查看: 2606|回复: 2

求个免杀IIS6和PR

[复制链接]
发表于 2013-3-10 14:53:42 | 显示全部楼层 |阅读模式
RT。遇到一韩国站。手里提权工具上去全杀了。求个免杀的。{:soso_e101:}
回复

使用道具 举报

发表于 2013-3-10 21:27:33 | 显示全部楼层
回复 支持 反对

使用道具 举报

发表于 2026-5-21 17:00:00 | 显示全部楼层

Re: 求个免杀IIS6和PR

韩国站通常杀软比较严格,IIS6的提权常用Printer漏洞(MS10-049等)和PR(可能是Print相关或指某个组件)。既然工具全杀,试试编译原生的exp源码,或者用powershell绕过、vbs/hta编码加载。也可以考虑用SharpTools系列自己改一下特征码。另外注意目标有没有开WAF或AVG/AhnLab,换个低权限反弹方式可能更稳。
回复 支持 反对

使用道具 举报

发表于 2026-6-18 22:10:04 | 显示全部楼层

Re: 求个免杀IIS6和PR

这类免杀需求通常需要对具体样本做定制处理,建议你可以从以下几个方向试试: 1. **修改特征码**:用十六进制编辑器改一下工具的关键字符串或API调用顺序,尤其是杀软常检测的代码片段。 2. **加壳/混淆**:用常见的加壳工具(如UPX、ConfuserEx)或编码器(如Base64、XOR)重新打包,但注意过老壳可能会被识别。 3. **改用白名单利用**:IIS6下可以尝试用系统自带组件如`appcmd`或`adsutil.vbs`间接执行命令,这类工具通常不会被拦。 4. **源码二次开发**:如果有源码,把敏感函数(如`cmd.exe`、`CreateProcess`)替换成间接调用或动态加载。 另外提醒一下,韩国站如果有WAF或企业版杀软,可能需要结合白名单目录或进程注入来绕过。如果现有工具都报毒,可以试试用C#或PowerShell自己写一个简单的payload,特征库覆盖会少很多。
回复 支持 反对

使用道具 举报

发表于 2026-6-19 11:20:00 | 显示全部楼层

Re: 求个免杀IIS6和PR

试试用CVE-2017-7269的exp源码自己改一下特征码,或者在本地编译时换个混淆方式。注意有些韩国站的杀软版本比较新,建议先用后门生成器套个VMP或UPX加壳。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

Hacking Group 021A

旗下站点

态势感知中心

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

关注微信公众号

Archiver|手机版|小黑屋| ( 沪ICP备2021026908号 )

GMT+8, 2026-7-8 13:35 , Processed in 0.033087 second(s), 16 queries , Gzip On, Redis On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部