PHP环境绕过360执行马儿上线

渗透技巧 3年前 (2022) admin
786 0 0
声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。


0x01 前言

前几天群里有个老哥私聊我问了个问题,phpStudy搭建的Web环境,在已拿到的Webshell中执行命令时被360拦截了,问我该如何绕过?


因为当时还在外边忙,只给他提供了几个思路,之前有做过这方面测试。趁着周末休息时间又重新测试了一下,并写下了这篇记录文,分享给有需要的人。

PHP环境绕过360执行马儿上线


0x02 本地测试环境

大家应该都知道phpStudy集成包Apache的httpd.exe进程默认是以当前登录用户或System运行,所以不用再去执行提权操作,但是主机上安装的有360,在执行高危命令或木马等恶意程序时会被360进程防护功能拦截。
操作系统:Windows 10 专业版19043(物理机)环境平台:phpStudy(php-5.5.38/Apache 2.4.23)当前权限:*******-win103had0w(Administrators)安全防护:360安全卫士 13.1.0.1004(开启核晶防护引擎,木马库:2022-03-05)
PHP环境绕过360执行马儿上线

0x03 绕过进程防护

首先我们测试了“组策略禁用命令提示符的绕过”文中提到的利用中国菜刀虚拟终端的setp命令和php调用com组件wscript.shell执行马儿的方式,不过在这里都被360给拦截了,真是啪啪打脸。


MSF的PHP Payload可以获取会话,但有很多命令都执行不了,如:ps、kill、shell、migrate、hashdump、mimikatz等,execute执行马时还是会被拦截。

PHP环境绕过360执行马儿上线


也测试了“绕过360进程防护执行系统命令”文中提到的那几种白名单方式,IIS环境下是都可以绕过的。


但是在这种PHP环境下基本上都被360进程防护给拦截了,或者在执行时会提示文件不存在、缺少文件!

cmd /c start C:ProgramDatamsf.exe
PHP环境绕过360执行马儿上线


不过最后还是找到一个特别简单的绕过方式,就是在中国菜刀执行命令时在前边加上一个cmd /c即可绕过360进程防护功能执行马儿上线。


以下几种方式在本地测试是OK的,也找朋友给测了下,但不确定在实战场景中是否也能绕过,还请自行测试。

cmd /c C:ProgramDatamsf.exe              //有一定几率能够绕过360cmd /c start C:ProgramDatamsf.exe        //有一定几率能够绕过360Dxcap -c C:ProgramDatamsf.exe            //有一定几率能够绕过360cmd /c Dxcap -c C:ProgramDatamsf.exe     //Dxcap被拦时可尝试这种
PHP环境绕过360执行马儿上线

PHP环境绕过360执行马儿上线


可以看到我们已经成功利用cmd /c + Dxcap白名单绕过了360进程防护执行马儿上线了,而且还发现了在这之后再直接去执行这个马儿时360也不会再拦截了。

PHP环境绕过360执行马儿上线


0x04 文末小结

这篇文章中我们也只是简单测试了在PHP环境下如何绕过360的进程防护功能执行马儿,IIS环境下的绕过方式可能更多,因为很多白名单都可以直接利用。马儿也必须免杀,否则在执行时还是会被特征查杀。


有时在本地和实战场景中的测试结果可能不太一样,所以建议大家还是根据所遇到的场景自行去做测试,因为只有自己去测了以后才知道是什么情况,而且这类安全厂商每天都在更新相关规则,你们懂的…!



关 注 有 礼



关注公众号回复“9527”可以免费领取一套HTB靶场文档和视频,1120”安全参考等杂志电子版,1208”个人常用高效爆破字典0221”2020年酒仙桥文章打包2191潇湘信安文章打包,“1212”在线杀软对比源码+数据源。

PHP环境绕过360执行马儿上线 还在等什么?赶紧点击下方名片关注学习吧!PHP环境绕过360执行马儿上线


推 荐 阅 读




PHP环境绕过360执行马儿上线
PHP环境绕过360执行马儿上线
PHP环境绕过360执行马儿上线

欢 迎 私 下 骚 扰



PHP环境绕过360执行马儿上线

原文始发于微信公众号(潇湘信安):PHP环境绕过360执行马儿上线

版权声明:admin 发表于 2022年3月10日 上午9:00。
转载请注明:PHP环境绕过360执行马儿上线 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...