Tutoriales

Haz un ataque de movimiento lateral usando apalancamiento

TChopper, una nueva técnica que descubrí recientemente y la bauticé (Chop Chop) para realizar movimientos laterales con el nombre para mostrar de Windows Services y WMI al pasar de contrabando el binario malicioso como trozos de Base64 y el proceso que usa la herramienta TChopper está automatizado.

Cómo funciona

  • La herramienta recuperará el archivo que desea ingresar de contrabando y codificará el archivo como base64 en el flujo de almacenamiento.
  • divida la longitud de cada línea para que tenga entre 150 y 250 caracteres (250 es el espacio máximo permitido para el parámetro lpDisplayname del servicio https://docs.microsoft.com/en-us/windows/win32/api/ winsvc / nf-winsvc-createervicea).
  • Para un ataque chop-chop, se crea un servicio único para cada fragmento segmentado => iniciar el servicio => luego eliminarlo para evitar duplicados, o simplemente puede cambiar el modo de ataque del servicio para que sea más rápido y más estable usando el modo de ataque opción elegir (-metro)
  • Más tarde, cambiará el parámetro lpbinarypath del servicio con la línea de comando requerida para capturar el nombre para mostrar del servicio y paginar los resultados en tmp_payload.txt
  • Finalmente, después de que todas las partes del archivo se hayan servido como base64, la herramienta crea otro servicio para decodificar el contenido en una ejecución válida y ejecutarlo.

Si está haciendo movimientos laterales con la técnica WMI, también puede hacer lo mismo con Chopper

  • Tchopper autentica su sesión con WMI
  • Cree múltiples procesos y use el comando exclusivo de Powershell para descargar cada segmento en c: users public chop.enc
  • Cree el proceso final para usar certutil para decodificar y ejecutar el contenido en archivos binarios
LEER  Cómo instalar PowerShell en Fedora Linux

usar

#Modo Chop Chop
chopper.exe -s -u NOMBRE DE USUARIO -p CONTRASEÑA -d DOMINIO -f RUTA BINARIA LOCAL
#hack hacking hecho
chopper.exe -m -u NOMBRE DE USUARIO -p CONTRASEÑA -d DOMINIO -f RUTA BINARIA LOCAL
Utilice #WMI para contrabandear
chopper.exe -w -u DOMINIO NOMBRE DE USUARIO -p CONTRASEÑA -t MÁQUINA -f RUTA LOCAL PA

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba