windows命令绕过
forfies
使用方式如下:
实际使用:
forfiles /c c:windowssystem32calc.exe
确认任务的父进程为forfiles.exe
pcalua
实际使用:
pcalua.exe -a c:windowssystem32calc.exe
主进程就是运行的进程
SyncAppvPublishingServer
确认powershell版本:
powershell $PSVersionTable.PSVersion
网上说powershell2版本无法运行,但这边实际操作发现是可以运行成功的(尽管有报错)
实际使用:
powershell SyncAppvPublishingServer.vbs "n; Start-Process c:windowssystem32calc.exe"
路径混淆
实际使用:
cmd.exe /c "ping 127.0.0.1/../../../../../../../windows/system32/calc.exe"
相关解释如下:
waitfor
这里通过waitfor的发送信号或者等待信号执行命令
实际使用:
waitfor test && C:WindowsSystem32calc.exe
// test为信号的名称
waitfor /s 127.0.0.1 /si test
conhost
windows 7 和 Windows server 2008 中引进的新的控制台应用程序处理机制
实际使用:
conhost C:WindowsSystem32calc.exe
explorer
其实也就是Windows系统的文件资源管理器,桌面或者从我的电脑中启动程序都是通过explorer.exe
实际使用:
explorer.exe C:WindowsSystem32calc.exe
explorer.exe /root,"C:WindowsSystem32calc.exe"
explorer.exe test, "C:WindowsSystem32calc.exe"
