Powershell之MOF后门
2016-01-25 11:27
666 查看
0x00 MOF
Managed Object Format (MOF)是WMI数据库中类和类实例的原始保存形式。具体介绍可以阅读《WMI 的攻击,防御与取证分析技术之防御篇》,Windows 管理规范 (WMI) 提供了以下三种方法编译到WMI存储库的托管对象格式 (MOF) 文件:方法 1: 使用Mofcomp.exe。
方法 2: 使用 IMofCompiler 接口和
$ CompileFile方法。
方法 3: 拖放到
%SystemRoot%\System32\Wbem\MOF文件夹的 MOF 文件。
第三种方法仅为向后兼容性与早期版本(win2003)的 WMI 提供。
一个简单的MOF反弹shell示例:
0x01 MOF and Powershell
如果获取了管理员权限,使用MOF可以做一个永久的隐藏后门。对于很多后门来说,都需要一个触发,在这里,可以使用WMI Query Language(WQL)来查询事件,以便确定什么时候触发我们的后门。(更多详细的解释可在查看戳我,戳我)。比如,我们想做一个后门通过打开notepad来触发,可以使用以下查询:
![](http://static.wooyun.org//drops/20160119/2016011911191070861170.png)
选择x86里面进行测试,payload如下:
"以及
\这里可以使用双引号将qi其引用并用\进行转义。
最后我们所写的MOF文件是这样的:
powershell_attack.txt的内容复制进来,然后
msfconsole -r unicorn.rc则可开启监听,修改后的MOF文件如下:
%SYSTEMROOT%/wbem/MOF目录(xp以下操作系统),系统会自动编译执行此脚本,如果在XP 或者更高版本的操作系统上可以执行如下命令:
![](http://static.wooyun.org//drops/20160119/2016011911191592205236.png)
同时,这个mof文件是免杀的:
![](http://static.wooyun.org//drops/20160119/2016011911191813228325.png)
当然除了这个我们还可以做其他事情,比如关闭某个程序,当其启动时就关闭,MOF文件如下:
![](http://static.wooyun.org//drops/20160119/2016011911191951709426.png)
0x02 Meterpreter Post Module
这里有一个msf的模块,可以实现此后门安装,地址:metasploit-modules,下载以后将其移动到post/windows/文件夹则可使用:
windows/meterpreter/reverse_tcp,执行时间间隔为60秒,如果想通过触发方式启动,可以自行修改ruby脚本。
![](http://static.wooyun.org//drops/20160119/2016011911192192490522.png)
开启监听:
![](http://static.wooyun.org//drops/20160119/2016011911192345537618.png)
如果看到错误80041003,说明权限不够,可以试试试用bypassuac,具体怎么bypass,请戳我。
当会话中断以后,由于mof自动执行,所以可以重新获取meterpreter会话。当对方电脑重启以后,仍可以获取会话。
如果想要清除后门,可以resource 生成的rc文件。
![](http://static.wooyun.org//drops/20160119/2016011911192492227717.png)
0x03 停止MOF
要停止mof,可进行如下操作:第一
net stop winmgmt停止服务,
第二 删除文件夹:
C:\WINDOWS\system32\wbem\Repository\
第三
net start winmgmt启动服务
0x04 小结
本篇文章主要介绍了一些结合MOF与powershell来进行制作后门的方式方法,对于MOF大家可能接触最多的就是在MYSQL提权时使用MOF来提权,其实玩儿法还很多,大家可以继续来研究研究,希望此文对你有帮助。0x05 参考
http://drops.wooyun.org/tips/10346http://drops.wooyun.org/tips/9973
http://drops.wooyun.org/tips/8290
http://www.codeproject.com/Articles/27914/WMI-MOF-Basics
http://www.codeproject.com/Articles/28226/Creating-WMI-Permanent-Event-Subscriptions-Using-M
http://poppopret.blogspot.com/2011/09/playing-with-mof-files-on-windows-for.html
/article/4763167.html
http://www.jb51.net/article/52489.htm
相关文章推荐
- SHELL编程四剑客练习--sed
- MyBB <= 1.8.2 unset_globals() Function Bypass and Remote Code Execution(Reverse Shell Exploit) Vulnerability
- linuxshell中"2>&1"含义
- Jmeter:使用BeanShell
- 哪些方法可以绕过PowerShell Execution Policy?
- Error:/bin/bash: /bin/java: No such file or directory
- 通过shell脚本来搭建python开发环境
- 使用shell/python获取hostname/fqdn释疑(转)
- shell grep字符查找,添加命令
- flock shell script 使用速记
- shell编程快速入门
- rsync 配置
- shell script语法
- shell awk
- ubuntu(linux)下source、sh/bash、./ 和 直接 执行脚本的区别
- bash位置参数变量-58
- shell中把大写字母转换成小写字母
- Linux 之 shell 比较运算符
- 使用shell/python获取hostname/fqdn释疑
- Xshell配置ssh免密码登录-密钥公钥(Public key)与私钥(Private Key)登录