Перейти к содержанию
bash

Cпособ встраивания PowerShell-скриптов в PNG-изобр

Рекомендуемые сообщения

Разработчик Баретт Адамс в своёмGitHub-репозитории опубликовал инструмент, позволяющий встраивать скрипт PowerShell в изображения. Invoke-PSImage вставляет байты информации в пиксели картинки формата PNG. После встраивания возможно сгенерировать oneliner либо напрямую из файла, либо по Сети.

Встраивание скрипта в изображение

Инструмент использует наименее значимые 4 бита двух значений цвета каждого пикселя для хранения полезной информации. Разумеется, качество изображения страдает, но оно по-прежнему выглядит прилично. Инструмент в качестве входных данных принимает большинство форматов изображений, но результатом всегда будет PNG. Новое изображение в дальнейшем может быть сжато без потерь, а также без ущерба для выполнения полезной нагрузки, поскольку данные хранятся в самих цветах.

По словам Адамса, каждый пиксель изображения используется для хранения одного байта скрипта. Поэтому для полноценной работы инструмента необходимо подобрать изображение с тем же количеством пикселей, что и байтов в скрипте. Например, для PS-скрипта Invoke-Mimikatz подойдёт изображение с разрешением 1920×1200.

Аргументы инструмента

Спойлер -Script [filepath] — путь к скрипту для встраивания;

-Image [filepath] — путь к картинке для встраивания;

-Out [filepath] — путь к результирующему файлу;

-Web — флаг, указывающий, что картинка для встраивания находится в веб. Необходимо также указать её URL.

Пример использования

Первый пример создаёт картинку со встроенным скриптом Invoke-Mimikatz.ps1. Результирующим файлом будет oneliner для запуска с диска:

Спойлер PS>Import-Module .\Invoke-PSImage.ps1

PS>Invoke-PSImage -Script .\Invoke-Mimikatz.ps1 -Image .\kiwi.jpg -Out .\evil-kiwi.png

[Oneliner to execute from a file]

Следующий пример кода создаст картинку со встроенным скриптом Invoke-Mimikatz.ps1. Результирующим файлом будет oneliner для запуска из веб:

Спойлер PS>Import-Module .\Invoke-PSImage.ps1

PS>Invoke-PSImage -Script .\Invoke-Mimikatz.ps1 -Image .\kiwi.jpg -Out .\evil-kiwi.png -Web

[Oneliner to execute from the web]

© Копирайт https://tproger.ru/news/invoke-psimage/


Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

о, погнал тестить. плюс не могу поставить извини :( за инфу спс :good:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Цитата
о, погнал тестить. плюс не могу поставить извини :(  за инфу спс  :good:

Печалька :( , репа нужна , в лс ответь, есть вопрос.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

когда что то копипастишь пиши источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

объясните двоешнику, с помощью этой поеботы можно подгрузить exe ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Цитата
Цитата
о, погнал тестить. плюс не могу поставить извини :(  за инфу спс  :good:

Печалька :( , репа нужна , в лс ответь, есть вопрос.

это вобще нормальные слова? репа нужна... сами знаете короче о чем я

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Правильно, главное - это громкое название. Поразвелось мамкиных пентестеров...

А теперь давайте взглянем на все это без микроскопа, но повнимательнее? Кто-то все еще думает что тут нуль-деев(хуев тачку) подвезли?

Если бегло почитать стотею, становеца понятно, что powershell payload прячецца в картинку, по одному байту в пиксель, а затем генерицца ван-лайнер - команда для командного интерпретатора в одну строчку, которая вытаскивает из картинки данные и делает eval вытащенного из картинки. Налицо ни что иное, как обычная стеганография, а не запуск пайлоада двойным кликом по картинке. Это скорее сокрытие полезной нагрузки в траффике или в файлах. Метод далеко не нов, ребята с cup.su еще в 2004(!!!) практиковали такие методики.

КГ/АМ :black eye: (это не для топикстартера, а по отношению к тому хЭккеру, каторый типа зарелизил) :new_russian:

Предлагаю название статьи https://tproger.ru/news/invoke-psimage/ заменить на Обнародован способ встраивания ЛЮБОЙ ХУЙНИ в PNG-изображение

Нульдеев здесь нет, мутим расход...


Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

×