OS-SHELL却无法bypassAV
发现有向日葵,于是读取向日葵配置文件,发现是新版,寄
所以这里利用了最新版本的获取验证码和识别码,参考:https://mp.weixin.qq.com/s/yfKpdPaDl0XwoZWLdY4S8Q
于是我在其目标主机通过命令行下载了procudmp64.exe,并且获取向日葵的pid并dump内存
经过一番折腾,导出内存成功
问题来了,如何下载?
当然是复制到web站点目录下载,让我等了几个小时这东西,卡死了
最后是用winhex分析,但是这里有一点要提,就是特征点不一定是文章提到的,这里我是这样做的
-
先dump自己的,找到自己的识别码在winhex查看前面具有特征的二进制文本,然后在目标主机的里面搜索,发现成功
然后在目标主机内存dump下来的查找特征点,找到特征码,接下来找验证码
然而验证码这里,我估计是因为我的是短期验证码,而他的是长期验证码,所以特征点不一样,但是幸运的是,文章内找验证码的特征还能用
通过搜索F3跳转到c=color_edit >后面有内容的地方,成功获取验证码
原文始发于微信公众号(NGC660安全实验室):【实战】记一次项目上向日葵BypassAV
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论