🙂WSH / HTA

🖥️ Windows Script Host (WSH)

Windows Script Host (WSH) est une technologie de Microsoft permettant d'exécuter des scripts sur les systèmes d'exploitation Windows. Il prend en charge divers langages de script, tels que VBScript et JScript.

💻 cscript.exe

cscript.exe est une interface en ligne de commande pour exécuter des scripts compatibles avec WSH. Son utilisation est idéale pour lancer des scripts en mode console, notamment pour les tâches système et d'administration.

🖱️ wscript.exe

wscript.exe est une interface graphique pour exécuter des scripts compatibles avec WSH. Pratique pour les scripts nécessitant une interaction avec l'utilisateur, il affiche des boîtes de dialogue pour une meilleure expérience utilisateur.

📄 Fichiers .vbs

Les fichiers avec l'extension .vbs sont des scripts écrits en VBScript, un langage de script basé sur Visual Basic. Ils peuvent être exécutés à l'aide de cscript.exe ou wscript.exe selon les besoins, offrant ainsi une grande flexibilité dans l'automatisation des tâches sur les systèmes Windows.

📝 Exemple de script 

' Crée un objet Shell à l'aide de WScript
Set objShell = CreateObject("WScript.Shell")

' Ouvre une invite de commande et exécute la commande "whoami"
objShell.Run "cmd.exe /k whoami", 1, True

' Libère la mémoire en détruisant l'objet Shell
Set objShell = Nothing

Ce script utilise l'objet WScript.Shell pour créer une nouvelle instance de l'invite de commande (cmd.exe). L'option /k permet à l'invite de commande de rester ouverte après l'exécution de la commande, tandis que whoami est la commande qui affiche le nom de l'utilisateur actuellement connecté.

📑 HTML Applications (HTA) pour les Payloads

Les HTML Applications (HTA) sont des fichiers combinant les fonctionnalités d'une page web HTML et d'une application exécutable. Elles sont principalement utilisées sur les systèmes d'exploitation Windows et permettent d'accéder à des fonctionnalités avancées du système tout en bénéficiant de l'interface familière des pages web.

Les HTML Applications (HTA) sont essentiellement des fichiers spéciaux qui combinent les pouvoirs des pages web et des logiciels. Imagine une page web, mais au lieu de s'afficher dans un navigateur web comme Chrome ou Firefox, elle s'exécute comme un programme sur ton ordinateur.

Cela signifie que les HTA peuvent faire plus que simplement afficher du texte et des images comme une page web normale. Elles peuvent accéder à des fonctions spéciales de ton ordinateur, comme créer des fichiers, lire des données sur ton disque dur ou même se connecter à Internet pour télécharger d'autres programmes.

Les HTA peuvent être pratiques pour créer des applications simples qui s'exécutent hors ligne ou qui ont besoin d'accéder à des ressources locales sur ton ordinateur.

mshta.exe est un programme exécutable de Microsoft Windows utilisé pour interpréter et exécuter les fichiers HTML Application (HTA). Lorsque vous ouvrez un fichier HTA sur un système Windows, mshta.exe est invoqué pour traiter le code HTML et JavaScript contenu dans le fichier HTA, ce qui permet d'exécuter des actions sur le système.

🤖 Utilisation des HTA pour les Payloads

Les HTA peuvent être utilisées de manière malveillante pour exécuter des payloads sur des systèmes cibles, souvent dans le cadre d'attaques informatiques. Voici quelques exemples d'utilisation des HTA dans ce contexte :

Exécution de commandes système

Les HTA peuvent être utilisées pour exécuter des commandes système sur la machine cible. Par exemple, un code JavaScript peut être utilisé pour invoquer des commandes telles que cmd.exe pour obtenir un accès à un terminal système.

  • Exemple : 

<html>
<head>
<title>Exécution de commandes système</title>
<HTA:APPLICATION ID="oMyApp" APPLICATIONNAME="Exécution de commandes système" BORDER="no" BORDERSTYLE="normal" CAPTION="yes" ICON="cmd.exe" SHOWINTASKBAR="yes" SINGLEINSTANCE="yes" SYSMENU="yes" WINDOWSTATE="normal">
</head>
<body>
<script type="text/javascript">
    var objShell = new ActiveXObject("WScript.Shell");
    objShell.Run("cmd.exe /c whoami", 1, true);
</script>
</body>
</html>

Téléchargement et exécution de logiciels malveillants

Les HTA peuvent être utilisées pour télécharger et exécuter des logiciels malveillants sur la machine cible. En incorporant des liens de téléchargement dans le code HTA, les cybercriminels peuvent inciter les utilisateurs à télécharger et exécuter des fichiers malveillants sans méfiance.

Exemple :

Il s'agit d'un intermédiaire HTA qui téléchargera une charge utile Base64 à partir d'une URL spécifiée, la décodera vers l'extension d'origine, puis l'exécutera. En outre, il nettoie ensuite ce fichier et la charge utile Base64 du disque.

Utilisation : Téléchargez et exécutez depuis un navigateur ou avec mshta.exe

Création de portes dérobées (backdoors)

En utilisant des techniques avancées, les HTA peuvent être utilisées pour créer des portes dérobées sur les systèmes cibles, permettant aux attaquants d'accéder à distance aux machines infectées et d'exécuter des commandes à leur guise.

😄 Génerer des HTA

Il est possible de générer des fichier HTA malveillant avec Metasploit à l'aide du module : hta_server

📒 Modifier les fichiers HTA pour les rendre moins détectables

LogoGitHub - vysecurity/morphHTA: morphHTA - Morphing Cobalt Strike's evil.HTAGitHub

Cet outil génère des fichiers .html qui contiennent des fichiers HTA cryptés. Il ne génère pas directement les fichiers HTA, mais plutôt des fichiers .html qui encapsulent les fichiers HTA et les chiffrent. Lorsque ces fichiers .html sont ouverts dans un navigateur, le contenu HTA est déchiffré dynamiquement et exécuté. En résumé, l'outil facilite le processus de distribution des fichiers HTA en les incorporant dans des fichiers .html cryptés :

LogoGitHub - nccgroup/demiguise: HTA encryption tool for RedTeamsGitHub

TheBatchman convertit les fichiers batch ou HTA Windows en fichiers exécutables compressés, avec les options suivantes :

  • Inclure les fichiers situés dans le dossier de votre fichier.

  • Personnaliser l'icône.

  • Exécutez votre exécutable sans afficher la console. (pour les fichiers batch)

  • Si la console est masquée, ajoutez un retour d'achèvement sous la forme d'une boîte de dialogue. (pour les fichiers batch)

LogoGitHub - jeremyben/thebatchman: Converts Windows batch scripts (or HTA) into executable filesGitHub

📄 Résumé

WSH (Windows Script Host) : un environnement d'exécution de scripts fourni par Microsoft pour exécuter des scripts côté client, notamment des scripts écrits en VBScript et JScript.

HTA (HTML Application) : des fichiers HTML qui contiennent des scripts exécutables côté client, principalement écrits en VBScript ou JavaScript. Ces applications s'exécutent localement.

PreviousArmementNextVBA et MACROS

Last updated