• XSS.stack #1 – первый литературный журнал от юзеров форума

Вопрос по venom и powershell

Отслеживать

Agent Smith

RAID-массив
Пользователь
Регистрация
17.04.2020
Сообщения
69
Реакции
6
Добрый вечер, буду краток. Есть тачка, win10 (1909). Имеется доступ по ssh локального пользователя. Хочу повысить привелегии до лок админа, пытаюсь сделать следующее: через sftp загружаю в папку OneDrive file.exe(внутри win/meterpreter_reverse_tcp), сделанный посредством venom, (так же пробовал reverse_http/https/dns), все успешно загрузилось, захожу по ssh на компьютер и запускаю file.exe, идет бесконечная загрузка, сессия метера не приходит, в чем мог оплашать?
Также пытался запустить пару скриптов из nishang через powershell, однако анти вирус знает свое дело...Может подскажет кто из опытных, как можно решить данный таск или быть может какой-нибудь другой путь подскажет, может как то обануть ав получится?. Буду очень благодарен за любую помощь:]
PS На орфографию и оформление прошу не ругаться, пишу в спешке
 
Agent Smith сказал(а):
Также пытался запустить пару скриптов из nishang через powershell, однако анти вирус знает свое дело...Может подскажет кто из опытных, как можно решить данный таск или быть может какой-нибудь другой путь подскажет, может как то обануть ав получится?
Люди за это деньги платят и большие:)
Понятное дело что паблик тулзы типо nishang/empire/meterpreter/venom в плане детектов ещё та помойка. А как ты хотел?чтобы фри и продашкен вывозить против многомиллионных компаний, которые вкладывают в защиту от подобной х#йни килотонны бабла?)
Тут короче либо ты сам реверсишь технологии защиты/параллельно читая паблик инфу по теме. Либо платишь за это деньги. По другому такое вроде не работает на форумах
 
Хм, вроде все равно как то можно обануть ав, надо только знать как)
По таргету, тут уж не миллионная компания, а просто тачка для решения ctf, пытаюсь по разному ее взять, точу скилл, но пока не все получается, да и опыт особо не у кого перенять
По гуглю на досуге, может годных статей найду по реверсу, хотя я далеко даже не скрипт киди, да и вообще реверс сложная штука, но интересная)
 
Agent Smith сказал(а):
Добрый вечер, буду краток. Есть тачка, win10 (1909). Имеется доступ по ssh локального пользователя. Хочу повысить привелегии до лок админа, пытаюсь сделать следующее: через sftp загружаю в папку OneDrive file.exe(внутри win/meterpreter_reverse_tcp), сделанный посредством venom, (так же пробовал reverse_http/https/dns), все успешно загрузилось, захожу по ssh на компьютер и запускаю file.exe, идет бесконечная загрузка, сессия метера не приходит, в чем мог оплашать?
Также пытался запустить пару скриптов из nishang через powershell, однако анти вирус знает свое дело...Может подскажет кто из опытных, как можно решить данный таск или быть может какой-нибудь другой путь подскажет, может как то обануть ав получится?. Буду очень благодарен за любую помощь:]
PS На орфографию и оформление прошу не ругаться, пишу в спешке
Не работал с nishang но с empire помог решить проблему с ав https://github.com/danielbohannon/Invoke-Obfuscation
 
Pent сказал(а):
Не работал с nishang но с empire помог решить проблему с ав https://github.com/danielbohannon/Invoke-Obfuscation
До вин 10 может быть. И если не Касперский. Он палит само наличие этой обфускации, в независимости от того, что под капотом. Да и не обфускация это вовсе. Школьная поделка по факту
 
Вроде Empire в далеком 2015 шума наводил, сейчас не знаю как, но скорее всего 95% ав его палят, не напрягаясь
Не найдется статейки какой-нибудь годной под рукой, как лучше обфусцировать exe, bat и прочие)?
 
Agent Smith сказал(а):
Добрый вечер, буду краток. Есть тачка, win10 (1909). Имеется доступ по ssh локального пользователя. Хочу повысить привелегии до лок админа, пытаюсь сделать следующее: через sftp загружаю в папку OneDrive file.exe(внутри win/meterpreter_reverse_tcp), сделанный посредством venom, (так же пробовал reverse_http/https/dns), все успешно загрузилось, захожу по ssh на компьютер и запускаю file.exe, идет бесконечная загрузка, сессия метера не приходит, в чем мог оплашать?
Также пытался запустить пару скриптов из nishang через powershell, однако анти вирус знает свое дело...Может подскажет кто из опытных, как можно решить данный таск или быть может какой-нибудь другой путь подскажет, может как то обануть ав получится?. Буду очень благодарен за любую помощь:]
PS На орфографию и оформление прошу не ругаться, пишу в спешке
Сколько детектов у твоего file.exe из папки OneDrive? ты бы с этого начал проблему искать, чтобы понимать почему сессия не прилетает)
https://github.com/danielbohannon/Invoke-Obfuscation - действительно хороший инструмент для работы с повершелл, позволяет обходить некоторые ав.
 
К сожалению Invoke-Obfuscation AMSI уже не обходит.
В случае когда мешает только UAC пробиться до админ-привилегий часто можно его обойти. Советую смотреть в сторону C# модулей с гитхаба для этого, вроде:
github.com

GitHub - 0xlane/BypassUAC: Use ICMLuaUtil to Bypass UAC!

Use ICMLuaUtil to Bypass UAC! Contribute to 0xlane/BypassUAC development by creating an account on GitHub.
github.com
github.com

GitHub - FatRodzianko/SharpBypassUAC: C# tool for UAC bypasses

C# tool for UAC bypasses. Contribute to FatRodzianko/SharpBypassUAC development by creating an account on GitHub.
github.com
github.com

GitHub - cobbr/SharpSploit: SharpSploit is a .NET post-exploitation library written in C#

SharpSploit is a .NET post-exploitation library written in C# - cobbr/SharpSploit
github.com
Очень часто специально подготовленный код на шарпе можно запустить через ПШ с помощью [System.Reflection.Assembly].loadfile и спокойно работать с классами для .NET из командной строки. А дальше можно любые извращения применять - компилишь какой-нибудь студией (https://ironmansoftware.com/powershell-pro-tools-for-visual-studio-code/ ) для ПШ скрипт в exe, его представляешь как base64 строку и запихиваешь в класс C#. Потом загружаешь это C# приложение в ПШ сессию и работаешь с ним. Очень часто антивири не видят такое.
Также для обхода AMSI можно попробовать его надурить. Методы разные - https://github.com/rasta-mouse/AmsiScanBufferBypass как пример. Иногда этого достаточно.
 
Octoberine сказал(а):
К сожалению Invoke-Obfuscation AMSI уже не обходит.
В случае когда мешает только UAC пробиться до админ-привилегий часто можно его обойти. Советую смотреть в сторону C# модулей с гитхаба для этого, вроде:
github.com

GitHub - 0xlane/BypassUAC: Use ICMLuaUtil to Bypass UAC!

Use ICMLuaUtil to Bypass UAC! Contribute to 0xlane/BypassUAC development by creating an account on GitHub.
github.com
github.com

GitHub - FatRodzianko/SharpBypassUAC: C# tool for UAC bypasses

C# tool for UAC bypasses. Contribute to FatRodzianko/SharpBypassUAC development by creating an account on GitHub.
github.com
github.com

GitHub - cobbr/SharpSploit: SharpSploit is a .NET post-exploitation library written in C#

SharpSploit is a .NET post-exploitation library written in C# - cobbr/SharpSploit
github.com
Очень часто специально подготовленный код на шарпе можно запустить через ПШ с помощью [System.Reflection.Assembly].loadfile и спокойно работать с классами для .NET из командной строки. А дальше можно любые извращения применять - компилишь какой-нибудь студией (https://ironmansoftware.com/powershell-pro-tools-for-visual-studio-code/ ) для ПШ скрипт в exe, его представляешь как base64 строку и запихиваешь в класс C#. Потом загружаешь это C# приложение в ПШ сессию и работаешь с ним. Очень часто антивири не видят такое.
Также для обхода AMSI можно попробовать его надурить. Методы разные - https://github.com/rasta-mouse/AmsiScanBufferBypass как пример. Иногда этого достаточно.
Спасибо, ознакомлюсь с данными модулями в ближайшее время, как раз меня больше интересовало, как повысить привелегии через PS
 
AsHkERE сказал(а):
что вы скажете по поводу cobaltstrike ?
Это софт.
Конкретизируй вопрос :)
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Agent Smith сказал(а):
С удовольствием выслушую ваши мысли на счет того, как можно проверить файлы на детекты, не заливая на ВТ
Есть динчек, как стандарт, мб еще что-то есть; также можно у себя на ВМ поставить авера и тестить.
А из-за таких умников, которые заливают файло на виртотал, потом и появляются детекты.

На многих бордах за такое банят. И правильно делают.
 
Agent Smith сказал(а):
С удовольствием выслушую ваши мысли на счет того, как можно проверить файлы на детекты, не заливая на ВТ
попробуй:
  1. запусти две сессии по ssh
  2. в одной открой что то вроде: netstat -nt
  3. в другой стартуй свою малварь, при этом внимательно смотри на то будет ли открываться новый порт
  4. Если сокет создается но шел тебе не прилетает то возможно стоит смотреть/проверь наличие защиты на сервере или даже на маршрутизаторе через который сервер смотрит в мир.
 
Quake3 сказал(а):
Есть динчек, как стандарт, мб еще что-то есть; также можно у себя на ВМ поставить авера и тестить.
А из-за таких умников, которые заливают файло на виртотал, потом и появляются детекты.

На многих бордах за такое банят. И правильно делают.
Учту на будущее
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх