1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.
Приветствуем вас,Гость, на форуме IFUD.WS. Обязательно рекомендуется к прочтению правила форума http://ifud.ws/threads/obnovleno-pravila-foruma.7759

Заражение с помощью GIF

Тема в разделе "Чужие", создана пользователем XAKNET, 20 фев 2018.

  1. TopicStarter Overlay
    XAKNET

    XAKNET

    Регистрация:
    3 окт 2016
    Сообщения:
    34
    Симпатии:
    10
    В ходе работы будем использовать PowerShell Empire 2 поэтому я частично затрону вопрос установки и использования его в нашей связке.​

    • Заражение с помощью GIFКак установить PowerShell Empire 2?
    • Если у вас уже есть данная утилита, то можно переходить к следующей главе. Это небольшая инструкция для начинающих. Для начала необходимо скопировать данную утилиту с репозитария Войти или зарегистрироваться, чтобы увидеть ссылку.. Я буду выделять команды в своем терминале Kali Linux:
    • git clone Войти или зарегистрироваться, чтобы увидеть ссылку.

    [​IMG]

    Копирование в директорию
    Далее необходимо провести установку. Далее необходимо перейти в папку Empire. Выполняем несколько команд.
    • cd Empire/
    • cd setup
    • ./install.sh
    [​IMG]

    Установка PowerShell Empire 2
    Далее необходимо вернуться в директорию и запустить файл. Для этого выполняем такие команды, после чего произойдет запуск утилиты:
    • cd ..
    • ./empire
    [​IMG]

    Запуск утилитыКак создать исполняемую команду в PowerShell Empire 2?
    Чтобы получить доступ над нашей целью необходимо чтобы сгенерированный код был запущенный в командной строке. Сначала попробуем провести атаку, напрямую выполнив команду в Windows 10, а далее будем использовать метод, который позволит хорошо скрыть наш код.
    Для начала необходимо запустить команду и проверить активных "слушателей":
    liseners
    [​IMG]

    Далее создадим учетную запись, которая позволит получить активные профиль для дальнейшего тестирования, для этого выполняем команды:
    uselistener http
    execute
    listeners //проверяем наш созданный профиль
    [​IMG]

    Успешное создание профиля
    Далее необходимо генерировать код для запуска для этого выполняем команду:
    launcher powershell http
    [​IMG]

    Полученный код
    После этого копируем полученный код и запускаем его в командной строке на ОС нашей цели. Я для теста использовал Windows 10. После запуска на винде процесс обрабатывается и закрывается, а мы получаем сессию. После этого в терминале появиться такое окно:
    [​IMG]

    Полученная сессия Маскируем наш код в GIF картинку
    Для этого нам нужен код, которые мы генерировали в предыдущих шагах. Рассмотрим выполнения этой процедуры в несколько шагов.
    Хочу отметить сразу, что тестирование проводилось на нескольких машинах Windows 7 и Windows 10 и все процедуры были успешными и удавалось получать доступ к нашей цели. Способ очень эффективный, так как не обнаруживаеться многими антивирусами.
    Шаг 1: Подготавливаем наш скрипт

    Скачать и посмотреть можно по этой ссылке. Далее необходимо добавить себе в блокнот. После этого необходимо вставить код из PowerShell Empire 2 в 37 строчку, как показано на скриншоте:
    [​IMG]

    Вставляем код из PowerShell EmpireШаг 2: Конвертируем GIF-ку и добавляем в скрипт
    Для этого можно воспользоваться этим Войти или зарегистрироваться, чтобы увидеть ссылку.. Добавляем любую картинку в формате .gif и нажимаем convert to Base64.
    [​IMG]

    Конвертирование картинки в Base64
    Далее необходимо добавить полученный код в наш скрипт, который мы использовали в первом шаге. Добавляем в 17 строку, как на скриншоте:
    [​IMG]

    Добавляем .gif в формате base64Шаг 3: скрываем вредоносный файл от антивирусов
    Сделаем это с помощью программы Войти или зарегистрироваться, чтобы увидеть ссылку.. Скачиваем, распаковываем, запускаем и выбираем операцию "Scramble" во вкладке "Script in "Before"", а в меню "Scripts"-"Encode script", более детально можно увидеть на скриншоте:
    [​IMG]

    Обфусцификация
    После этого остается скопировать полученный результат в текстовый файл с форматом .hta. После запуска на компьютере нашей цели появиться гифка, а у нас успешная сессия. Способ очень интересный и может использоваться на практике.
    [​IMG]

    ЗапускЗаключение
    Таким образом, этот способ можно использовать с применением СИ. Относительно быстро и просто можно получить доступ над целевым компьютером. Используйте с умом да и будет счастье.

    (C)Plastik
     
    Метки:
  2. bylie640

    bylie640

    Регистрация:
    14 апр 2013
    Сообщения:
    213
    Симпатии:
    68
    Gif обязательно скачивать или можно открыть через браузер?
     
  3. RiS

    RiS

    Регистрация:
    15 мар 2018
    Сообщения:
    1
    Симпатии:
    0
    Тоже интересно
     
  4. D108

    D108

    Регистрация:
    26 июл 2017
    Сообщения:
    319
    Симпатии:
    104
    Насколько я помню это статья слизана с codeby
     
  5. AdmDanila

    AdmDanila

    Регистрация:
    30 ноя 2017
    Сообщения:
    2
    Симпатии:
    0
    HELLO USER^_^
     
  6. D108

    D108

    Регистрация:
    26 июл 2017
    Сообщения:
    319
    Симпатии:
    104
    Hi
     
  7. TopicStarter Overlay
    XAKNET

    XAKNET

    Регистрация:
    3 окт 2016
    Сообщения:
    34
    Симпатии:
    10
    Изначального источника не знаю, но указал копирайт от куда я слизал.
     

Поделиться этой страницей

Загрузка...