Uruchomienie payload z poziomu komendy ping oraz whoami. Ominięcie zabezpieczeń Windows
Atakujący ciągle szukają coraz bardziej wymyślnych metod, aby oszukać systemy zabezpieczeń. W dzisiejszym artykule zamieściliśmy kilka z nich, które mogą utrudnić wykrycie i pozwolą uruchomić ładunek na systemie Windows. Przetestujcie je u siebie:)
Uruchomienie Payload z komendy Ping.exe
Zabawa z przełącznikami i ich przetwarzaniem przez aplikacje wbudowane w Windows jest ciekawym kierunkiem w dziedzinie cybersecurity. Udało nam się uruchomić kalkulator z poziomu polecenia „ping.exe”. Oczywiście kalkulator to tylko przykład, bo możemy w ten sposób uruchomić inny plik wykonywalny.
cmd.exe /c „ping 127.0.0.1/../../../../../../../../../../windows/system32/calc.exe”
Uruchomienie PowerShell z komendy Ping.exe
cmd.exe /c „ping ;calc.exe; 127.0.0.1/../../../../../../../../../windows/system32/WindowsPowerShell/v1.0/POWERSHELL.EXE”
Uruchomienie Payload z komendy „whoami”
Inną ciekawą metoda jest możliwość uruchomienia payload (w naszym przypadku kalkulatora) z poziomu komendy whoami
cmd.exe /c „whoami k/../calc.exe”
Aby można było uruchomić powyższa komendę musimy wykonać ją z katalogu „C:\Windows\System32”
Więcej informacji o powyższych metodach możecie dowiedzieć się z artykułu Juliana Horoszkiewicza tutaj
Popularne
Alarm dla administratorów i działów bezpieczeństwa – krytyczna luka CVE-2025-59287 w Windows Server Update Services wykorzystywana przez cyberprzestępców! Zabezpiecz się, zanim Twoja infrastruktura padnie ofiarą ataku
Jak poznać hasło administratora lub użytkowników logujących się do Twojego komputera?
Nowo odkryte podatności w ChatGPT pozwalają przekonać chatbota do ujawnienia wrażliwych danych
Jak zmienić nieznane/zapomniane hasło Administratora na Windows?
Cicha persystencja – jak rosyjskie kampanie APT atakują firmy w Ukrainie. Porady dla działów bezpieczeństwa
