关于php大马执行cmd命令绕过360全家桶的问题

2021-06-09 20:49:00 15 12011
是这样的,我今天下午自己在家搭建环境练习。
发现php大马使用执行cmd命令在(php function)模式下执行命令:start D:/phpStudy/PHPTutorial/WWW/phpcms_v9.6.0_UTF8/install_package/uploadfile/2021/0609/string.exe
这个命令360直接拦截         string.exe是我自己免杀的远控(百分百免杀的)。

用WScript模式执行相同命令也是这个情况。
然后我写了个bat批处理文件由于有安全狗,先在本机重命名为.txt然后上传修改后缀为exe,bat批处理内容是:start  D:/phpStudy/PHPTutorial/WWW/phpcms_v9.6.0_UTF8/install_package/uploadfile/2021/0609/String.exe
继续用(php function)模式执行,命令是:cmd /c D:/phpStudy/PHPTutorial/WWW/phpcms_v9.6.0_UTF8/install_package/uploadfile/2021/0609/start.bat

这下360没有拦截,远控也成功启动并反弹到msf了。

这难道是360的检测机制吗?
还是说其他问题?

关于作者

LiJun199811篇文章49篇回复

评论15次

要评论?请先  登录  或  注册