扫码加圈子
获内部资料
网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。
原文链接:https://zone.huoxian.cn/d/2929-webshellcs
作者:xwhat
如有错误,望批评指正,虚心接受,相互学习。
声明:本文仅用于网络安全相关知识分享,仅供学习交流,请严格遵守网络安全相关法律法规。
作为一个刚入门的免杀初学者,实战中常常会遇见这种情况
明明木马在本地正常运行,不管是双击打开还是cmd打开,各种杀软都无反应
一到webshell上线,就是启动不了
直接cmd或者虚拟终端启动都会报毒
笔者尝试后发现,原因出在进程树(进程链)上
相关文件:sdb.exe(cs木马)
正常我们在本地直接点击exe或者使用cmd打开我们的木马,(根)父进程都是explorer.exe
本地使用cmd
本地直接点击
webshell上线后运行
但是webshell上线后,运行木马的父进程为apache
原因总结
在webshell上线时木马的父(根)进程为apache等中间件,而正常点击或者cmd上线父(根)进程为explorer.exe
而杀软正是利用此方法进行行为检测
为了逃离进程树,我们可以使用白加黑的方法,实现白加黑的方式很多,不一一列举
参考Tide重剑无锋师傅的文章:https://www.freebuf.com/articles/system/232074.html
因update.exe具有微软签名,同时可拉起一个新进程,以下笔者以Microsoft teams为例
将teams安装后,找到默认安装路径中的update.exe
默认为:
C:UsersusernameAppDataLocalMicrosoftTeams
将无用的其他文件删除,并在current目录下放置木马,只留下以下内容确保可正常执行
<DIR> current<File> sdb.exe(木马文件)<DIR> packages<File> RELEASES<File> Update.exe
在目标服务器上配置好后直接运行以下命令(无需安装,生成/上传对应目录及文件即可)
tips:木马文件一定得放在current目录下
C:/xxx/xxx/update.exe --processStart sdb.exe(木马文件)
杀软无拦截,成功上线,父进程为update.exe
实战中不仅可以利用此法上线cs,还能运行其他提权、内网穿透工具等,望对诸君有帮助
内部圈子介绍
圈子专注于更新src相关:
1、维护更新src专项漏洞知识库,包含原理、挖掘技巧、实战案例
2、分享src优质视频课程
3、分享src挖掘技巧tips
4、微信小群一起挖洞
5、不定期有众测、渗透测试项目
申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,
所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.
原文始发于微信公众号(神农Sec):实战攻防 | webshell上线CS技巧-进程树逃离
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论