Behöver Er organisation hjälp med penetrationstester?

PenetrationstestInformation om penetrationstester och IT-säkerhetsgranskningar

  • Hem
  • Verktyg
  • Penetrationstest av WordPress
  • Publika rapporter
  • Så skriver du en rapport

Test av PoshC2 Powershell-implantat

Kategori: Okategoriserade Taggar: implantat, powershell

Skrivet 2017-09-01

Tweet

PoshC2

PoshC2 är ett Powershell-implantat som är opensource. PoshC2 går att ladda hem från Github och serverdelen startas under Windows med hjälp av powershell. Även så måste klientdelen köra powershell, vilket bara är en fördel eftersom många antivirus är dåliga på att analysera skadlig kod i powershell.

När man installerat och startat serverdelen så ser det ut enligt följande:

Som det står enligt ovan så skapas ett antal olika payloads som du kan på något sätt få målet att exekvera.

När jag kör testet så testar jag att maila olika Office-dokument och inget fångas upp av den antivirus-motor jag använder. Jag måste så klart godkänna att Word-dokumentet innehåller ett makro som körs. Sedan får jag en anslutning:

För att sedan interagera med klient 1 som har en beacon-tid på 5 sekunder så skriver vi helt enkelt bara 1.

Sedan får vi en powershell-prompt och kan antingen köra kommandon rakt av såsom whoami eller dir. Vi kan även använda någon av de hundratals inbyggda funktionerna som kommer med PoshC2 såsom att exekvera mimikatz med kommandot hashdump.

Ett urval av de funktioner som kommer med PoshC2:

  • Get-Screenshot – Ta en skärmdump
  • Install-Persistence – Bli persistent
  • Download-File / Upload-File – Ladda ner och upp filer
  • EnableRDP – Slå på RDP-inloggning
  • Invoke-Shellcode – Kör Metasploit payload såsom reverse_https
  • Get-Recentfiles – Visa senast öppnade filer

Relaterade

Jonas Lejon

Jonas Lejon som skrivit denna artikel driver företaget Triop AB och är en av Sveriges främsta IT-säkerhetsexperter. Kontakta mig gärna på [email protected] om Er organisation behöver hjälp.


Twitter @kryptera

Dela gärna detta inlägg:

Klicka här för att avbryta svar.

Kommentarer

Senaste kommentarer

  • Albert om Så skapar du ett enkelt pentest-labb
  • Albert om Så skapar du ett enkelt pentest-labb
  • Albert om Så skapar du ett enkelt pentest-labb
  • JoachimS om Knäck lösenord i molnet med Hashcat 😸
  • Thomas om Kali Linux 2016.2

Arkiv

  • mars 2018
  • februari 2018
  • januari 2018
  • november 2017
  • oktober 2017
  • september 2017
  • maj 2017
  • april 2017
  • mars 2017
  • februari 2017
  • januari 2017
  • december 2016
  • oktober 2016
  • september 2016
  • augusti 2016
  • juni 2016
  • maj 2016
  • april 2016
  • mars 2016
  • februari 2016
  • januari 2016
  • november 2015
  • oktober 2015
  • september 2015
  • augusti 2015
  • juli 2015
  • juni 2015
  • maj 2015
  • mars 2015
  • februari 2015
  • januari 2015
  • december 2014
  • oktober 2014
  • september 2014
  • augusti 2014
  • juli 2014
  • juni 2014
  • maj 2014

Copyright 2018 Triop AB - All Rights reserved.