ”命令行的痕迹。在所有其他情况下,使用这个工具会被杀软检测到,所以你的努力将是无用的。
得分: 4票
链接:
此工具只允许使用 dll 运行 。这个工具之所以不需要访问 .exe,是因为它使用 自动化 dll。可以使用以下命令运行 : .exe、 .exe、 .exe、 .exe、 .exe 或作为独立的可执行文件运行。
用法示例:
Usage:
,main
限 时 特 惠: 本站每日持续稳定更新内部创业教程,一年会员只需98元,全站资源免费下载 点击查看详情
站 长 微 信: muyang-0410
