В домене стоит 360 Total Security. Есть УЗ локал админа. Какие есть способы байпасса данного ав? smbexec, wmiexec, cme с флагом -x/-X ловит детект. Из возможностей - только использование smbclient и доступ к файловой системе(выгрузить/залить файлы), выполнять команды возможности нет. Доступа по RDP нет чтобы отключить ав.
-
XSS.stack #1 – первый литературный журнал от юзеров форума
AV\EDR Обход 360 Total Security(AV Bypass)
- Автор темы seidziwhitehat
- Дата начала
Написать лоадер с обходом
В качестве функции обхода юзать либо проверку имени файла (из 0-го аргумента cmd), либо страничку по несуществующему урлу запроси (ав её сэмулирует в песке)
Сам шеллкод закриптуй и вызывай после проверки, желательно через инжект
Если у тебя x86 нагрузка - попробуй через sdb сделать (в теорииможно x64 тоже так заинжектить, но надо пробовать)
Если что - пиши в лс)