JScript и VBScript для доставки Payload

Когда в рамках тестирования на проникновение требуется доставка payload нагрузки в тестируемую инфраструктуру (в качестве цели рассматриваем систему под управлением Microsoft Windows) с использованием человеческого фактора (например социальная инженерия), то существует множество способов доставки (например фишинговая почтовая рассылка, которая описывается в статьях: Gophish Framework. Установка фреймворка для фишинга и Gophish Framework. Создание фишинговой рассылки), но многие пользователи не открывают исполняемые exe файлы, а так же многие почтовые сервера не пропускают письма с исполняемыми файлами. Поэтому попробуем написать скрипт, который будет загружать payload со внешнего сервера и запускать его.

Вариантов скрипта будет два:

  • скрипт на JScript;
  • скрипт на VBScript.

Они оба могут быть запущены пользователем из Userspace, что приведет к загрузке требуемого payload.

JScript

Код нужно сохранить в файл название.js.

Для продолжения чтения этой статьи требуется подписка. Войти или Оформить подписку.