绕过360进程防护执行系统命令.pdfVIP

绕过进程防护执⾏系统命令

Bypass360，有⼿就⾏！最近群⾥很多朋友都说遇到360安全卫⼠执⾏所有命令都会被拦截，有的

说是安全⼤脑，有的说是核晶防护引擎，但我感觉是安全防护中⼼的进程防护，咋先不管是啥拦

的，只管去绕就是了，为防⽌360将样本上传⾄云分析，建议断⽹测试或关掉云安全计划！

0x01本地测试环境

●操作系统：Windows10专业版19043（物理机）

●环境平台：IIS10.0（ASP.NET）+phpStudy（php-5.5.38/Apache2.4.23）

●当前权限：iisapppool\defaultapppool、*******-win10\3had0w

●安全防护：360安全卫⼠002（开启核晶防护引擎，⽊⻢库：2022-01-03）

0x02防护功能拦截

这⾥我们可以将这次测试的360安全防护功能分为3种：进程防护、⾏为防护、特征查杀，以下为

360拦截的进程、⾏为和查杀的⽂件，360对这3种类型的攻击⾏为拦截弹窗如下图所示。

1

●进程防护：Wmic、Mshta、Msbuild、Cscript、Wscript、Certutil、Powershell...；

●⾏为防护：Net、Net1添加⽤户等...；

●特征查杀：CS、MSF、EXP等各类恶意⽂件和脚本...；

0x03绕过常⽤命令

除了set、whoami等常规命令可以执⾏，其他⼤多数命令在执⾏时都会被360安全卫⼠拦截，其

他常⽤命令可尝试使⽤cmd/c绕过，不确定在实战中是否能绕过，⾄少在我这台主机上是OK

的。

C:\inetpub\wwwroot\queryuser//被拦截（进程）

C:\inetpub\wwwroot\cmd/cqueryuser//不拦截

C:\inetpub\wwwroot\queryuser//不拦截

C:\inetpub\wwwroot\tasklist/svc//被拦截（进程）

C:\inetpub\wwwroot\cmd/ctasklist/svc//不拦截

C:\inetpub\wwwroot\tasklist/svc//不拦截

2

但这也只是绕过了常⽤命令的执⾏，Wmic、Mshta、Certutil、Netuser、Powershell等

这类⾼危命令在执⾏时仍会被拦截，尝试了各种混淆⽅式也没能绕过，太菜了。

注：当360检测到我们在Webshell管理⼯具执⾏powershell、netuser、wscript/cscrip

t等⾼危命令时就会直接拦截cmd.exe，这时再去执⾏set、whoami等任何命令都会被拦

3

截，所以在项⽬测试中确定⽬标主机有360的情况下就不要直接去执⾏这些⾼危命令了。

这时我们只需在本地CMD命令终端下再执⾏⼀次这些⾼危命令后即可恢复，但仅适⽤于本地测试，

IIS调⽤的%SystemRoot%\System32\cmd，phpStudy调⽤的%SystemRoot%\SysWOW64\cm

d，或者等15-30分钟恢复（不确定），这检测只是为了防⽌拦截到正常的命令执⾏吧（猜想）。

如果在Webshell管理⼯具执⾏命令时出现上图所示（拦截所有命令），这时可以尝试更换ASPX⼤

⻢来执⾏命令，如常⽤的set、whoami、query、tasklist、netstat