情景再现
作为一个刚入门的免杀初学者,实战中常常会遇见这种情况
明明木马在本地正常运行,不管是双击打开还是cmd打开,各种杀软都无反应
一到webshell上线,就是启动不了
直接cmd或者虚拟终端启动都会报毒
原因解析
笔者尝试后发现,原因出在进程树(进程链)上
相关文件:sdb.exe(cs木马)
正常我们在本地直接点击exe或者使用cmd打开我们的木马,(根)父进程都是explorer.exe
本地使用cmd
本地直接点击
webshell上线后运行
但是webshell上线后,运行木马的父进程为apache
原因总结
在webshell上线时木马的父(根)进程为apache等中间件,而正常点击或者cmd上线父(根)进程为explorer.exe
而杀软正是利用此方法进行行为检测
绕过方法(另类白加黑)
为了逃离进程树,我们可以使用白加黑的方法,实现白加黑的方式很多,不一一列举
参考Tide重剑无锋师傅的文章:https://www.freebuf.com/articles/system/232074.html
因update.exe具有微软签名,同时可拉起一个新进程,以下笔者以Microsoft teams为例
将teams安装后,找到默认安装路径中的update.exe
默认为:
C:UsersusernameAppDataLocalMicrosoftTeams
将无用的其他文件删除,并在current目录下放置木马,只留下以下内容确保可正常执行
<DIR>current
<File>sdb.exe(木马文件)
<DIR>packages
<File>RELEASES
<File>Update.exe
在目标服务器上配置好后直接运行以下命令(无需安装,生成/上传对应目录及文件即可)
![image-20240811220900425](C:UsersadminDesktop免杀专项-进程树逃离.assetsimage-20240811220900425.png)
tips:木马文件一定得放在current目录下
C:/xxx/xxx/update.exe --processStart sdb.exe(木马文件)
杀软无拦截,成功上线,父进程为update.exe
实战中不仅可以利用此法上线cs,还能运行其他提权、内网穿透工具等
作者:xwhat
来源:https://zone.huoxian.cn/d/2929-webshellcs
原文始发于微信公众号(船山信安):实战webshell上线cs技巧-进程树逃离
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论