Wie funktioniert meine PowerShell ReverseShell?

Einleitung

Ich werde immer wieder gefragt, wie mein Framework “PowerShell ReverseShell” aus meinem Angriffs-LAB funktioniert. Mit ihr kann ich Hacking und danach auch Defense-Strategien zeigen. Die Grundlage dazu ist ein TCP-Listener und ein TCP-Client. Beide habe ich mal in einem PowerShell-Advanced-Workshop mit meinen Teilnehmern gebaut. Auf der Heimfahrt im Zug kam mir dann die Idee zur ReverseShell. Beides könnt ihr euch in meinem Video ansehen.

Background-Info

Eigentlich simpel, oder? Mein Framework macht natürlich noch etwas mehr:

  • Es können mehrere Verbindungen parallel gehandelt werden.
  • Die Funktion mit der Dauerschleife ist enthalten.
  • Etliche Funktionen machen die Verwendung komfortabel:
PowerShell ReverseShell Hacking Defense, Wie funktioniert meine PowerShell ReverseShell?
  • Es gibt eine Reihe von lokalen Scripten, aus denen dann meine Funktionen automatisch gerendert werden:
PowerShell ReverseShell Hacking Defense, Wie funktioniert meine PowerShell ReverseShell?

Zusammenfassung

Die PowerShell ist sehr mächtig, auch weil sie mit Elementen aus dem .net-Framework erweitert werden kann. Daher ist sie nicht nur bei mir beim Hacking beliebt! Härtet die PowerShell:

  • Nutzt wo immer möglich den PowerShell Constrained Language Mode (CLM). Dieser verhindert die Verwendung vom .net Framework (unter anderem)
  • Verhindert, dass die PowerShell einfach so mit Ressourcen im Internet kommunizieren kann. Hier kann die Windows Firewall weiter helfen.

Falls ihr meine ReverseShell mal in Aktion erleben wollt: hier gibt es einige Videos dazu:

Stay tuned!

Kommentar hinterlassen