实战攻防 | webshell上线CS技巧-进程树逃离

admin 2024年12月17日11:23:13评论5 views字数 1393阅读4分38秒阅读模式

扫码加圈子

获内部资料

实战攻防 | webshell上线CS技巧-进程树逃离
实战攻防 | webshell上线CS技巧-进程树逃离

网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。

原文链接:https://zone.huoxian.cn/d/2929-webshellcs

作者:xwhat

实战攻防 | webshell上线CS技巧-进程树逃离
0x1 前言

如有错误,望批评指正,虚心接受,相互学习。

声明:本文仅用于网络安全相关知识分享,仅供学习交流,请严格遵守网络安全相关法律法规。

实战攻防 | webshell上线CS技巧-进程树逃离
0x2 情景再现

作为一个刚入门的免杀初学者,实战中常常会遇见这种情况

明明木马在本地正常运行,不管是双击打开还是cmd打开,各种杀软都无反应

实战攻防 | webshell上线CS技巧-进程树逃离

一到webshell上线,就是启动不了

实战攻防 | webshell上线CS技巧-进程树逃离

直接cmd或者虚拟终端启动都会报毒

实战攻防 | webshell上线CS技巧-进程树逃离
实战攻防 | webshell上线CS技巧-进程树逃离
0x3 原因解析

笔者尝试后发现,原因出在进程树(进程链)上

相关文件:sdb.exe(cs木马)

正常我们在本地直接点击exe或者使用cmd打开我们的木马,(根)父进程都是explorer.exe

本地使用cmd

实战攻防 | webshell上线CS技巧-进程树逃离
实战攻防 | webshell上线CS技巧-进程树逃离

本地直接点击

实战攻防 | webshell上线CS技巧-进程树逃离

webshell上线后运行

但是webshell上线后,运行木马的父进程为apache

实战攻防 | webshell上线CS技巧-进程树逃离
实战攻防 | webshell上线CS技巧-进程树逃离
实战攻防 | webshell上线CS技巧-进程树逃离

原因总结

在webshell上线时木马的父(根)进程为apache等中间件,而正常点击或者cmd上线父(根)进程为explorer.exe

而杀软正是利用此方法进行行为检测

实战攻防 | webshell上线CS技巧-进程树逃离
0x4 绕过方法(另类白加黑)

为了逃离进程树,我们可以使用白加黑的方法,实现白加黑的方式很多,不一一列举

参考Tide重剑无锋师傅的文章:https://www.freebuf.com/articles/system/232074.html

因update.exe具有微软签名,同时可拉起一个新进程,以下笔者以Microsoft teams为例

将teams安装后,找到默认安装路径中的update.exe

默认为:

C:UsersusernameAppDataLocalMicrosoftTeams
实战攻防 | webshell上线CS技巧-进程树逃离

将无用的其他文件删除,并在current目录下放置木马,只留下以下内容确保可正常执行

<DIR> current<File> sdb.exe(木马文件)<DIR> packages<File> RELEASES<File> Update.exe

在目标服务器上配置好后直接运行以下命令(无需安装,生成/上传对应目录及文件即可)

tips:木马文件一定得放在current目录下

C:/xxx/xxx/update.exe --processStart sdb.exe(木马文件)
实战攻防 | webshell上线CS技巧-进程树逃离

杀软无拦截,成功上线,父进程为update.exe

实战攻防 | webshell上线CS技巧-进程树逃离
实战攻防 | webshell上线CS技巧-进程树逃离
实战攻防 | webshell上线CS技巧-进程树逃离
实战攻防 | webshell上线CS技巧-进程树逃离
0x5 总结

实战中不仅可以利用此法上线cs,还能运行其他提权、内网穿透工具等,望对诸君有帮助

我们是神农安全,点赞 + 在看 铁铁们点起来,最后祝大家都能心想事成、发大财、行大运。
实战攻防 | webshell上线CS技巧-进程树逃离
实战攻防 | webshell上线CS技巧-进程树逃离

内部圈子介绍

实战攻防 | webshell上线CS技巧-进程树逃离

圈子专注于更新src相关:

1、维护更新src专项漏洞知识库,包含原理、挖掘技巧、实战案例2、分享src优质视频课程3、分享src挖掘技巧tips4、微信小群一起挖洞5、不定期有众测、渗透测试项目

申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,

所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.

实战攻防 | webshell上线CS技巧-进程树逃离
欢迎加入星球一起交流,券后价仅40元!!! 即将满200人涨价
长期更新,更多的0day/1day漏洞POC/EXP

原文始发于微信公众号(神农Sec):实战攻防 | webshell上线CS技巧-进程树逃离

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月17日11:23:13
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   实战攻防 | webshell上线CS技巧-进程树逃离https://cn-sec.com/archives/3517999.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息