windows命令行混淆

2021-07-29 15:30:04 浏览数 (1)

前言:

后台有朋友找我要猎鹰C2,这个我也没有哈,有需要的可以自己花钱去买,事情忙完了,可以恢复更新了。

命令行通常是杀软检测比较严格的地方,比如一些被滥用的命令就会被杀软重点关注,比如:rundll32、powershell、certutil等等。当我们使用命令行混淆时,可以适当的规避某些杀软的检测规则,达到我们执行命令的目的。

典型:Emotet木马

下面是一些常见的混淆方法

环境变量

环境变量的基本用法是使用set对变量进行赋值,然后可以直接使用赋值后的变量进行直接调用。

查看环境变量:

代码语言:javascript复制
set

便可以看到我们所有的环境变量。然后我们来设置环境变量:

代码语言:javascript复制
set a=cmd /c whoami

然后执行:

代码语言:javascript复制
%a%

该方法可以用与静态检测绕过,要对其进行日志监测还需要装sysmon。

双引号

双引号没有什么特殊的含义,它可以帮助文件或目录保持一个整体,而不会被中间的空格所切割。

一个简单的例子就是目录名中间有空格。

用法即是我们可以在敏感文件名、命令中间添加空格。

转义符

转义符(^)也可以做为切割文件名的一个符号,但是该符号不能够连续输入。

转义符也可以作为一个换行

垃圾分隔符

先来了解一下管道,通过管道结合cmd我们可以执行前者。

代码语言:javascript复制
echo calc | cmd

结合环境变量,再引入@符,可以发现仍然能够执行。

代码语言:javascript复制
cmd /c "set x=c@alc & echo %x:@=% | cmd"

@符的作用,@符能够将值传递到前面的环境变量中,如:

代码语言:javascript复制
cmd /c "set x=c@alc & echo %x:@=test% | cmd"

这就可以将test传到c@alc的@位置,输出将是ctestalc。

字符串提取

cmd中也可以通过环境变量的方式进行变量值的字符串提取。

如:set a=abcd,要想提取里面的某个字符串,可以通过

代码语言:javascript复制
%a:~0,1%

其中0表示从第几位开始提取,1表示提取几个字符串。

所以,我们可以这样去执行一个计算器。

代码语言:javascript复制
set a=abcd & %a:~2,1%alc

圆括号

成对的圆括号()也会出现在命令参数中,也不影响命令的执行。圆括号表示嵌入子命令组,同样被cmd.exe参数处理器进行解释

代码语言:javascript复制
cmd /c "(((ipconfig)))"

逗号与分号

逗号与分号某些情况可以当作一个终止符号或者代替空格。

循环语句查找

我们也可以通过for循环去查找我们所要的字符串执行,可以避免在命令行输入特殊的字符。

首先要说明for循环的几个参数及语句的意义。

代码语言:javascript复制
1.for /f "条件" in "范围"
2.tokens表示第几列
3.delims表示切割符,可输入多个切割符
代码语言:javascript复制
完整语句:
FOR /F “tokens=4 delims=“ %g IN (“c:windowssystem32powershell”) do %g
从”c:windowssystem32powershell”中以反斜杠为分隔符,提取第四列的字符串并执行。当然我们可以从文件名、目录名、文件中、环境变量中去读取数据,这样我们需要的字符串就都能够提取到。

自动化:

https://github.com/danielbohannon/Invoke-DOSfuscation

与lolbins配合

有一些混淆需要配合指定的程序使用,下面是方法

选项字符替换

这个其实没啥说的,无非就是比如像-n,替换为/n,看图

字符替换

利用对unicode的处理问题,当使用 ˪、ˣ 和 ˢ 等字符。一些命令行解析器将它们识别为字母并将它们分别转换回 l、x 和 s。

unicode地址如下

https://www.unicode.org/charts/nameslist/n_02B0.html

demo如下

参数简写

这个可以拿powershell为例,其-e参数与下面所有写法同理

代码语言:javascript复制
-e
-ec
-en
-enc
-enco
-encod
-encode
-encoded
-encodedc
-encodedco
-encodedcom
-encodedcomm
-encodedcomma
-encodedcomman
-encodedcommand

各lolbin所支持的方法:

自动化工具地址:https://github.com/wietze/windows-command-line-obfuscation

参考文章:

https://www.fireeye.com/content/dam/fireeye-www/blog/pdfs/dosfuscation-report.pdf

https://www.wietzebeukema.nl/blog/windows-command-line-obfuscation

https 网络安全 编程算法 unicode powershell

0 人点赞