如何創建Powershell持久隱蔽後門
*本文原創作者:al0ne_,本文屬FreeBuf原創獎勵計劃,未經許可禁止轉載
用戶開機後每次運行特定的快捷方式文件時觸發一段惡意的powershell 代碼,原始應用程序仍然啟動,原始圖標保留,並且沒有powershell.exe窗口彈出。
1、安裝後門
這次需要用到powershell攻擊框架Empire,使用Empire/data/module_source/persistence/Invoke-BackdoorLNK.ps1這個腳本
-LNKPath是要利用的lnk的路徑,每次打開這個lnk文件時都會執行原始的應用程序和 -E
ncScript後面的惡意powershell代碼
先通過empire生成反彈的powershell代碼
./empire 進入empire
輸入listeners 進入監聽界面 設置好ip與埠
launcher 1 生成power shell代碼
這裡我們只複製 -Enc 後面的代碼
然後執行
看到以上界面就代表後門安裝完成
當我們運行navicat快捷方式的同時 可以看到powershell.exe
已經
悄悄的鏈接empire
2、實現原理
它會將原來快捷目標修改為powershell.exe的地址,並且利用powershell去運行navicat程序與惡意代碼。
解密後的代碼
點擊快捷方式後先執行快捷方式原來鏈接的目標,然後在註冊表讀取HKCU:SoftwareMicrosoftWindowsdebug的值運行(後門安裝時把執行的代碼加密後放到了
HKCU:SoftwareMicrosoftWindowsdebug裡面
)
3、後門的清除
執行 以下命令清除後門
4、總結
利用快捷方式去攻擊,已經是一個很老的話題了,但是有時候滲透中添加啟動項/服務/任務計劃失敗的情況下可以嘗試用此方法,劫持一個經常使用的程序快捷方式,達到許可權維持的效果,windows下基於powershell的攻擊方式也會越來越強大。
參考文獻:
github
,文章相關請聯繫qq:195062545
*本文原創作者:al0ne_,本文屬FreeBuf原創獎勵計劃,未經許可禁止轉載
※一款高度可定製的WiFi釣魚工具 – WiFiPhisher
※如何利用Fluxion誘惑目標用戶獲取WPA密碼
※Google最新XSS Game Writeup
TAG:FreeBuf |
※如何在Adobe Photoshop中創建故障效應
※tempfile.NamedTemporaryFile創建臨時文件在windows沒有許可權打開
※使用 YAML 文件創建 Kubernetes Deployment
※在Amazon Marketing Services中創建標題搜索廣告
※如何創建Istio Mixer適配器——來自Circonus公司的分享
※用 Poetry 創建並發布 Python 包
※Ian Goodfellow專訪:我為什麼可以在一夜之間創建GAN
※Inside Secure發布軟體安全工具Whitebox Designer 快速圖形化創建安全密碼構架
※如何創建定製的 Ubuntu Live CD 鏡像
※EA Motive工作室創建者Jade Raymond已離職
※kibana 創建index pattern 索引模式慢無法創建成功 以及解決方案
※Mentor 軟體 Capital Publisher 幫助 JAC 提高服務效率和文檔創建速度
※Mentor 軟體Capital Publisher 幫助JAC 提高服務效率和文檔創建速度
※Twitter將收購應用創建引擎Lightwell,意圖加強對話用戶
※Microsoft To-Do整合Cortana:用語音創建待辦事項
※亞馬遜賣家要如何在Seller Central中創建FBA發貨計劃
※亞馬遜在美推出Alexa Blueprints技能創建工具
※谷歌Tour Creator讓您使用Street view和360照片輕鬆創建VR之旅
※如何創建一個 Tor.onion 網站
※Google為Mirage Solo創建實驗6 DoF控制器