实战webshell上线cs技巧-进程树逃离

主要观点总结

本文介绍了免杀初学者在实战中遇到的问题，即木马在本地正常运行，但在webshell上线后无法启动，并详细解析了原因，同时提供了绕过方法。

关键观点总结

关键观点1: 问题现象

木马在本地正常运行，但webshell上线后无法启动，直接cmd或虚拟终端启动会报毒。

关键观点2: 原因解析

问题出在进程树上，webshell上线后，木马的父进程为apache等中间件，而正常点击或cmd上线的父进程为explorer.exe，杀软正是利用此方法进行行为检测。

关键观点3: 绕过方法

为了逃离进程树，可以使用白加黑的方法。例如，利用update.exe具有微软签名且可拉起新进程的特性，将木马文件放在current目录下，通过运行特定命令来启动木马，从而绕过杀软的拦截。

关键观点4: 实战应用

不仅可以在实战中利用此方法上线cs，还可以运行其他提权、内网穿透工具等。

免责声明