Windows-Server-2016/2019绕过WindowsDefender

已于 2024-08-25 16:28:22 修改
阅读量487 收藏 6
点赞数 5
分类专栏: 渗透测试 文章标签: 渗透测试 WEB渗透 网络安全 WEB安全 windows
于 2024-08-22 21:00:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_59468567/article/details/141437951
版权

  渗透测试60w字全套md笔记:夸克网盘分享

当获得了一个webshell的时候,下一步要反弹个shell回来

image

在尝试了https://github.com/trustedsec/unicorn独角兽失败之后,找到了一篇使用golang将shellcode注入到内存的文章 Bypassing Antivirus with Golang - Gopher it! | JUMPSEC LABS GitHub - brimstone/go-shellcode: Load shellcode into a new process https://golang.org/pkg/syscall/?GOOS=windows#NewLazyDLL

该代码利用golang中的syscall包来调用NewLazyDLL 方法来加载Kernel32.dll,加载Kernel32.dll后,即可将其用于寻址和内存分配。编译后的代码将十六进制格式的msfvenom内容用作命令行参数。 由于代码存在许久,可能直接使用会被检测到,这里对其进行了修改,重命名所有变量,通过URL方式加载shellcode,为了绕过沙盒,添加了一些其他的参数,如果不存在参数则退出执行。 用powershell下载到服务器

image

等了几分钟,发现文件没有被删除,再执行。Msf收到会话

image

在尝试了getuid命令之后,返回了错误,查看了以下目录,还是被删除了

image

image

本地复现了下,可以看到被检测到了

image

绕过可以看一下微软的文章 Microsoft Defender Antivirus exclusions on Windows Server - Microsoft Defender for Endpoint | Microsoft Learn

Windows Server 2016和2019上的Microsoft Defender Antivirus自动将您注册为某些排除项,具体由您指定的服务器角色定义。请参阅 自动排除项列表 。这些排除项不会被windows defender检查。

image

按照文章,创建个目录PHP5433,修改文件为php-cgi.exe即可绕过wd的防护

image

image

image

image

使用烂土豆提权

image

文中webshell: https://github.com/NetSPI/cmdsql
Pluto-2003
关注
专栏目录
Windows内存保护机制及绕过方法
墨痕诉清风的博客
10-27 2638
0 目录 GS编译 SafeSEH机制 SEH覆盖保护 数据执行保护(DEP) 地址随机化(ASLR) 1 GS编译 1.1 基本原理 Windows操作系统为解决栈溢出漏洞的问题引入了一个对策——GS编译保护技术。 GS编译保护技术是通过编译时添加相关代码而实现的,开启GS 编译选项后会在函数的开头和结尾添加代...
6.2. 持久化 - Windows
Sumarua的博客
07-07 1529
文章目录6.2. 持久化 - Windows6.2.1. 隐藏文件6.2.2. LOLBAS6.2.2.1. 简介6.2.2.2. 常见程序6.2.3. 后门6.2.3.1. sethc6.2.3.2. 映像劫持6.2.3.3. 定时任务6.2.3.4. 登录脚本6.2.3.5. 屏幕保护程序6.2.3.6. 隐藏用户6.2.3.7. CLR6.2.3.8. Winlogon Helper DLL后门6.2.4. UAC6.2.4.1. 简介6.2.4.2. 会触发UAC的操作6.2.4.3. ByPass
彻底删除 Windows Defender 这个垃圾
热门推荐
第一天
03-07 13万+
彻底卸载: 把如下代码复制到文本中,后缀命名为cmd @echo off cd /d "%~dp0" echo Uninstalling ... CLS install_wim_tweak.exe /o /l install_wim_tweak.exe /o /c "Windows-Defender" /r install_wim_tweak.exe /h /o /l echo It sho...
彻底删除 Windows Defender 2021年09月3日更新
yangyi91171的专栏
09-03 4215
针对新版本WIN10,之前的组策略方法,注册表方法,一键禁用defend工具已经全部失效。 给出这个方案,非常不错。 这是一个在线工具,名字叫做WindowsDefenderRemoveScript 工作原理: install_wim_tweak.exe查询需要删除的组件,调运install_wim_tweak.exe开始删除,删除功能组件后再调运删除一次文件即可彻底删除干净! 下载地址: https://linux-1251121573.cos.ap-guangzhou.myqcloud
WindowsDefenderRemoveScript移除杀毒软件.rar
05-14
移除WindowsDefender利器
如何禁用或者完全移除Windows Defender?一文全解决
zhishitu7的博客
11-28 1万+
本文主要介绍了禁用Windows Defender的2中不同方法,包括可恢复和不可恢复。也介绍了如何避免因为杀毒软件的扫描而导致的桌面重启。如何完全禁用或者彻底卸载Windows Defender? - 小兔网 如果你没有安装第三方杀毒软件,Windows 10会自动激活其内置的Window Defender杀毒软件。虽然Windows DefenderWindows内置的,但是杀毒能力只能算比较平庸。可能是它属于杀毒行业种的后来者。 在很多操作步骤和使用方法都不太符合用户的习惯,甚至有些自
【红队技巧】.Net免杀 绕过主流杀软
最新发布
M1n9K1n9的博客
08-26 1840
最近执行任务时,需要动用自己的免杀知识却发现它们不再生效,于是就有了本文。这次对windows api和C#又有了比在thm​学习时更深的认识和了解。
Windows支持诊断工具(MSDT)远程代码执行漏洞(CVE-2022-30190)分析复现/修复
hongduilanjun的博客
06-08 3434
Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution Vulnerability对应的cve为CVE-2022-30190,其能够在非管理员权限、禁用宏且在windows defender的情况下绕过防护,达到上线的效果。这里我们不对漏洞原理做过多的阐述(因为太菜),主要是进行漏洞的复现。在这里笔者只测试了如下版本能够适用,对于Office的 Insider 和 Current 和版本无法进行利用Microsoft Of
Windows defender bypass | 免杀
jijisaq的博客
06-14 640
在制作免杀的过程中,翻找 Windows 官方对 Windows Defender 的介绍,发现有这样一个目录:Configure Microsoft Defender Antivirus exclusions on Windows Server(在 Windows server 中配置defender排除项)。简而言之就是在 Windows Server20162019 中,Windows Defender 默认存在一些排除项,在实时检测过程中会忽略这些排除项,但是主动扫描的时候不会排除。
【CVE-2021-1675】Windows Print Spooler RCE
weixin_39664643的博客
07-29 749
【漏洞复现】Windows Print Spooler RCE 前言 Windows Print Spooler是Windows的打印机后台处理程序,广泛的应用于各种内网中,攻击者可以通过该漏洞绕过PfcAddPrinterDriver的安全验证,并在打印服务器中安装恶意的驱动程序。 若攻击者所控制的用户在域中,则攻击者可以连接到DC中的Spooler服务,并利用该漏洞在DC中安装恶意的驱动程序,完整的控制整个域环境。 攻击者可以利用任何经过身份验证的用户都可以调用RpcAddPrinterDriverEx
WindowsDefenderRemoveScript.rar
07-14
方案二:【不可恢复】用脚本完全卸载Windows Defender 如果你想完全卸载Windows Defender,不留任何其相关服务,以免以后和其他软件造成冲突,你可以使用以下方法。但是注意,此方法不可逆,如果使用了,Windows Defender就不能再恢复或重新激活。 1. 下载移除Windows Defender的专用脚本 WindowsDefenderRemoveScript.zip 2. 下载后解压 并 右键单击“Uninstall.cmd”后,点击“以管理员权限运行
一键停用Defender.zip
05-10
一键停用10 的Defender服务和应用,非常实用,不用再被弹框骚扰。
DefenderControl.zip(Win10 Defender一键开关)
09-12
可以一键关闭和启用Windows 10 的Defender,很方便。主要原因在于经常会下载一些破解补丁,在Defender开启时,电脑上无法正常运行破解补丁,于是从网上找到这个小工具,实现随时开关。
WindowsDefender移除脚本.zip
04-28
一键,直接快速移除WindowsDefender的杀病毒模块(win10),是脚本文件,需要以管理员身份运行,让系统更干净
defender卸载工具
11-29
工具卸载Windowsdefender,需要的小伙伴可以拿去。
虚拟机测试Windows Server 2016原地升级2019,应用和数据完美保留
par@ish的博客
02-08 5493
如果要保留相同的硬件和已设置的所有服务器角色,最佳的办法是采取就地升级。 借助就地升级,可从较低版本的操作系统升级到较高版本的操作系统,同时使设置、服务器角色和数据保持不变。 原地升级的方案,可以很好的帮助系统管理员更效率的去完成系统版本的升级,降低网络安全风险,提供更好的生产环境。 接下来我会通过虚拟机来完成Windowsserver2016原地升级2019的测试过程。我也是为生产环境升级2019做测试准备。 一、准备升级环境 1,建议升级前,Windows server 2016登录的是管理员权限。 2
如何禁用或者完全移除Windows Defender
铁柱admin的博客
05-19 4780
推荐教程 https://www.reneelab.com.cn/forbidden-windows-defender.html
Windows Server 2016:全新安全特性和核心架构
"Windows Server 2016是微软公司开发的一款企业级服务器操作系统,它基于Windows 10的技术构建,提供了许多增强的安全性、虚拟化和管理特性。该系统旨在提升数据中心的效率和安全性,同时也支持云计算环境。Windows ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Pluto-2003

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值