0x01 官方文档
参考:https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/?view=o365-worldwide
我们可以从官方文档里面找到一些关于Def的资料,以及它扫描的时候排除什么,关注什么!通过它的疏忽我们来绕过Windows Defender!
0x02 开始查找
搜索关键词:Antivirus exclusions
我找到了其中一个文档
参考文档:https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/configure-server-exclusions-microsoft-defender-antivirus?view=o365-worldwide
概括
本文概述了Windows Server 2016或更高版本上Microsoft Defender防病毒的排除项。
由于Microsoft Defender防病毒软件内置于Windows Server 2016 及更高版本中,因此会自动排除操作系统文件和服务器角色。但是,您可以定义自定义排除项。如有必要,您还可以选择退出自动排除。
0x03 默认排除项
Web 服务器排除项本节列出了安装 Web 服务器角色自动提供的文件夹排除项和进程排除项
文件夹排除
-
%SystemRoot%IIS Temporary Compressed Files -
%SystemDrive%inetpubtempIIS Temporary Compressed Files -
%SystemDrive%inetpubtempASP Compiled Templates -
%systemDrive%inetpublogs -
%systemDrive%inetpubwwwroot
进程排除
-
%SystemRoot%system32inetsrvw3wp.exe -
%SystemRoot%SysWOW64inetsrvw3wp.exe -
%SystemDrive%PHP5433php-cgi.exe
在检测过程中会忽略这些排除项,于是我们就能开始Bypass_AV了。这些文件路径在不冲突的情况下,都能够Bypass Windows Defender!
以%SystemDrive%PHP5433php-cgi.exe为例子,我们来进行Bypass
以Windows Server 2016为环境
环境下载链接:https://msdn.itellyou.cn/
在C:目录下创建PHP5433,使用CS生成.exe文件放置在该目录下运行,看看WIndows Defender是什么反应。
成功运行,并且使用Windows Defender扫描不出来。但是在Shell下能否运行需要师傅们自行去测试!
相关推荐: WordPress远程命令执行(无需认证,不用插件)
https://exploitbox.io/vuln/WordPress-Exploit-4-6-RCE-CODE-EXEC-CVE-2016-10033.html- 发现者:Dawid Golunski- dawid [at] legalhack…
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论