【基础篇】————10、隐匿攻击之Website Keyword

有各种命令和控制选项，其中一些使用ICMP和DNS等协议以及其他一些合法网站，如DropBox和Gmail。在DerbyCon 3.0期间，  Matt Graeber和Chris Campbell介绍了一种使用网站关键字的技术，以便在系统中触发shellcode的发布。

Matt Nelson制作了一个PowerShell 脚本，该脚本使用相同的技术来获得Meterpreter会话并使用其作为命令和控制工具的所有功能。这种技术的主要好处是shellcode直接从内存执行，噪声较小，并通过注册表项实现持久性。

当PowerShell脚本在目标主机上执行时，它将在网站上查找已给出的特定关键字，如果关键字存在则执行有效负载。

Meterpreter会话将打开，命令可以远程执行。

Matt Nelson还创建了一个Office 宏，它执行相同的技术，但另外创建了一个注册表项，每次用户登录时都会执行C2Code PowerShell脚本以保持持久性。

当用户打开文档时，宏将运行，它将执行Invoke-ShellCode脚本，该脚本托管在red teamer控制的网站上。

Meterpreter会话将打开：

参考：

• 使用Powershell和您喜欢的网站进行命令和控制
• https://github.com/enigma0x3/Powershell-C2