介绍
Windows 系统提供了多个二进制文件,攻击者可利用这些二进制文件执行任意命令,从而逃避检测,尤其是在监控“ cmd.exe ”等二进制文件的环境中。在某些情况下,如果规则配置不正确(按路径或文件名列入白名单),则可以使用下面描述的技术绕过应用程序白名单产品或混淆 Windows 事件。
Bypass
首先,可以使用 Metasploit 实用程序“ msfvenom ”生成任意可执行文件 。此实用程序将在初始二进制文件执行命令期间用作触发器。
|
Plaintext |
forfiles
“ forfiles ” 是一个命令实用程序,它可以选择多个文件并对其运行命令。它通常用于批处理作业,但可能会被滥用来执行任意命令或可执行文件。参数“/p”和“/m”用于在 Windows 目录“ System32 ”和掩码“ calc.exe ”中执行搜索,即使默认搜索掩码为 *。参数“/c”后面的任何内容都是实际执行的命令。
|
Plaintext |
Meterpreter 会话将打开并与命令和控制建立连接。
这会在系统上创建一个新进程。“ pentestlab.exe ”进程将是“ forfiles.exe ”的子进程 。
或者,可以通过 Windows“运行”调用“ forfiles ”实用程序,从而无需使用 Windows 命令提示符。
pcalua
程序兼容性助手是一个 Windows 实用程序,当它检测到存在兼容性问题的软件时会运行。该实用程序位于“ C:WindowsSystem32 ”中,可以使用“-a”参数执行命令。
|
Plaintext |
由于 Meterpreter 会话将打开,因此命令将成功执行。
新创建的进程将显示为父进程。
conhost
控制台窗口主机 (conhost.exe) 在 Windows 上运行,以提供命令提示符和 Windows 资源管理器之间的接口。但是,它还能够以可能导致 Windows 事件混乱的方式执行命令和二进制文件。
|
Plaintext |
explorer
“ explorer.exe ”可用作执行方法。此外,执行的有效负载将在系统上创建一个进程,该进程的父进程为“ explore.exe ”,而不是“ cmd.exe ”。
|
Plaintext |
以上所有命令都可以通过Windows“运行”交替执行。
waitfor
“ waitfor ” 是 Microsoft 的一个二进制文件,用于通过发送信号来同步网络上的计算机。然而,在红队场景中,它可能被用作一种逃避或 持久性 的方法,以执行任意命令或下载植入程序。
|
Plaintext |
所有上述方法都将执行任意有效负载并返回 Meterpreter 会话或与任何其他命令和控制框架建立连接。
SyncAppvPublishingServer
“ SyncAppvPublishingServer ” 启动 Microsoft 应用程序虚拟化 (App-V) 发布刷新操作。但是,它可以用作执行命令以逃避检测的非直接方法。在下面的示例中,执行从 PowerShell 进行,并使用“Start-Process”cmdlet 运行可执行文件。
|
Plaintext |
执行将会成功,因为会话将会打开。
由于“ SyncAppvPublishingServer ”将执行双引号中的所有内容, 因此也可以使用“ regsvr32 ”方法从远程位置执行恶意负载。
|
Plaintext |
SyncAppvPublishingServer – Regsvr32
CMD目录穿越
可以使用路径遍历式攻击来混淆监控系统并执行命令或有效载荷。还可以通过执行以下命令来确定父进程:
|
Plaintext |
原文始发于微信公众号(暴暴的皮卡丘):Windows 利用白名单程序绕过DER安全防御
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论