为了测试,在这里使用Cobaltstrike 生成一个exe,用来查看文件是否上传成功,并可以顺利执行,每次上传文件以后,服务器自动删除,如下图:
![图片[1]-ADS Technique in Pentesting - CobaltStrike & Meterpreter Usa](https://www.77169.net/wp-content/uploads/2018/05/1-24-800x296-1.png)
PS: meterpreter会话是通过powershell web_delivery获取的
尝试创建文件夹成功:
![图片[2]-ADS Technique in Pentesting - CobaltStrike & Meterpreter Usa](https://www.77169.net/wp-content/uploads/2018/05/2-5-800x346-1.png)
将文件上传至特殊目录:
upload /tmp/beacon.exe 123:aa.exe也可以,这是写到了当前目录。
上传以后进入shell 可使用 dir /r来查看
![图片[3]-ADS Technique in Pentesting - CobaltStrike & Meterpreter Usa](https://www.77169.net/wp-content/uploads/2018/05/3-6-800x470-1.png)
可以看到成功写入了,之后使用WMIC来执行,命令如下:
wmic process call create \\.\c:\WINDOWS\debug\WIA\123:aa.exe
wmic process call create C:\WINDOWS\debug\WIA\123:aa.exe //
当前目录使用,需要绝对路径
也可以使用msf来执行
![图片[4]-ADS Technique in Pentesting - CobaltStrike & Meterpreter Usa](https://www.77169.net/wp-content/uploads/2018/05/4-3-800x277-1.png)
到cobal里面可以看到会话。
如果有权限的话,可使用certutil下载文件到ADS
删除certutil缓存
测试时发现一个有趣的东西,使用test:
![图片[5]-ADS Technique in Pentesting - CobaltStrike & Meterpreter Usa](https://www.77169.net/wp-content/uploads/2018/05/123.gif)
使用nul
![图片[6]-ADS Technique in Pentesting - CobaltStrike & Meterpreter Usa](https://www.77169.net/wp-content/uploads/2018/05/test-1.gif)
测试发现,如果想要dir /s 里面看不到ADS,可以使用的文件为:
\\.\C:\test\COM1\\.\C:\test\COM2…\\.\C:\test\COM9\\.\C:\test\nul
并且这些文件是不可以直接删除的,要删除的话使用如下命令:
再分享一下怎么样带参数执行ADS文件,其实可以借助于MSF,具体命令如下
效果如下图:
![图片[7]-ADS Technique in Pentesting - CobaltStrike & Meterpreter Usa](https://www.77169.net/wp-content/uploads/2018/05/7-1-800x304-1.png)
使用msf删除ADS,可直接使用rm 加绝对路径即可,如下图:
![图片[8]-ADS Technique in Pentesting - CobaltStrike & Meterpreter Usa](https://www.77169.net/wp-content/uploads/2018/05/8-1-800x450-1.png)
文章出处:Evi1cg’s blog
原文链接:https://evi1cg.me/archives/ADS.html
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
暂无评论内容