实战webshell上线cs技巧-进程树逃离

admin 2024年9月13日16:46:40评论23 views字数 1039阅读3分27秒阅读模式

情景再现

作为一个刚入门的免杀初学者,实战中常常会遇见这种情况

明明木马在本地正常运行,不管是双击打开还是cmd打开,各种杀软都无反应

实战webshell上线cs技巧-进程树逃离

一到webshell上线,就是启动不了

实战webshell上线cs技巧-进程树逃离

直接cmd或者虚拟终端启动都会报毒

实战webshell上线cs技巧-进程树逃离

原因解析

笔者尝试后发现,原因出在进程树(进程链)上

相关文件:sdb.exe(cs木马)

正常我们在本地直接点击exe或者使用cmd打开我们的木马,(根)父进程都是explorer.exe

本地使用cmd

实战webshell上线cs技巧-进程树逃离

实战webshell上线cs技巧-进程树逃离

本地直接点击

实战webshell上线cs技巧-进程树逃离

webshell上线后运行

但是webshell上线后,运行木马的父进程为apache

实战webshell上线cs技巧-进程树逃离

实战webshell上线cs技巧-进程树逃离

实战webshell上线cs技巧-进程树逃离

原因总结

在webshell上线时木马的父(根)进程为apache等中间件,而正常点击或者cmd上线父(根)进程为explorer.exe

而杀软正是利用此方法进行行为检测

绕过方法(另类白加黑)

为了逃离进程树,我们可以使用白加黑的方法,实现白加黑的方式很多,不一一列举

参考Tide重剑无锋师傅的文章:https://www.freebuf.com/articles/system/232074.html

因update.exe具有微软签名,同时可拉起一个新进程,以下笔者以Microsoft teams为例

将teams安装后,找到默认安装路径中的update.exe

默认为:

C:UsersusernameAppDataLocalMicrosoftTeams

实战webshell上线cs技巧-进程树逃离

将无用的其他文件删除,并在current目录下放置木马,只留下以下内容确保可正常执行

<DIR>current
<File>sdb.exe(木马文件)
<DIR>packages
<File>RELEASES
<File>Update.exe

在目标服务器上配置好后直接运行以下命令(无需安装,生成/上传对应目录及文件即可)

![image-20240811220900425](C:UsersadminDesktop免杀专项-进程树逃离.assetsimage-20240811220900425.png)

tips:木马文件一定得放在current目录下

C:/xxx/xxx/update.exe --processStart sdb.exe(木马文件)

实战webshell上线cs技巧-进程树逃离

杀软无拦截,成功上线,父进程为update.exe

实战webshell上线cs技巧-进程树逃离

实战webshell上线cs技巧-进程树逃离

实战webshell上线cs技巧-进程树逃离

实战中不仅可以利用此法上线cs,还能运行其他提权、内网穿透工具等

作者:xwhat
来源:https://zone.huoxian.cn/d/2929-webshellcs

原文始发于微信公众号(船山信安):实战webshell上线cs技巧-进程树逃离

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月13日16:46:40
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   实战webshell上线cs技巧-进程树逃离https://cn-sec.com/archives/3156519.html

发表评论

匿名网友 填写信息