Вопрос по venom и powershell

Agent Smith

CD-диск
Пользователь
Регистрация
17.04.2020
Сообщения
17
Реакции
3
Баллы
3
Добрый вечер, буду краток. Есть тачка, win10 (1909). Имеется доступ по ssh локального пользователя. Хочу повысить привелегии до лок админа, пытаюсь сделать следующее: через sftp загружаю в папку OneDrive file.exe(внутри win/meterpreter_reverse_tcp), сделанный посредством venom, (так же пробовал reverse_http/https/dns), все успешно загрузилось, захожу по ssh на компьютер и запускаю file.exe, идет бесконечная загрузка, сессия метера не приходит, в чем мог оплашать?
Также пытался запустить пару скриптов из nishang через powershell, однако анти вирус знает свое дело...Может подскажет кто из опытных, как можно решить данный таск или быть может какой-нибудь другой путь подскажет, может как то обануть ав получится?. Буду очень благодарен за любую помощь:]
PS На орфографию и оформление прошу не ругаться, пишу в спешке
 

Haunt

(L2) cache
Пользователь
Регистрация
07.11.2019
Сообщения
365
Реакции
495
Баллы
68
Также пытался запустить пару скриптов из nishang через powershell, однако анти вирус знает свое дело...Может подскажет кто из опытных, как можно решить данный таск или быть может какой-нибудь другой путь подскажет, может как то обануть ав получится?
Люди за это деньги платят и большие:)
Понятное дело что паблик тулзы типо nishang/empire/meterpreter/venom в плане детектов ещё та помойка. А как ты хотел?чтобы фри и продашкен вывозить против многомиллионных компаний, которые вкладывают в защиту от подобной х#йни килотонны бабла?)
Тут короче либо ты сам реверсишь технологии защиты/параллельно читая паблик инфу по теме. Либо платишь за это деньги. По другому такое вроде не работает на форумах
 

Agent Smith

CD-диск
Пользователь
Регистрация
17.04.2020
Сообщения
17
Реакции
3
Баллы
3
Хм, вроде все равно как то можно обануть ав, надо только знать как)
По таргету, тут уж не миллионная компания, а просто тачка для решения ctf, пытаюсь по разному ее взять, точу скилл, но пока не все получается, да и опыт особо не у кого перенять
По гуглю на досуге, может годных статей найду по реверсу, хотя я далеко даже не скрипт киди, да и вообще реверс сложная штука, но интересная)
 

Pent

floppy-диск
Пользователь
Регистрация
27.06.2020
Сообщения
1
Реакции
0
Баллы
1
Добрый вечер, буду краток. Есть тачка, win10 (1909). Имеется доступ по ssh локального пользователя. Хочу повысить привелегии до лок админа, пытаюсь сделать следующее: через sftp загружаю в папку OneDrive file.exe(внутри win/meterpreter_reverse_tcp), сделанный посредством venom, (так же пробовал reverse_http/https/dns), все успешно загрузилось, захожу по ssh на компьютер и запускаю file.exe, идет бесконечная загрузка, сессия метера не приходит, в чем мог оплашать?
Также пытался запустить пару скриптов из nishang через powershell, однако анти вирус знает свое дело...Может подскажет кто из опытных, как можно решить данный таск или быть может какой-нибудь другой путь подскажет, может как то обануть ав получится?. Буду очень благодарен за любую помощь:]
PS На орфографию и оформление прошу не ругаться, пишу в спешке
Не работал с nishang но с empire помог решить проблему с ав https://github.com/danielbohannon/Invoke-Obfuscation
 

Agent Smith

CD-диск
Пользователь
Регистрация
17.04.2020
Сообщения
17
Реакции
3
Баллы
3
Спасибо, протестирую его на данной тачке, отпишу, если сработает
 

Haunt

(L2) cache
Пользователь
Регистрация
07.11.2019
Сообщения
365
Реакции
495
Баллы
68
Не работал с nishang но с empire помог решить проблему с ав https://github.com/danielbohannon/Invoke-Obfuscation
До вин 10 может быть. И если не Касперский. Он палит само наличие этой обфускации, в независимости от того, что под капотом. Да и не обфускация это вовсе. Школьная поделка по факту
 

Agent Smith

CD-диск
Пользователь
Регистрация
17.04.2020
Сообщения
17
Реакции
3
Баллы
3
Вроде Empire в далеком 2015 шума наводил, сейчас не знаю как, но скорее всего 95% ав его палят, не напрягаясь
Не найдется статейки какой-нибудь годной под рукой, как лучше обфусцировать exe, bat и прочие)?
 

3ToN

HDD-drive
Пользователь
Регистрация
15.02.2020
Сообщения
33
Реакции
18
Баллы
11
Добрый вечер, буду краток. Есть тачка, win10 (1909). Имеется доступ по ssh локального пользователя. Хочу повысить привелегии до лок админа, пытаюсь сделать следующее: через sftp загружаю в папку OneDrive file.exe(внутри win/meterpreter_reverse_tcp), сделанный посредством venom, (так же пробовал reverse_http/https/dns), все успешно загрузилось, захожу по ssh на компьютер и запускаю file.exe, идет бесконечная загрузка, сессия метера не приходит, в чем мог оплашать?
Также пытался запустить пару скриптов из nishang через powershell, однако анти вирус знает свое дело...Может подскажет кто из опытных, как можно решить данный таск или быть может какой-нибудь другой путь подскажет, может как то обануть ав получится?. Буду очень благодарен за любую помощь:]
PS На орфографию и оформление прошу не ругаться, пишу в спешке
Сколько детектов у твоего file.exe из папки OneDrive? ты бы с этого начал проблему искать, чтобы понимать почему сессия не прилетает)
https://github.com/danielbohannon/Invoke-Obfuscation - действительно хороший инструмент для работы с повершелл, позволяет обходить некоторые ав.
 

Octoberine

HDD-drive
Пользователь
Регистрация
29.04.2020
Сообщения
24
Реакции
4
Баллы
4
Telegram
К сожалению Invoke-Obfuscation AMSI уже не обходит.
В случае когда мешает только UAC пробиться до админ-привилегий часто можно его обойти. Советую смотреть в сторону C# модулей с гитхаба для этого, вроде:
Очень часто специально подготовленный код на шарпе можно запустить через ПШ с помощью [System.Reflection.Assembly].loadfile и спокойно работать с классами для .NET из командной строки. А дальше можно любые извращения применять - компилишь какой-нибудь студией (https://ironmansoftware.com/powershell-pro-tools-for-visual-studio-code/ ) для ПШ скрипт в exe, его представляешь как base64 строку и запихиваешь в класс C#. Потом загружаешь это C# приложение в ПШ сессию и работаешь с ним. Очень часто антивири не видят такое.
Также для обхода AMSI можно попробовать его надурить. Методы разные - https://github.com/rasta-mouse/AmsiScanBufferBypass как пример. Иногда этого достаточно.
 
Верх