 声明:Tide安全团队原创文章,转载请声明出处!文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 文章打包下载及相关软件下载: 一、SyncAppvPublishingServer 简介Windows上有两个版本的SyncAppVPublishingServer工具,它们是:SyncAppvPublishingServer.exe、SyncAppvPublishingServer.vbs,可以用他们来取代powershell。 二、SyncAppvPublishingServer 使用在powershell下执行 测试过程中使用的是SyncAppvPublishingServer.vbs,SyncAppvPublishingServer.exe 没有成功 在cmd里是无法执行powershell命令的
该命令需要在powershell里进行执行
因此powershell脚本都可以通过SyncAppvPublishingServer.vbs来运行。 三、SyncAppvPublishingServer 执行payload使用powershell木马。 将powershell脚本进行混淆使用IEX远程加载执行payload。
msf可正常上线。
在实战中也可以直接写成vbs脚本
run.vbs
点击run.vbs也可以正常上线。
火绒、360均没有检测出
放在virustotal.com上a.bat查杀率为1/56
四、参考资料Powershell Without Powershell.exe https://www.youtube.com/watch?v=sema3EYnP2c E N D guān 关 zhù 注 wǒ 我 men 们 Tide安全团队正式成立于2019年1月,是新潮信息旗下以互联网攻防技术研究为目标的安全团队,团队致力于分享高质量原创文章、开源安全工具、交流安全技术,研究方向覆盖网络攻防、Web安全、移动终端、安全开发、物联网/工控安全/AI安全等多个领域。 对安全感兴趣的小伙伴可以关注团队官网: http://www.TideSec.com 或长按二维码关注公众号:   上一篇:分享一个图形数据库Neo4j的PHP库! 下一篇:CVE-2021-40444漏洞深入分析 |
