Windows2022绕过Defender提权
发布网友
发布时间:2024-10-03 02:24
共1个回答
热心网友
时间:2024-10-05 13:21
在项目测试中,面对MSSQL注入引发的.NET Webshell,尝试使用SuperTerminal功能未能成功,因为命令执行被Defender拦截。通过删除不必要的字符,使用生成的hex shellcode与CobaltStirke配合,虽然本地测试显示会被Defender查杀,但通过调整注入进程(如rundll32.exe到csc.exe等)可以降低拦截,实现命令执行。
提权阶段,sharpcmd插件的使用能够利用SeImpersonate特权,预示着可能通过Potato系列Exploit提权。然而,使用InlineExecute-Assembly插件执行特定Exploit时,需注意加上--mailSlot参数以确保回显。在Windows Server 2022实战和Windows 10本地虚拟机测试中,InlineExecute-Assembly的优势在于内存执行.NET程序集,避免了执行过程中的常规拦截机制。
