Когда в рамках тестирования на проникновение требуется доставка payload нагрузки в тестируемую инфраструктуру (в качестве цели рассматриваем систему под управлением Microsoft Windows) с использованием человеческого фактора (например социальная инженерия), то существует множество способов доставки (например фишинговая почтовая рассылка, которая описывается в статьях: Gophish Framework. Установка фреймворка для фишинга и Gophish Framework. Создание фишинговой рассылки), но многие пользователи не открывают исполняемые exe файлы, а так же многие почтовые сервера не пропускают письма с исполняемыми файлами. Поэтому попробуем написать скрипт, который будет загружать payload со внешнего сервера и запускать его.
Вариантов скрипта будет два:
- скрипт на JScript;
- скрипт на VBScript.
Они оба могут быть запущены пользователем из Userspace, что приведет к загрузке требуемого payload.
JScript
Код нужно сохранить в файл название.js.
Для продолжения чтения этой статьи требуется подписка. Войти или Оформить подписку.