文章总结： 文章详述了在不出网且部署卡巴斯基环境下的红队渗透实战。作者利用免杀Webshell与正向C2立足，结合白加黑、BOF及PatchAMSI技术规避检测，通过GodPotato提权。重点展示了利用WFP驱动监控流量与R0级Rootkit实现隐蔽持久化的高阶手法，强调武器化在攻防中的核心价值。 综合评分： 86 文章分类： 渗透测试,红队,内网渗透,免杀,实战经验

绕过卡巴斯基的隐秘提权：不出网低权限如何破局？

巡音安全

2026年2月26日 11:06 江苏

在最近的一次渗透测试中，我通过一个精心利用的漏洞成功植入了 WebShell，获得了 IIS 应用池下的初步立足点，但是目标机器并不出网，这意味着后渗透的难度会进行增加。然而，为了进一步收集敏感信息、横向移动并实现持久访问，我需要将权限提升至 SYSTEM 级别，同时确保整个过程低噪音，以规避卡巴斯基等高级防护系统的检测。

同时为了演示更复杂的环境，我在本地搭建了出网的卡巴斯基并且使用不出网的策略来复刻更为极端的环境

让我们先明确这次行动的思路：通过webshell与本地beacon通讯来实现更为复杂的操作，然后通过iis的特性，使用potato系列实现权限提升，最后寻求高隐蔽性的方式实现权限维持

从Webshell开始–这里手动上传处理过的webshell并且进行卡巴斯基静态扫描

通过Master添加Webshell

接下来通过内置方法实现文件列举&读取

为了方便后渗透操作，接下来上传正向木马实现通过webshell与本地通讯，同时适配正向不出网环境通讯

上传calibre白加黑进程，通过c#内置方式实现进程启动

让我们观察整个文件上传->进程启动时卡巴斯基的反应

可以看到进程正常启动+卡巴斯基没有任何可疑or高危告警

在 EDR 普遍对 fork & run 派生进程高度敏感的背景下，我们选择 BOF 作为命令执行载体，实现完全内存驻留、无进程派生、无命令行参数泄露的低噪音执行路径

让我们通过bof实现一些基础的信息收集

接下来我们通过potato系列实现权限提升，通过规避卡巴斯基的告警

让我们先处理AMSI，这里通过beacon内置的方式实现Patch

继续观察卡巴斯基反应

可以看到AMSI保护并没有触发告警，并且成功关闭了AMSI的功能

让我们内存执行GodPotato,完美的一次权限提升

继续观察卡巴斯基：

至此，我们已经成功完成了前期的立足点到System权限的迁跃，接下来我将展示更为隐匿的权限维持手法

通过WFP实现对于指定端口的指定流量监控，实现即使webshell被删除的情况下依旧可以建立通讯的更隐匿的手法，当对目标的80端口发送指定的udp或者tcp请求时，驱动会将指定的内容筛选并且写入注册表，beacon的逻辑改为读取注册表实现操作，同时支持ioctl实现对指定目录覆写webshell和minifilter实现文件隐藏以及端口进程隐藏的r0级隐藏

客户端：

被控端

当我们发送带有Master前缀内容向指定端口时，驱动会记录内容然后写入指定注册表，再有Beacon程序实现内部读取和命令执行

让我们结合内容分析，在一个正向不出网的环境下APT团队如何破解

1.通过正向c2实现权限提升等一系列操作

2.结合驱动滥用实现监听特殊流量来达到持久化

3.r0级别rootkit稳固权限，当文件，进程，日志均不可见时，防守方又当如何应急排查

结语

在现代对抗性渗透测试与红队演练中，“武器化”（Weaponization）已经不再是可选阶段，而是整个攻击链（尤其是 Kill Chain 或 MITRE ATT&CK 框架）的核心支柱之一。它直接决定了攻击者在初始访问（Initial Access）之后能否快速、稳定、低噪音地完成后续目标：信息收集、权限提升、横向移动、持久化、数据窃取/破坏等

在现代对抗性渗透测试与红队演练中，“武器化”（Weaponization）已不再是可选阶段，而是整个攻击链（Kill Chain / MITRE ATT&CK）的核心支柱。它决定了攻击者在初始访问后能否实现快速、稳定、低噪音的闭环目标：信息收集、权限提升、横向移动、持久化与数据窃取/破坏。

巡音安全以APT级攻防理念为核心，通过深层次技术支持（内存驻留BOF、反射加载、自定义C2协议、针对性EDR绕过、零文件落地持久化等），将武器化能力转化为商业价值——为客户提供真实、高强度、可验证的红队服务，帮助企业验证防御、优化规则、提升整体安全韧性，实现从“模拟攻击”到“实战防护”的闭环逻辑

更多合作请咨询

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：巡音安全 《绕过卡巴斯基的隐秘提权：不出网低权限如何破局？》