本文讲的是
工具介绍:使用CACTUSTORCH 生成Payload,
CACTUSTORCH是一个生成payload的框架,可用于基于James Forshaw的DotNetToJScript工具的攻防对抗。这个工具允许C#二进制文件在payload内引导,提供可靠的手段绕过许多常见的防御。
目前CACTUSTORCH支持以下payload类型:
VBS VBA JS JSE WSF HTA VBE
VBS:文件删除和执行,Touches disk HTA-PSH:使用WScript.Shell对象运行powershell.exe VBA-EXE:文件丢弃并执行 ,Touches disk VBA:通过Kernel32 API的声明进行Shellcode注入 - Maldoc扫描的已知指标 VBA-PSH:使用Shell对象运行powershell.exe
VBS:虚拟目标,创建COM对象到Excel,创建工作表,注入VBA宏代码并执行。主要依赖于正在安装的Office和注入的VBA中的Kernel32 API声明 VBA:通过Kernel32 API的声明进行Shellcode注入 - Maldoc扫描的已知指标 HTA-EXE:文件丢弃并执行,Touches disk HTA-PSH:使用WScript.Shell对象运行powershell.exe HTA-VBA:绕着一个VBS做的弱化,对COM反对Excel,宏注入Kernel32 API声明中的VBA代码
在payload中不使用Kernel32 API声明 在C#二进制内混淆 允许任意指定目标二进制生成 允许指定任意shellcode 不产生PowerShell.exe 不需要Powershell 不需要office 不调用WScript.Shell 不需要分段,因为完整的无阶段shellcode可以包含在传送的payload内 没有静态父对子进行生成,用户可以更改wscript.exe生成的内容
克隆目录中选择要使用的payload格式 选择要注入的二进制容器,必须存在于SYSWOW64和SYSTEM32中 为您的监听器生成原始的shellcode $> cat payload.bin | base64 -w 0> out.txt 将out.txt base64原始payload复制到模板的“代码”变量中 如果为VBA执行,请通过vbasplit.py out.txt split.txt运行out.txt 然后将split.txt复制到VBA模板中突出显示的代码段中 payload准备就绪 如果你想要混淆的话
原文发布时间为:2017年7月13日
本文作者:鲁班七号
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。